Archivo de la categoría: Evidencias electrónicas

Las evidencias electrónicas son pruebas aportadas a un órgano jurisdiccional para demostrar que algo ha sucedido, o para identificar a su autor o las circunstancias en que aquello sucedió. Pero para que las acepte el juez, hay que cumplir algunos requisitos

Herramientas de informática forense para memorias USB


El acceso a las memorias USB plantea interesantes retos para los analistas forenses. Herramientas como SafeBack permiten hacer copias exactas de diferentes tipos de memorias (como las que se emplean en las cámaras de fotos digitales) a nivel de bit. Es necesario tener un interfaz fiable para estos tipos de memorias, por lo que es conveniente seleccionar un poco.

En el caso de los «lápices» o «llaves» USB el interfaz va incorporado en el dispositivo.

En algunas ocasiones, nos conformamos con recuperar el dispositivo, dando por perdido su contenido.

Si este es el caso, una buena guía de «recuperación de llaves USB dadas por perdidas» (por no tomar precauciones la retirarlas del ordenador, por ejemplo) es la de bytes2000. Muy recomendable su guía paso a paso.

La mayor parte del SPAM la realizan unas pocas bandas

Deja un comentario

La base de datos Register of Known Spam Operations (ROKSO) en español, Registro de Operaciones de Spam Conocidas, recoge información y evidencias electrónicas de operaciones de SPAM profesionales que hayan reincidido al menos 3 veces tras las notificaciones de los ISP.

Según este censo 200 bandas son responsables del 80% del SPAM recibido en Europa y América. La información se obtiene recopilando aliases, direcciones de email, dominios, redirecciones, ubicaciones de dominios y ordenadores anfitrión, que permiten llegar a un «núcleo duro» de 200 operaciones en las cuales intervienen 500-600 spammers («ametralladoras de correo no deseado») profesionales que asu vez también van cambiando de dominios y apodos. Estos pájaros que operan ilegalmente se mueven de red en red y de pais en pais buscando ISP (Internet Service Providers, Proveedores de Servicios Internet) benignos a sus prácticas y que son conocidos por la laxitud de sus políticas «anti-spam».

La Base de Datos ROKSO de Spamhaus está disponible en una versión especial de acceso restringido a Cuerpos y Fuerzas de Seguridad (Law Enforcement Agencies) cualificadas que proporciona información sobre los registros de evidencias electrónicas, los logs (diarios electrónicos) y datos adicionales sobre las actividades ilegales de estas bandas que son demasiado sensibles como para ser expuestos de forma pública.

En el servicio de Spamhaus se recogen varios rankings interesantes. En la clasificación de países de los que procede el SPAM destacan Estados Unidos, China y Japón. Los 10 «peores» países desde el punto de vista del SPAM son:

  1. Estados Unidos
  2. China
  3. Japón
  4. Rusia
  5. Canadá
  6. Korea del Sur
  7. Reino Unido
  8. Taiwan
  9. Hong Kong
  10. Holanda

Ley de Impulso de la Sociedad de la Información

1 respuesta

Tras leer el borrador de la LISI (Ley de Impulso de la Sociedad de la Información) lo primero que se aprecia es que retoca otras leyes como la LSSI, la Ley de Firma Electrónica y la Ley de Comercio Minorista.

En mi opinión hay que tocar más leyes y afrontar aspectos como estos:

  • Riesgos de Internet
  • Phishing Pharming
  • Mulas
  • Cartas nigerianas
  • Descargas
  • Canon por Compensación por Copia Privada
  • Tipos de Licencias  en PI
  • Supervisión del correo electrónico de los empleados
  • Acceso no autorizado y modificación de datos o configuraciones en ordenadores ajenos
  • Almacenamiento de datos por los ISP para colaborar en la investigación de delitos
  • DNI electrónico
  • Dompulsa de documentos electrónico
  • Documentos Originales electrónicos
  • eAdministración
  • LOPD
  • LSSI
  • Ley de Comercio Minorista
  • EMV
  • Pagos y cobros por Internet
  • Deducciones en el impuesto de sociedad por acciones relacionadas con la Sociedad de la Información
  • Deducciones por I+D+i
  • Contratación obligatoria de las administraciones públicas a PYMES innovadoras

Estos son algunos apuntes para tratar, pero hay bastantes aspectos que hay que retocar para el Impulso de la Sociedad de la Información

WikiSTC compendio de información de seguridad

2 respuestas

A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.

Entrevista a Kevin Mitnick

2 respuestas

Mercè Molist es uno de los mejores periodistas tecnológicos del mundo (en masculino neutro). Posiblemente la mejor periodista tecnológica sobre temas de seguridad en español y catalán. Yo siempre disfruto de sus artículos. De todos. Y estoy pendiente de los medios en los que publica para ver cuando sale un artículo suyo.

Recientemente ha publicado su entrevista a Kevin Mitnick, el famoso hacker (básicamente experto en ingeniería social) al que ayudó a detener Tsutomu Shimomura. Mitnick fué detenido en 1995 y salió en libertad en enero del 2000 a través de un acuerdo con el gobierno estadounidense, en el que se contemplaba que durante tres años no podía acercarse a ningún equipo electrónico (ordenadores, teléfonos, etc.). La historia se ha recogido de forma novelada en el libro «Takedown» de John Markoff con Shimomura, y ha sido llevada a la pantalla grande en una película sin excesivo éxito. La versión de Mitnick se recogió en The Fugitive Game: Online with Kevin Mitnick de Jonathan Littman. Takedown se ha publicado en español, pero el traductor no tenía excesivos conocimientos técnicos y mucha jerga está mal traducida, por lo que los más frikis deberían leerlos en inglés.

Mercè ha realizado una interesante entrevista a Kevin Mitnick que referencia en su blog y que recoge en su página personal.

Enhorabuena por la entrevista.

¿A qué lugar físico corresponde una dirección IP?

3 respuestas

A través de meneame me entero de este servicio de Geolocalización de IP, que es muy curioso.

En nuestro sector de la seguridad ya se sabe desde hace algún tiempo que, gracias al sistema de asignación de direcciones IP de la IANA, es relativamente sencillo asignar una ubicación física a una dirección IP concreta, y conocer detalles como el ISP y el sistema de asignación.

Pero este servicio de Seomoz te lo da todo hecho.

La precisión, digamos, que el punto buscado está dentro de un círculo de unos 10 kilómetros de radio del indicado.

Virtual PC, máquina virtual gratuita alternativa a Vmware

14 respuestas

Gracias a Sergio Hernando. en su artículo sobre Windows Fundamentals for Legacy PCs (WinFLP) he visto la referencia a Virtual PC.
En la informática forense, el uso de máquinas virtuales, habitualmente VMWARE,  es habitual, por lo que se han convertido en una herramienta imprescindible.

Veremos que tal pita Virtual PC 2004, la herramienta de virtualización que Microsoft pone a disposición de los usuarios de forma gratuita.

Sin embargo, hay que reconocer que Vmware lleva ventaja  en lo referente a experiencia y estabilidad, y, pese a ser un producto propietario (aunque muy reconocido en entornos open)  ha reaccionado rápidamente y también dispone de heramientas gratuitas.

Ley de Benford – Newcomb

5 respuestas

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %