Detrás de los celulares robados…

Hace tiempo me hicieron la pregunta de qué deberíamos de hacer para poder denunciar nuestro teléfono cuando éste ha sido víctima de un robo. Ya ni recuerdo si lo mencioné en el podcast «Crimen Digital» o si fue por el blog o en una entrevista. Pero comentaba que a partir del IMEI podríamos hacer una base de datos que evitara que se activaran los teléfonos reportados como robados.

Hace un par de días, me llamó la atención la siguiente nota.

Telcel y Telefónica se unen contra ilícitos con celular (El Universal, Fuente: Notimex. México, D.F. a 24 de Marzo 2010)

Es claro que en paises de América Latina, el robo de teléfonos celulares o el uso de los mismos para extorsionar después de robados es muy alarmante.

Estamos en medio de una polémica si es necesario o no registrar los teléfonos ante el RENAUT y cómo será usada dicha información.

La realidad es que nos quejamos porque la autoridad no puede detener a los delincuentes que hacen uso de las lineas telefónicas, pero tampoco ayudamos a hacer algo al respecto. Muchas personas no confían en la forma en que será usada la información dada al RENAUT y el mismo sistema ha dado mucho de qué hablar en cuanto a la validación de la información.

Pero el tema que quiero abordar no es precisamente el del RENAUT, es el hecho de que un sistema que permita el registro confiable de los teléfonos celulares (equipos), líneas y sus denuncias en caso de robo es mucho mejor que el esfuerzo que estamos viendo en estos momentos.

Lamentablemente comentan en la nota que el IMEI es el que distingue a la línea, cuando realmente es un número único asociado al equipo (teléfono celular). Lo importante del tema es que es claro que podemos obtener el IMEI de nuestro teléfono, pero ¿cuántos de nosotros lo hacemos?

Ahora, sólo son dos empresas de telefonía celular que están haciendo esta situación, de compartir las bases de datos de los IMEI, pero con ello alguien podría activar una nueva línea en un equipo robado con otro proveedor.

Creo desde mi perspectiva que el problema debe ser atacado desde otra perspectiva más completa. Por un lado, crear conciencia de que el usuario debe obtener y guardar su IMEI para que en caso de robo, llene un formato único y sencillo para que sea creada la denuncia ante la autoridad (incluso puede ser por email o internet).

Después que esa información sea dada a los proveedores de telefonía celular para bloquear y cuadyuvar con la autoridad en caso de que alguien se presente con el equipo en un centro de servicio. Junto con la denuncia, el proveedor debe dar de baja temporal el teléfono (dependiendo si es pre-pago o post-pago) para darle la oportunidad al cliente de mantener su número telefónico.

Otro tema de discusión podría ser el hecho de que no existan los teléfonos de «Kit» y que sea necesario registrar el teléfono a una persona, como se hace en muchos países de latinoamérica, donde el teléfono se vende y en el momento hay que vincularlo a una persona.

La verdad son demasiadas cosas las que se me ocurren, pero creo que lo más importante es poder mantener la rastreabilidad de las telecomunicaciones para poder realizar investigaciones más adelante.

"Accidentalmente" bajé (o tengo) Pornografía Infantil

En varias ocasiones -diferentes personas, en diferentes foros- me han hecho la siguiente pregunta:

Si recibo pornografía infantil por email sin solicitarlo, ¿es posible tener un problema legal?

En muchos países de América Latina, la pornografía infantil es un tema serio, donde en la mayoría (si no es que todos) está penado.

Me llamó mucho la atención hace rato que pude leer una noticia al respecto, CBS en Sacramento, California:

Un hombre de Sacramento probablemente irá a la cárcel durante años después de que él dice que la pornografía infantil accidentalmente fue descargada en su computadora. 

Matthew White, de 22 años, dijo que estaba descargando archivos de Limewire hace dos años cuando descubrió que algunos de los archivos que se habían descargado eran imágenes de niños pequeños.

Matt afirma que borró rápidamente los archivos.

«No me atrae», dijo. «Yo estaba buscando a mujeres de mi edad, así que sólo quería descargar ‘College Girls Gone Wild», y sin querer descargué pornografía infantil. «

Un año más tarde, agentes del FBI se presentaron en su casa.  La familia accedió a que los agentes examinaran su computadora, donde inicialmente no encontraron nada.

Más tarde los investigadores fueron capaces de recuperar las imágenes borradas del disco duro.

Fuente: CBS 13 Sacramento

Hay mucho que explicar… mientras escribía este post, me acordé de que hace un par de meses, pude conocer a una persona del Centro Internacional para Menores Desaparecidos y Explotados. Y dentro de la misma plática, hablamos un poco del tema de Pornografía Infantil en los países de América Latina y mi percepción de cómo podría ser atacado para evitarlo desde el punto de vista del cómputo forense.

Es por ello que me gustaría compartir este documento donde habla de la Pornografía Infantil: Modelo de legislación y Revisión Global.

En este documento pueden ver las diferencias hasta 2008, que aunque algunos países han hecho reformas importantes, da una idea.

Sin embargo, regresemos al punto importante.

Si una persona obtiene, almacena y/o promueve la pornografía infantil haciendo uso de una computadora en muchos países es un delito.

En el caso de la nota que veíamos, por andar buscando pornografía, encontró un archivo de video de un grupo de pedófilos. Lo interesante es que si hubiera avisado a las autoridades inmediatamente, no hubiera tenido el problema en el cual se enfrenta en este momento. Sería posible probar de dónde bajó el video, la información de quien lo comparte y así ayudar a procesar al responsable.

Lo mismo pasa con el correo electrónico. Si recibes un correo con pornografía infantil, es necesario que se denuncie a las autoridades; ya que en caso contrario (aunque se borre del equipo) podría estar incurriendo en un delito.

Pero bueno, esto no queda aquí… saben que me gusta siempre dar un poco más de información.

Hay dos casos en particular que me vienen a la mente en este momento y que son importantes. El primero, y que tiene que ver directamente con lo que me dedico y que muchas veces hablo con los investigadores, tanto privados como de gobierno:

Si estoy ejecutando una investigación por medio de un análisis forense y encuentro pornografía infantil, ¿qué tengo que hacer?

Se tiene que denunciar, pero un punto importante es que dependiendo del programa que usamos para poder hacer el análisis, es posible que al indexar el caso, las imágenes se almacenen en la base de datos o en un folder para tener acceso a ella. Por lo tanto, ya se «pasó» la información de la computadora del sospechoso a la estación forense.

Ahora entienden porqué siempre explico que es necesario:
1. Siempre que iniciamos un caso, iniciar con una computadora limpia.
2. Aislar los casos entre sí para que no haya contaminación en el mismo disco.
3. Siempre que se va a re-usar un disco para generar imágenes forenses o usarlos para temporales de procesamiento, hay que sobre escribir el disco (sanitizar).

Simplemente les dejo la pregunta: ¿qué pasaría si yo soy un administrador de red y encuentro pornografía infantil en la computadora de uno de los empleados?

¿Y si yo como buen administrador de red, hago respaldos de los servidores donde estaba este material?

Pero, ¿La información dentro de las computadoras es de la empresa o del empleado?

¿Y si no hay políticas del buen uso de los equipos y del software que debemos usar?

¿Tengo responsabilidad legal? ¿Los abogados de la empresa (si llegan a existir) sabrán que hacer?

– Podría seguir haciendo preguntas, pero mejor espero sus comentarios-

Mi conferencia en Campus Party!

Pues ya finalmente la publicaron hace un par de días, pero hasta ahora me dió tiempo de subirla a mi blog:

http://www.youtube.com/v/rgD46Hz4hBY&hl=en_US&fs=1&

Espero les guste y espero sus comentarios al respecto!

