Manual de Informática Forense III

ÍNDICE

PRÓLOGO .......................... ....................................................... ......................................................... ........................................................ ................................................. ..................... VII PREFACIO.............................................. PREF ACIO.............................................. ............................ ......................................................... ......................................................... ................................

IX 

PRIMERA PARTE REVISIÓN CONCEPTUAL Y PROCEDIMENTAL (CRIMINALÍSTICA, LEGAL E INFORMÁTICA) CAPÍTULO 1 PRUEBA DOCUMENTAL INFORMÁTICA VS. PRUEBA INFORMÁTICA  Relaciones de la prueba documental informática y la prueba documental clásica ......... 4 Las pruebas documentales admitidas en los Códigos de Forma ............................ ....................................... ........... 6 La herencia de los escribas ........................... ........................................................ ......................................................... ............................................ ................ 7 La confusión de roles, cargos y títulos............................ ......................................................... ...................................................... ......................... 7 Prueba documental clásica .......................... ....................................................... ......................................................... ............................................ ................ 9 La confusión confusión entre prueba documental documental informática informática y pericia pericia informático informático forense ........ 11 Síntesis .......................... ....................................................... ......................................................... ........................................................ ................................................. ..................... 15 CAPÍTULO 2 LA PRUEBA INDICIARIA TECNOLÓGICA  Características Característ icas de la prueba indiciaria, idoneidad pericial para el cotejo (elementos indubitados) ........................... ....................................................... ........................................................ ......................................................... ........................................ ........... 17 El problema de la idoneidad del perito .......................... ....................................................... ...................................................... ......................... 18 El problema de los operadores del Derecho ............................ ........................................................ ............................................ ................ 19 La sana crítica......................... ..................................................... ........................................................ ......................................................... ........................................ ........... 22 ¿Cuál creemos que sería el camino hacia la solución?.......................... ...................................................... ................................ 23 CAPÍTULO 3 EL DESARROLLO DE LA L A PRUEBA INDICIARIA INFORMÁTICA, LA PRUEBA DOCUMENTAL DOCUMENT AL INFORMÁTICA Y LA INFORMÁTICA FORENSE EN EL MARCO DE ......................... ......................................................... ........................................................ ................................ LA JURISPRUD JURISPRUDENCIA  ENCIA ......................................................

25

CAPÍTULO 4 LAS MEDIDAS PREVIAS, PRELIMINARES O PRUEBA ANTICIPADA EN INFORMÁTICA FORENSE Requisitos doctrinarios ............................ ........................................................ ........................................................ ................................................. .....................

31

ERREPAR

XIII

MANUAL DE INFORMÁTICA FORENSE III

CAPÍTULO 5 LA INTERVENCIÓN NOTARIAL EN LA RECOLECCIÓN DE PRUEBA INFORMÁTICO FORENSE La inserción probatoria de la prueba documental informática ............................ ......................................... ............. La necesaria confiabilidad de la prueba documental informática ........................... .................................... ......... La certificación de los elementos probatorios, a efectos de asegurar la confiabilidad de estos ............................ ........................................................ ........................................................ ......................................................... ............................................... ..................  Alcance de la certificación certificación pretendida ......................... ..................................................... ........................................................ ............................ La relación entre la prueba documental informática y las pruebas que la complementan ......................... ...................................................... ......................................................... ........................................................ ..................................... ......... El carácter certificante del escribano público ........................... ....................................................... .......................................... .............. Síntesis ............................ ........................................................ ........................................................ ......................................................... ............................................... .................. ¿Qué puede y qué no puede certificar el escribano? ........................... ....................................................... ................................ .... CAPÍTULO 6 ..................................................... ................................ .... LA CADENA DE CUSTODIA INFORMÁTICO INFORMÁTICO FORENSE.........................

33 34 35 35 38 38 43 47 49

SEGUNDA PARTE LA INFORMÁTICA FORENSE EN LA PRÁCTICA  CAPÍTULO 7 PROTOCOLO PARA LA GESTIÓN PERICIAL EN INFORMÁTICA FORENSE 1) Detección, identificación y registro ......................... ...................................................... ........................................................ ........................... 2) Recolección de los los elementos elementos informáticos dubitados (físicos o virtuales) ................. 3) Recolección y registro de evidencia virtual ........................... ....................................................... .......................................... .............. a. Equipo encendido.......................... ...................................................... ........................................................ ................................................... ....................... b. Equipo apagado ............................. ......................................................... ........................................................ ................................................... ....................... 4) Procedimiento Procedimiento para el resguardo de la prueba y preparació preparación n para su traslado traslado ........... 5) Traslado de la evidencia de Informática forense ........................ .................................................... ..................................... ......... CAPÍTULO 8 MODELO DE EVALUACIÓN CRIPTOGRÁFICA (SUSTENTADO EN LA METODOLOGÍA CRIMINALÍSTICA)  Antecedentes ............................ ......................................................... ......................................................... ........................................................ ..................................... ......... Conceptos preliminar preliminares es ......................... ..................................................... ........................................................ ................................................... ....................... Método criminalístico ............................ ........................................................ ........................................................ ................................................... ....................... Soporte científico válido ........................... ....................................................... ........................................................ .......................................... .............. Tecnología adecuada a la especialidad ................................................... ....................... ........................................................ ............................ Técnica instrumental reproducible ........................ ..................................................... ......................................................... ................................ .... Desarrollo progresiv progresivo, o, equivalente y universal ......................... ..................................................... .......................................... ..............  Aplicación  Aplicació n in situ, trabajo de campo (inspección judicial) y/o de laboratorio ................  Validez  V alidez demostrativa demostrativa (deducción, inducción, inducción, abducción y reglas reglas de inferencia) inferencia) ............ Deducción ........................... ....................................................... ........................................................ ........................................................ ..................................... ......... Inducción ............................ ......................................................... ......................................................... ........................................................ ..................................... .........  Abducción ............................................................................... ................................................... ......................................................... .......................................... ............. Reglas de inferencias en lógica proposiciona proposicionall .......................... ...................................................... ..................................... ......... Lógica estricta (marco de referencias referencias,, hipótesis de trabajo trabajo,, variables, premisas, razonamientos,, conclusiones) ............................ razonamientos ........................................................ ........................................................ ..................................... ......... Experiencias reproducibles y resultados comprobables a posteriori ....... ............... ............... ............... ............ Principio de identidad atípico ............................. ......................................................... ........................................................ ..................................... .........  XIV

58 59 61 61 63 65 65

67 68 69 69 71 71 72 73 73 73 73 74 74 75 75 76

MARÍA ELENA DARAHUGE - LUIS ENRIQUE ARELLANO ARELLANO GONZÁLEZ

ÍNDICE

Equivalencias metodológicas............................ ........................................................ ........................................................ ........................................ ............ 77 Formulario Formula rio de evaluación de certeza criminalístic criminalísticaa ........................ ..................................................... ................................... ...... 79