#InternetNecesario – Y lo que falta…

Voy llegando de un viaje a Colombia, lugar desde donde me percaté que los diputados del gobierno mexicano habían aprobado el 3% de impuesto al uso de Internet.

Me enteré por Twitter…

Y no sólo me enteré por ese medio, sino que también compartí comentarios a #InternetNecesario e incluso pude ver por streaming (aunque tuve que cancelar una reunión) cómo los Twitteros eran recibidos por los Senadores.

Me dió mucho gusto ver a personajes que hace mucho no veo, ni hablo (sólo por Twitter) como Alejandro Pisanty, Paola Villarreal, etc.

Hubo momentos en que realmente lamenté no haber podido ir a dicha reunión. No sólo el Internet es mi día a día; el poder realizar estudios, el poder hablar e intercambiar comentarios con los pocos especialistas que comparten la disciplina que desarrollo; sino también me quedé pensando «¿Cuántas cosas he hecho por que México tenga especialistas, conocedores o incluso sólo personas que entiendan que el Internet tiene que ser regulado y en él se cometen delitos como en la vida real?»

Dentro de ese momento de reflexión, llegué a re-encontrarme con una brecha digital tan grande -ahora explotada por los Diputados y Senadores-, en donde diario una persona se aprovecha de otra simplemente porque conoce más de sistemas y que al denunciar el proceso se estanca por el desconocimiento de la autoridad.

En la reunión muchas veces se habló de la necesidad primaria que es el Internet para muchas personas – completamente de acuerdo – y de la aprobación de una ley de privacidad para los usuarios de Internet.

Pero desde mi punto de vista, si no existe una ley o código de procedimientos que explique tanto el proceso de investigación como de aceptación de la prueba digital; las demás leyes no podrán ser aplicadas.

Es tan sencillo, como el que una persona se le robe su tarjeta de crédito por medio de un phishing (situación que es muy común actualmente) para que no tengamos manera de probarlo, que los proveedores no guarden la información y no exista un procedimiento de resguardo con integridad y que al final de la cadena, el Ministerio Público no pueda entender lo que tiene que solicitar.

Hace unas semanas tuve la oportunidad de ir a un evento *********** (CONFIDENCIAL), donde tuve la oportunidad de instalar, configurar y probar una BotNet para robar contraseñas y obtener información confidencial.

Realmente me preocupé de lo fácil que puede ser. Por otro lado, puede llegar a ver que también existe la posibilidad de investigarlo y llegar a ellos; sin embargo, como está la situación actual, donde se piensa que el Internet es un lujo y que probablemente nuestros Diputados y Senadores (de toda Latino América) probablemente nunca han usado, estamos en el hoyo.

Parecería que estoy enojado y es una consigna… creo que no es así, me he tomado un tiempo para pensar todo esto y es el resultado de dicha búsqueda.

Sólo me queda seguir dando clases gratuitas a Ministerios Públicos, Policías, etc.; seguiré explicándole al Juez mi dictamen pericial, aunque él quiera que le solucione su problema de que no puede escuchar MP3 en su computadora y desde atrás de un teclado e Internet, no dejaré de pensar cómo hacer de Latino América una región fuera de la impunidad de la ley en Internet.

Y tú, ¿qué haces para que esto cambie?

P.D. Además de contestar la pregunta anterior, quisiera que me dejaran sus comentarios con temas que les gustaría que cubriera. He andado con mil cosas en la cabeza y a veces no puedo aterrizar tantas cosas. Espero que puedas ayudarme con temas!

El mundo desconocido de las contraseñas de Hotmail, Gmail y Facebook…

El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.

Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.

Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo

Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.

Expliquemos un poco más a detalle.

Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)

Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.

Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)

Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?

1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?

La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.

2. Que la autoridad lo persiga!

Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.

Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.

Pero bueno…..

La realidad y para terminar, aquí están los tips:

TIPS de Contraseñas

– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.

«Las contraseñas deberían ser como la ropa interior: No se dejan tiradas en cualquier lado, no se prestan ni a los mejores amigos y se cambian regularmente»

Y a todo esto, ¿qué es el cómputo forense? – PARTE 2

Generación de Imagenes Forenses

Normalmente, después de la fase de identificación, tenemos que abordar la etapa de preservación. En discos duros de computadora, normalmente se realizan extrayendo el disco duro.

Haciendo uso de un dispositivo conocido como protector contra escritura (Write-Protector) para evitar la modificación o alteración de la información contenida en el disco duro, se procede a calcular el valor de integridad para después realizar una imagen forense de cada uno de los discos duros.

Al terminar dicho proceso, para poder asegurar la integridad de la información se realiza nuevamente el cálculo del valor de integridad, debiendo ser éste exactamente igual al calculado originalmente.

Una imagen forense es una copia exacta del contenido de un disco duro, incluyendo el “espacio no-asignado”. En sistemas operativos como el Microsoft Windows® cuando un archivo es “borrado”, realmente no es eliminado del disco duro; sino que el sistema operativo espera poder utilizarlo de nuevo. Si este espacio no-asignado no es sobrescrito por alguna otra información, por medio del cómputo forense es posible recuperar dicho archivo “borrado”. Estas imágenes forenses de cada uno de los discos permiten realizar el análisis sin manipular el disco duro original.

El valor de integridad, conocido técnicamente como valor hash o digest, es una función matemática que convierte una cadena de longitud variable a una cadena de longitud fija, la cual permite validar que la información contenida en el disco duro no ha sido modificada o alterada. El proceso aceptado internacionalmente establece que se debe calcular el valor de integridad al momento de iniciar la imagen forense y posteriormente realizar una verificación para comprobar que la información contenida en los discos duros no ha sido alterada de ninguna manera.

Es gracias a la tecnología usada, como son los dispositivos de protección contra escritura y los programas especializados para realizar el cómputo forense que podemos asegurar la integridad de los discos duros originales así como sus imágenes forenses.

Después de esta fase, tenemos la del Análisis y Presentación.

Y a todo esto, ¿qué es el cómputo forense? – PARTE 1

El Cómputo Forense – Importancia, Necesidades y Estrategias

Al hablar de un manual de procedimientos en delitos informáticos no solamente se hace referencia a definir cuáles serán los pasos que deberá seguir el investigador al llegar a la escena del crimen. Definir este procedimiento en términos de “el investigador debe abrir el explorador de Windows, ubicarse en la carpeta de Archivos de programa… buscar los archivos ejecutables que existan en la máquina…” sería caer en una situación que no sería casi imposible ya que todo sistema es completamente diferente.

En otras ocasiones, la investigación será proporcionada a un ejecutivo de la alta administración, sin embargo, es muy importante de que todo el proceso se realice con los procedimientos pertinentes para que en el caso de que se requiera, se pueda iniciar un procedimiento legal.

El procedimiento forense digital busca, precisamente, evitar esas modificaciones de los datos contenidos en el dispositivo de almacenamiento. También, como es lógico, pueden presentarse como resultante de la intervención directa del investigador, cuya tarea inicial es “congelar” la evidencia y asegurarla, para posteriormente presentarla para su análisis. El aseguramiento se hace, única y exclusivamente, mediante la utilización de herramientas de software y hardware que, a su vez, utilizan métodos matemáticos complejos para copiar cada medio magnético en forma idéntica; es decir, que les permiten obtener copias digitales idénticas (bit a bit) al original.

En algunas ocasiones, no es posible realizar las imágenes forenses sin alterar la prueba; pero para ello tendremos que validar y justificar exactamente para que sea válida.

Siendo así, definimos el cómputo forense como:

“Aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.”