CAPÍTULO 9 EVALU EV ALUACIÓN ACIÓN DE CERTEZA CRIMINALÍSTICA - ANÁLISIS DE ALGORITMOS CRIPTOGRÁFICOS Primitivas Primitiv as criptográficas........................... ....................................................... ........................................................ ................................................. ..................... 81 Cifrado por bloques ............................. ......................................................... ........................................................ ................................................. ..................... 81 Cifrado de flujo ........................... ........................................................ ......................................................... ........................................................ ................................... ....... 84 Uso futuro de cifrado de flujo ........................... ....................................................... ........................................................ ................................... ....... 84 Primitivas Primitiv as de clave pública........................... ........................................................ ......................................................... ............................................ ................ 86 Factorización Fact orización.......................... ...................................................... ........................................................ ......................................................... ................................... ...... 86 Logaritmos discretos ........................... ....................................................... ........................................................ ................................................. ..................... 87 Finite Field DLP ......................... ..................................................... ......................................................... ......................................................... ................................ 87 ECDLP........................... ....................................................... ......................................................... ......................................................... ............................................ ................ 87 Emparejamiento Emparejami ento ........................ ..................................................... ......................................................... ........................................................ ................................ 87 Longitud de la clave ........................ .................................................... ......................................................... ......................................................... ................................ 88 ECRYPT ECRY PT ......................... ..................................................... ......................................................... ......................................................... ............................................ ................ 88 NIST ......................... ...................................................... ......................................................... ........................................................ ................................................. ..................... 91  ANSII ........................ ..................................................... ......................................................... ........................................................ ................................................. ..................... 97 BSI ............................ ......................................................... ......................................................... ........................................................ ................................................. ..................... 98  Análisis de la longitud longitud de la clave.......................... ...................................................... ........................................................ ................................ 101 Cifrador por bloques ............................ ........................................................ ........................................................ ...................................................... .......................... 102 Modos básicos de operación ............................ ........................................................ ........................................................ ................................... ....... 102 Código de autenticación autenticación de mensajes mensajes............................ ........................................................ ...................................................... .......................... 102 Funciones hash basadas en MAC .......................... ...................................................... ........................................................ ................................ 104 CAPÍTULO 10 EVALUACIÓN DE CERTEZA CRIMINALÍSTICA - ANÁLISIS DE ALGORITMOS DE RESUMEN O HASH  Funciones de hash .......................... ...................................................... ......................................................... ......................................................... ................................ 105 Funciones de hash de uso futuro........................... ....................................................... ........................................................ ................................... ....... 105 Funciones de hash en aplicaciones desactualizadas ............................ ........................................................ ................................ 107 Formulario Formula rio modelo para la la evaluación criminalística criminalística de algoritmos algoritmos criptográficos ....... 107 Formulario Formul ario Algoritmo Criptográfico ......................... ...................................................... ...................................................... ......................... 107 Formulario Formul ario modelo para la evaluación criminalística criminalística de algoritmos de resumen o hash y MAC............................. ......................................................... ........................................................ ........................................................ ................................... ....... 109 Formulario Funciones de Hash......................... ..................................................... ......................................................... ........................................ ........... 110 Formulario Formula rio Funciones de MAC ......................... ..................................................... ......................................................... ........................................ ........... 111 Formulario Específico de Evaluación Criminalística - Algoritmo Criptográfico Cifrado Cifr ado por bloques ............................................................. ................................ ......................................................... ............................................ ................ 113 Formulario Específico de Evaluación Criminalística - Algoritmo Criptográfico Cifrado Cifr ado de flujo........................... ........................................................ ......................................................... ........................................................ ................................ 114 CAPÍTULO 11 GUÍAS DE EJERCICIOS RESUELTOS Conceptos preliminar preliminares es acerca acerca de las guías de ejercicios ......................... .................................................. ......................... 117 Guía. Etapa Prelim Preliminar inar......................... ..................................................... ......................................................... ...................................................... ......................... 117 Borrado seguro seguro,, limpieza o “sani “sanitización tización”” y verificación verificación matemática ........................ ... ..................... 117 Ejercicios Ejercici os ............................ ........................................................ ......................................................... ......................................................... ............................................ ................ 118 Ejercicio Ejercici o 1 - Preparación del dispositivo dispositivo para almacenar almacenar las herramientas forenses forenses . 118 Ejercicio 2 - Herramientas para hash ............................. ......................................................... ................................................. ..................... 120 Ejercicio 3 - Verificación del hash de archivos y carpetas........ carpetas............... ............... ................ ............... ............... ........ 124 ERREPAR

XV

MANUAL DE INFORMÁTICA FORENSE III

CAPÍTULO 12 ETAPA DE RECOLECCIÓN, AUTENTICACIÓN, DUPLICACIÓN Y RESGUARDO Recolección y adquisición adquisición de información información volátil ......................... ..................................................... ..................................... .........  Aspectos preliminares preliminares ........................... ........................................................ ......................................................... .............................................. .................. Objetivos.......................... ...................................................... ........................................................ ......................................................... .......................................... .............  Adquisición  Adquisició n en el Sistema Operativo Operativo Windows ......................... ..................................................... ..................................... ......... Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... .............

127 127 127 128 128

CAPÍTULO 13  ADQUISICIONES Recursos - Herrami Herramientas entas ............................ ......................................................... ......................................................... .............................................. .................. 135 Ejercicio ........................... ....................................................... ......................................................... ......................................................... .............................................. .................. 135 Recolección de datos en vivo de un Sistema Sistema Operativo Windows en forma remota remota ........ 137  Aspectos preliminares preliminares ........................... ........................................................ ......................................................... .............................................. .................. 137 Objetivos.......................... ...................................................... ........................................................ ......................................................... .......................................... ............. 137 Recursos - Herramienta Herramientass ............................ ........................................................ ........................................................ .......................................... .............. 137 Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... ............. 138 Duplicación .......................... ...................................................... ........................................................ ........................................................ .......................................... .............. 140  Aspectos preliminares preliminares ........................... ........................................................ ......................................................... .............................................. .................. 140 Objetivos.......................... ...................................................... ........................................................ ......................................................... .......................................... ............. 141 Recursos - Herramienta Herramientass ............................ ........................................................ ........................................................ .......................................... .............. 141 Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... ............. 141 Imagen con Autopsy para Windows ........................ ..................................................... ......................................................... ................................ .... 155 Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... ............. 155 CAPÍTULO 14 RECOLECCIÓN DE MENSAJES DE CORREO ELECTRÓNICO  Aspectos preliminares preliminares .......................................... ............................ ........................................................ ..................................... ......... 161 Objetivos .......................... ...................................................... ........................................................ ......................................................... ............................................... .................. 161 Recursos - Herrami Herramientas entas ............................ ......................................................... ......................................................... .............................................. .................. 161 Outlook Express ............................ ......................................................... ......................................................... ........................................................ ................................ .... 161 Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... ............. 161 Configuración Configuració n de cuentas de correo POP y SMTP para para Webmail Webmail Gmail ........................... 164 Consideraciones Consideraci ones previas ............................ ........................................................ ......................................................... .......................................... ............. 164 Gmail. Sincronizació Sincronización n de las acciones acciones con IMAP .......................... ...................................................... ................................ .... 164 Configurar la cuenta en Gmail Gmail (POP/IMAP) (POP/IMAP) para Windows Live Mail Mail .............................. 166 Ejercicio .......................... ...................................................... ........................................................ ......................................................... .......................................... ............. 166 Configuración Configuració n de correo para diferentes diferentes dispositivos dispositivos ............................ ........................................................ ............................ 170 Configuración Configuració n de POP/ IMAP en Android ..................................... ......... ........................................................ ................................ .... 170 Configuración Configuració n de POP/IMAP en BlackBerry ........................ ..................................................... .......................................... ............. 170 Configuración Configuració n de POP/IMAP en dispositivos dispositivos de Apple Apple (iPhone, iPad, iPad, iPod) iPod) .............. 170 POP en iPhone ......................... ...................................................... ......................................................... ........................................................ ................................ .... 170 IMAP en iPhone, iPad, iPad, iPod - Direcciones Direcciones Google Apps y aplicación aplicación mail .................. 171 Configuración Configuració n de POP/IMAP en Apple Mail ........................ ..................................................... .......................................... ............. 172 Configuración Configuració n de POP/IMAP en Thunderbird .......................... ...................................................... ..................................... ......... 172 Ejemplos de configuraciones genéricas ............................ ........................................................ ................................................... ....................... 173 CAPÍTULO 15 ETAPA DE ANÁLISIS E INTERPRETACIÓN DE LOS INDICIOS PROBATORIOS  Aspectos preliminares preliminares .......................................... ............................ ........................................................ ..................................... ......... 175 Revisión de conceptos ........................... ........................................................ ......................................................... ................................................... ....................... 176 Objetivos .......................... ...................................................... ........................................................ ......................................................... ............................................... .................. 177  XVI

MARÍA ELENA DARAHUGE - LUIS ENRIQUE ARELLANO ARELLANO GONZÁLEZ

ÍNDICE

Recursos - Herramient Herramientas as .......................... ...................................................... ........................................................ ................................................. .....................  Análisis de un diskette diskette del tipo IBM con formato formato del tipo Fat Fat 12 ...................................... ........................... ........... Ejercicio Ejercici o ............................. ......................................................... ........................................................ ......................................................... ........................................ ...........  Análisis del encabezado encabezado de un correo electrónico ........................... ....................................................... ................................... ....... Objetivos............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Ejercicio Ejercici o 1 .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Ejercicio Ejercici o 2 .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Ejercicio Ejercici o 3 .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Ejercicio Ejercici o 4 .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Ejercicio Ejercici o 5 .......................... ...................................................... ........................................................ ......................................................... ........................................ ...........  Análisis del Sistema Sistema Operativo Operativo Windows ............................ ........................................................ ................................................. ..................... Conceptos previos .......................... ...................................................... ......................................................... ...................................................... ......................... Ejercicio Ejercici o ............................. ......................................................... ........................................................ ......................................................... ........................................ ........... Imagen del Sistema Sistema Operativo Operativo Windows 2000 .......................................... ..................... Imagen del Sistema Sistema Operativo Windows 7 ................................................................... ....................................... ................................

177 177 177 183 183 183 184 184 185 185 185 185 187 187 188

CAPÍTULO 16  ANÁLISIS DE IMÁGENES DE CELULARES Y DATOS DATOS OCULTOS OCULTOS  Aspectos preliminares preliminares ........................................................................ ............................................ ......................................................... ................................... ...... Objetivos ............................ ........................................................ ........................................................ ......................................................... ............................................. ................ Recursos - Herramient Herramientas as .......................... ...................................................... ........................................................ ................................................. ..................... Ejercicio Ejercici o ........................ ..................................................... ......................................................... ........................................................ ................................................. ..................... Datos ocultos. Esteganografía. ADS............................ ........................................................ ........................................................ ................................  Aspectos preliminares preliminares.. Datos ocultos ocultos ............................ ........................................................ ................................................. ..................... Objetivos............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Recursos - Herrami Herramientas entas ......................... ...................................................... ......................................................... ............................................ ................ Consignas .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Ejercicios Ejercici os ........................... ....................................................... ........................................................ ......................................................... ........................................ ...........