Para explicarlo más a detalle, cuando se presenta un delito informático o incidente, el investigador debe, inmediatamente, generar una imagen forense de todo el contenido del dispositivo, incluyendo el espacio libre. Ésto si se tiene acceso al medio a analizar como lo es una computadora completamente apagado. En otra ocasión hablaré de el análisis forense a dispositivos que no pueden ser apagados; conocido como el Análisis Forense en Vivo.

Lamentablemente, obtener una imagen forense legalmente aceptable no es tarea fácil. Sin embargo, la industria y la práctica legal en otros países han definido estándares que, entre otros, ayudan al mejoramiento de dicho proceso.

Hoy por hoy, cualquier persona con un nivel medio de conocimientos en sistemas puede modificar evidencia digital por desconocimiento.

En la siguiente entrega hablaremos de la imagen forense, qué es y cómo se genera.

Los Teléfonos Celulares como Prueba…

Desde que inicié en el cómputo forense, me ha llamado mucho la atención el tema de los teléfonos celulares como materia de prueba dentro de un procedimiento legal.

Si bien normalmente se realiza cómputo forense a un disco duro de una computadora; los celulares pocas veces son considerados en las investigaciones tanto a nivel empresa como a nivel gubernamental.

Y es que recuerde a cuántas personas desde el inicio del año a la fecha usted le ha prestado su celular. Normalmente es un dispositivo que no lo prestamos; y si lo hacemos, ésta persona deberá estar cerca de nosotros y será por unos minutos.

Es por ello que hoy en día no existe dispositivo tecnológico alguno tan personal como el teléfono celular.

Ahora llevemos el ejemplo al tema central: la prueba. Sin embargo, hagámoslo desde el punto de vista de persecusión o investigación judicial y por otro lado dentro de la organización.

Para ambos casos en un teléfono celular se podría encontrar, en el mejor de los casos, información sobre llamadas realizadas, llamadas recibidas, mensajes de texto (incluso en algunas ocasiones también los borrados, dependiendo del celular), mensajes grabados en el teléfono, agenda, contactos, etc.; lo cual podría vincular a la persona y ubicarla en espacio tiempo dentro de la línea de tiempo de lo que se está investigando.

Por el lado judicial, muchas veces al atrapar a un presunto responsable se desestima el valor de la información que se podría obtener a partir de este pequeño dispositivo, el cual podría vincular a la persona portadora del dispositivo directamente.

Hace un tiempo recuerdo que apoyamos a una organización a realizar una investigación interna de su personal presuntamente ligado a un fraude y difamaciones internas. Solicitamos el acceso a las computadoras, así como de los teléfonos celulares (en este caso Nextel’s y BlackBerry) de los empleados.

Para el caso en particular, es importante recalcar, que los teléfonos, computadoras y blackberry’s eran propiedad de la empresa, y que fueron entregados a cada uno de los empleados como recursos para que realizaran su trabajo; por lo que el acceso era completamente legal ya que fue la empresa quien nos proporcionó el acceso a esos recursos.

Al realizar como primera fase, la investigación sobre las computadoras, pudimos ubicar ciertas comunicaciones, pero fue realmente en mensajes de texto SMS existentes y borrados en los dispositivos como pudimos vincular al grupo de personas involucradas en el incidente.

Para finalizar, quisiera recalcar que la tecnología cada vez va más a la mobilidad. Cada vez los smartphones se convierten en la herramienta corporativa por excelencia, lo cual permite realizar varias operaciones desde correo electrónico, así como el acceso a la intranet adicionalmente a lo que ya cuenta un teléfono celular convencional.

Es por ello de la importancia de estos dispositivos como prueba, y espero que se empiece a ver esa gran ventaja con el tiempo.

En otra entrega comentaré acerca de la dificultad de realizar un análisis forense en celulares y las herramientas que lo permiten hacer.