189 190 190 190 191 191 191 191 191 192

CAPÍTULO 17 MÁQUINA VIRTUAL Y CADENA DE CUSTODIA  Ejercicio Ejercici o ........................ ..................................................... ......................................................... ........................................................ ................................................. .....................  VMware......................... ..................................................... ......................................................... ......................................................... ............................................ ................ Cadena de custodia - HMAC ........................ ..................................................... ......................................................... ............................................ ................  Aspectos preliminares preliminares - HMAC HMAC .................................................................. ...................................... ................................................. ..................... Objetivos............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Recursos - Herrami Herramientas entas ......................... ...................................................... ......................................................... ............................................ ................ Ejercicio Ejercici o ............................. ......................................................... ........................................................ ......................................................... ........................................ ...........

203 203 204 204 205 205 205

 ANEXOSS  ANEXO  Anexo 1 Formularios Inventario de hardware hardware en la inspección y reconocimiento reconocimiento judicial................................. Formulario Formula rio de registro de evidencia evidencia .......................... ....................................................... ......................................................... ................................ Formulario Formula rio de registro registro de evidencia de celulares........................ ..................................................... ........................................ ........... Rótulos para las evidencias .......................... ...................................................... ......................................................... ............................................. ................ Formulario Formula rio - Recibo de efectos ......................... ..................................................... ......................................................... ........................................ ........... Formulario Formula rio para la cadena de custodia (destinos y depósitos).......................... .......................................... ................ Formulario Formula rio de cadena de custodia de responsables ............................................... .................. ........................................ ...........

ERREPAR

211 213 215 216 216 217 218

XVII

MANUAL DE INFORMÁTICA FORENSE III

 Anexo 2 Modelos  Acta de inspección inspección o secuestro ............................ ........................................................ ........................................................ ..................................... ......... 219 Modelo de Acta de escribano .......................... ...................................................... ........................................................ .......................................... .............. 221 Modelo de adelanto para gastos .......................... ...................................................... ........................................................ ..................................... ......... 222 Modelo de cédula laboral ........................... ........................................................ ......................................................... .............................................. .................. 224 Modelo de resolución judicial, negando el adelanto para gastos  a priori ............... ....................... ............ 226 Modelo de excusación 1 ........................ ..................................................... ......................................................... ................................................... ....................... 227 Modelo de excusación 2 ........................ ..................................................... ......................................................... ................................................... ....................... 229 Modelo de recurso recurso de reposición reposición o solicitud solicitud de excusación y remoción remoción .......................... 231 Modelo de excusación excusación y remoción remoción (ejemplo (ejemplo particular) particular) ........................ .................................................... ............................ 233 Modelo de recurso de reposición ante informe a la Cámara, con fines registral registrales es y de futuras sanciones .......................... ...................................................... ......................................................... ......................................................... ................................ .... 236 Modelo de recurso recurso de reposición ante honorarios honorarios exiguos exiguos ........................................... ............... ................................ .... 240 Modelo de fundamentación para solicitar informes a proveedores de servicios extranjeros ............................ ........................................................ ........................................................ ......................................................... .......................................... ............. 241  Anexo 3 ......................................................... ......................................................... ........................................................ ................................................... ....................... 243 Glosario............................  Anexo 4 Jurisprudencia relacionada  Consideran procedente solicitud solicitud de prueba anticipada tendiente a obtener una copia de seguridad de los sistemas informáticos del demandado .............................. ............ .................. 247 Medida de Prueba Anticipada. Admiten la realización realización de la copia de seguridad de los sistemas informáticos ubicados en la sede de la empresa demandada con la participación del Defensor Oficial y del Oficial de Justicia de la zona. Por la Dra.  Adela Prat, Prat, 28 de junio 28 de 2012 2012 ........................... ........................................................ ........................................................ ........................... 248 Resuelven que es procedente como medida de Prueba Anticipada, la realizació realización n de un back up de la información almacenada en los discos rígidos de una empresa ante la posibilidad de que los demandados modifiquen sus registros informáticos. informáticos. Debe citarse al Defensor Defensor Oficial. Por Por la Dra. Adela Adela Prat, 16 de marzo marzo de 2012 ............ 250 Resuelven la inviolabilidad del correo electrónico al ordenar como prueba anticipada una pericial informática. Necesaria citación de la contraria. Rechazo, en el caso, de la designación del Defensor Oficial. Por la Dra. Adela Prat, 25 de abril de 2011 ........................ ..................................................... ......................................................... ........................................................ ................................................... ....................... 251 Se ordena la producción, como prueba anticipada, de una pericial informática. Fundamentos. Por Por la Dra. Dra. Adela Prat, 15 15 de abril de 2011........................... ............................................. .................. 252 Fallo de la Cámara Nacional de Casación Penal. Sala II. Causa: CCC 68234/2014 “Orangután, “Orangut án, Sandra c/recurso de casación s/hábeas corpus” corpus” ..................................... 253  Anexo 5 Reconocimiento de voz Conceptos preliminar preliminares es ......................... ..................................................... ........................................................ ................................................... ....................... Identificación del locutor ........................... ....................................................... ......................................................... ............................................... .................. Estadística de aciertos y errores en reconocedores reconocedores de voz e identificadores de locutores .......................... ...................................................... ........................................................ ......................................................... .......................................... ............. Evolución Evoluci ón de los reconocedor reconocedores es de voz ........................... ........................................................ ............................................... ..................

 XVIII

255 257 259 260

MARÍA ELENA DARAHUGE - LUIS ENRIQUE ARELLANO ARELLANO GONZÁLEZ

ÍNDICE

 Anexo 6  Ataques de canal canal lateral Tipos de ataques de canal lateral ........................... ....................................................... ........................................................ ................................... ....... 262 Sincronización ( timming ) ........................... ....................................................... ......................................................... ........................................ ........... 262 Monitoreo Monito reo de energía .......................... ...................................................... ........................................................ ................................................. ..................... 262  Anexo 7 Breve introducción al Sistema Operativo Linux  Conceptos preliminar preliminares es ........................... ....................................................... ........................................................ ................................................. ..................... Instalación y configuración básica básica de Linux en una máquina virtual........................ ............................... ....... Instalación......................... ..................................................... ........................................................ ......................................................... ........................................ ........... Inicio del sistema operativo ......................... ...................................................... ......................................................... ............................................ ................ Proceso “init” y run-levels (modos de ejecución) ............................ ........................................................ ................................ Proceso de inicio de sesión .......................... ....................................................... ......................................................... ....................................... ........... Intérprete de comandos comandos en GNU/LINUX GNU/LINUX ........................... ....................................................... ................................................. ..................... Cambios de nivel de arranque .......................... ...................................................... ........................................................ ................................... ....... Cambios de modos de arranque.......................................... ............................ ............................................ ................  Apagado del equipo equipo ............................. ......................................................... ........................................................ ................................................. ..................... Comandos básicos del sistema sistema operativo operativo ........................... ....................................................... ................................................. ..................... Comando “man “man”” ........................ .................................................... ......................................................... ......................................................... ................................ Tipos de usuarios ............................ ........................................................ ......................................................... ......................................................... ................................ Usuario Usuari o root ........................... ....................................................... ........................................................ ........................................................ ................................... ....... Usuarios Usuari os especiales ........................ .................................................... ......................................................... ...................................................... ......................... Usuarios Usuari os normales.......................... ...................................................... ........................................................ ...................................................... ..........................  Archivo  Archiv o que contiene el listado listado de los usuarios .......................... ...................................................... ................................... ....... Comando de gestión gestión de usuarios y grupos grupos ......................... ..................................................... ................................................. .....................  Árbol de directorios directorios de LINUX .......................... ...................................................... ......................................................... ........................................ ........... Comandos de gestión gestión de archivos......................... ..................................................... ........................................................ ................................ Ejercicios Ejercici os ........................... ....................................................... ........................................................ ......................................................... ........................................ ........... Procesos en LINUX ......................... ..................................................... ......................................................... ......................................................... ................................ Comandos de gestión gestión de procesos procesos ............................ ......................................................... ...................................................... ......................... Gestión de entrada y salida estándar ........................ ..................................................... ......................................................... ................................ Conceptos preliminar preliminares es .......................... ....................................................... ......................................................... ............................................ ................ Redirección Redirecci ón de las salidas salidas de los comandos comandos ........................... ........................................................ ........................................ ........... Comunicación Comunicaci ón entre procesos.......................... ...................................................... ........................................................ ................................... ....... Gestión de memoria. Sistema Sistema de archivos “/proc” .......................... ...................................................... ................................... ....... Herramientas Herrami entas para la administración de sistemas de archivos archivos ........................ .................................... ............ Mantenimiento y resguardo......................... ...................................................... ......................................................... ............................................ ................ Mantenimiento ......................... ...................................................... ......................................................... ........................................................ ................................ Resguardo ......................... ..................................................... ........................................................ ......................................................... ........................................ ........... Interfaz KDE ........................... ....................................................... ........................................................ ......................................................... ........................................ ...........  Acceso al sistema sistema ............................ ........................................................ ......................................................... ...................................................... .........................  Acceso al Lanzador Lanzador de aplicaciones .......................... ...................................................... ...................................................... .......................... Referencia de comandos UnixUnix-Linux Linux ......................... ..................................................... ........................................................ ................................ Manuales y documentación ............................. ......................................................... ........................................................ ................................... ....... Listado de comandos .......................... ...................................................... ........................................................ ................................................. ..................... Combinaciones Combinacio nes útiles ......................... ..................................................... ........................................................ ...................................................... .......................... Concatenar comandos............................................ comandos........................................................................ ........................................................ ................................... .......

269 270 270 291 291 292 293 293 293 294 294 294 295 296 296 296 296 299 301 302 304 305 305 307 307 308 309 311 311 312 312 312 312 313 313 317 317 317 326 326

 Anexo 8 ..................................................... ........................................................ ................................................. ..................... 327 La credulidad en el derecho .........................

ERREPAR

XIX

MANUAL DE INFORMÁTICA FORENSE III

 Anexo 9 Equidad para el perito en el fuero laboral nacional El derecho a recibir recibir un adelanto para gastos en el conflicto laboral judicializado judicializado .......... 331 La justicia......................... justicia..................................................... ........................................................ ......................................................... .......................................... ............. 332 La pericia ......................... ..................................................... ........................................................ ........................................................ .......................................... .............. 333 El perito ........................... ....................................................... ........................................................ ........................................................ .......................................... .............. 334 El adelanto para gastos ......................... ...................................................... ......................................................... .............................................. .................. 334 Desarrollo ........................ .................................................... ......................................................... ......................................................... .............................................. .................. 335 El contrato cuasilaboral o la tosquedad judicial ........................... ....................................................... ................................ .... 335 El cuasiempleador ............................ ......................................................... ......................................................... ................................................... ....................... 337 El cuasiempleado.......................... ...................................................... ........................................................ ........................................................ ............................ 338 La sujeción sujeción a ultranza a la norma............................ ........................................................ ........................................................ ............................ 338 La comparación comparación con los operadores operadores del Derecho.......................... ...................................................... ................................ .... 342 El aporte de los ejecutores del Derecho Derecho ............................ ........................................................ .............................................. .................. 345 El recurso de reposición a posteriori de la denegatoria del adelanto para gastos .......... 347 La personalísima personalísima decisión de luchar luchar o callar ............................ ........................................................ ..................................... ......... 349 Conclusión............................ ........................................................ ........................................................ ........................................................ .......................................... .............. 349 Una propuesta de posible posible solución ......................... ...................................................... ......................................................... ................................ .... 349  Anexo 10 Ficciones del Lugar del Hecho Virtual Impropio (LHVI) y engaños periciales ofrecidos al juez Introducción......................... ..................................................... ........................................................ ......................................................... .......................................... ............. 351 Conceptos básicos (glosario) .......................... ...................................................... ......................................................... .......................................... ............. 352 El Lugar del Hecho Real (LHR), el Lugar del Hecho Virtual Impropio (LUVI) (LUVI) y el Lugar del Hecho Hecho Virtual Propio (LHVP) ......................... ..................................................... ........................................................ ..................................... ......... 353 La cultura norteña......................... ..................................................... ......................................................... ......................................................... ................................ .... 353 El realismo realismo mágico de las herramientas herramientas de simulación simulación.......................... ...................................................... ............................ 355 El recurso retórico para para reemplazar reemplazar el conocimiento conocimiento inexistente inexistente ............................ ..................................... ......... 357 El supuesto lenguaje técnico .......................... ...................................................... ........................................................ ..................................... ......... 357 Conclusión............................ ........................................................ ........................................................ ........................................................ .......................................... .............. 362  Anexo 11 Guía de recolección de información en Linux con el equipo encendido Consignas ............................. ......................................................... ........................................................ ........................................................ .......................................... .............. 365 Recursos y herramientas herramientas a descargar descargar de Internet .......................... ...................................................... ..................................... ......... 365 Recursos - Herramienta Herramientass ............................ ........................................................ ........................................................ .......................................... .............. 365 Preparación Preparac ión del dispositivo dispositivo para almacenar las herramientas forenses forenses...................... 365 Listado de herramientas herramientas de recolección recolección de información volátil volátil.......................... ........................................ .............. 366 Comandos para la preparación de dispositivos de almacenamiento en el Sistema Operativo Linux......................... ..................................................... ........................................................ ........................................................ ..................................... ......... 367 Particionar Particio nar un dispositivo .......................... ...................................................... ........................................................ .......................................... .............. 367 Dar formato a un dispositivo .......................... ...................................................... ........................................................ ..................................... ......... 367 Montar el dispositivo......................... ..................................................... ........................................................ ................................................... ....................... 367 Montar un dispositivo dispositivo de almacenamiento almacenamiento en solo lectura............................. .......................................... ............. 368 Ejercicio ........................... ....................................................... ........................................................ ......................................................... .......................................... ............. 368  Análisis de la información información recolectada recolectada (enlaces duros o hard links)........................ ................................. ......... 370 Ejemplo de creación de un enlace duro..................................... duro................................................................. ..................................... ......... 370 El comando stat de cada archivo archivo verifica los los cambios cambios ........................... .................................................. ....................... 371 Encontrar enlaces duros duros en el sistema sistema de archivos ........................... ....................................................... ............................ 371 Guía Análisis de imágenes con Autopsy (V ( Versión 4 para Sistemas Operativos Microsoftt Windows). Microsof Windows). Etapa V - Análisis e interpretación de los indicios probatorios. Reconstrucción y/o simulación del incidente incidente ........................... ........................................................ .......................................... ............. 371  XX

MARÍA ELENA DARAHUGE - LUIS ENRIQUE ARELLANO ARELLANO GONZÁLEZ

ÍNDICE

 Aspectos preliminares preliminares ......................... ..................................................... ........................................................ ................................................. ..................... Objetivos............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Recursos - Herrami Herramientas entas ......................... ...................................................... ......................................................... ............................................ ................ Ejercicios Ejercici os ........................... ....................................................... ........................................................ ......................................................... ........................................ ........... Instalar módulos escritos por terceros ........................... ....................................................... ...................................................... .......................... Instalación de módulos módulos del tipo NBM ........................... ....................................................... ................................................. ..................... Guía del comando TCPDump ........................................................... ............................... ........................................................ ................................... ....... Conceptos previos .......................... ...................................................... ......................................................... ...................................................... ......................... Ejemplos de ejecución ejecución y resultados del comando comando tcpdump ........................ ........................................ ................ Consignas .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Referenciass ............................ Referencia ......................................................... ......................................................... ........................................................ ................................... ....... Recursos ............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Descripción del comando tcpdump ......................... ..................................................... ...................................................... .......................... Guía - Sistema Sistema Operativo Operativo Linux Kali Kali ........................... ....................................................... ........................................................ ................................ Consideraciones Considerac iones previas ......................... ...................................................... ......................................................... ............................................ ................ Conceptos preliminar preliminares es .......................... ....................................................... ......................................................... ............................................ ................ Concepto de Metasploi Metasploitt .......................... ....................................................... ......................................................... ............................................ ................ Concepto de Exploit ............................ ........................................................ ........................................................ ................................................. .....................  Aspectos importantes importantes .......................... ...................................................... ........................................................ ................................................. ..................... Consignas .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Servicios web vulnerables ............................ ........................................................ ......................................................... ........................................ ........... Guía Armitage......................... ..................................................... ........................................................ ......................................................... ........................................ ........... Conceptos previos .......................... ...................................................... ......................................................... ...................................................... ......................... Consignas .......................... ...................................................... ........................................................ ......................................................... ........................................ ........... Recursos ............................ ........................................................ ........................................................ ......................................................... ........................................ ........... Escenario .......................... ...................................................... ........................................................ ........................................................ ........................................ ............ Ejercicio Ejercici o A. Introducción Introducción al uso de la herramienta herramienta Armitage Armitage ....................................... Ejercicio Ejercici o B .......................... ...................................................... ........................................................ ......................................................... ........................................ ...........

371 372 372 373 396 396 401 401 402 403 403 403 404 408 408 408 408 408 409 409 416 419 419 419 419 420 420 429

BIBLIOGRAFÍA  Principal........................ ..................................................... ......................................................... ........................................................ ................................................. ..................... 431 Complementaria ........................ ..................................................... ......................................................... ........................................................ ................................... ....... 431 Supletoria (artículos) ........................... ....................................................... ......................................................... ...................................................... ......................... 432

ERREPAR

XXI