descargar archivo pdf

Uso de Fuentes Abiertas para la Inves4gación Penal (Día 1 – Sesión Vesper'na) Bogota, Colombia 15 y 16 de Setiembre 2015 Presentado por Colin Ehren en asociación con la Inicia'va StAR 15 de se'embre de 2015 © C&SE 2015
Obje4vos del Taller Ampliar el conocimiento sobre Internet a fin de tomar consciencia de: •  Los peligros existentes cuando se u'liza Internet para realizar una inves'gación; •  Cómo encontrar la información deseada; •  Cómo u'lizar internet como una herramienta efec'va para inves'gaciones; y •  Cómo demostrar los hallazgos obtenidos. 15 de se'embre de 2015 © C&SE 2015
Obje4vos – Día 1 •  Tomar consciencia respecto de las huellas de Internet (“Internet Footprints”) y las consideraciones de seguridad/privacidad asociadas a ellas. •  Comprender las diferencias entre Buscadores, Meta-­‐
buscadores, Directorios y la Web Invisible. •  Emplear estrategias para inves'gaciones lícitas, é'cas y efec'vas. •  Tomar conciencia de las herramientas de información de redes •  Comprender cómo minimizar el riesgo de comprometer las inves'gaciones en internet. 15 de se'embre de 2015 © C&SE 2015
Día 1 -­‐ Esquema •  “Huellas en la arena”.
•  Elementos clave sobre motores de búsqueda e
investigación.
•  Estrategias de Búsqueda y herramientas de
información de la red.
•  Minimización del compromiso.
15 de se'embre de 2015 © C&SE 2015
15 de se'embre de 2015 © C&SE 2015
Motores de búsqueda 15 de se'embre de 2015 © C&SE 2015
Herramientas de búsqueda No4cias 15 de se'embre de 2015 © C&SE 2015
Herramientas de búsqueda No4cias 15 de se'embre de 2015 © C&SE 2015
Registros Comerciales y de Compañías 15 de se'embre de 2015 © C&SE 2015
Negocios/Compañías 15 de se'embre de 2015 © C&SE 2015
Inteligencia/No4cias corpora4vas 15 de se'embre de 2015 © C&SE 2015
Negocios/Compañías 15 de se'embre de 2015 © C&SE 2015
Terrenos/Propiedades 15 de se'embre de 2015 © C&SE 2015
www.google.com/cse/
http://alerts.google.com
15 de se'embre de 2015 http://alerts.yahoo.com
© C&SE 2015
Estrategias de búsqueda Razones por las cuales no se muestran las páginas web: •  Hipervínculo ingresado
incorrectamente.
•  Hipervínculo corrompido.
•  Problemas con el servidor o el
router.
•  Página eliminada o
actualizada.
•  Sitio web muerto/removido.
•  Configuración de seguridad
propia de la computadora.
15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Razón más común: El si'o 'ene un nuevo Webmaster Link viejo = http://www.ntm.com/music/rock/bands/w3/song.html
Link nuevo = http://www.ntm.com/music/rock/bands/w3/0001.html
Link viejo = http://www.ntm.com/music/rock/bands/w3/song.html
Link nuevo = http://www.ntm.com/music/indie/bands/w3/song.html
Surf Upstream: Eliminar el nombre de archivo de la URL en el navegador.
15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Si4o web muerto/removido www.meesonslane.co.uk
¿Está aún disponible su información?
15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Búsqueda de imágenes: 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Nombres comunes: John Smith
Sukhvinder Singh
53 variantes del nombre Sockwinder Sokhjinder Suchvindar Suckhwinder
Suckvinda Suckwinder Sukbinder Sukhbindar Sukhvander Sukhvindder Sukhvindra Sukhwander Sukhwinder Sukhwindor Sukvender Sukvindar Sukwindar Su-­‐Kwinder 15 de se'embre de 2015 Socvendar Sokhvinder Suchvinder Suckvendar Suckvindar Sucvinder Sukhbander Sukhbinder Sukhvender Sukhvinde Sukhvindur Sukhwimder Sukh-­‐Winder
Sukhwindrer Sukviender Sukvinder Sukwinde Sukwjinder Sokbinder Sokvinder Suchwinder Suckvender Suckvinder Sucwinder Sukhbhinder Sukhbindr Sukhvindar Sukhvinder Sukhvinjer Sukhwindar Sukhwindhar Sukhwonder Sukvimder Sukwhinder Sukwinder © C&SE 2015
Estrategias de búsqueda Búsqueda inversa de imágenes : 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Búsqueda inversa de imágenes : Image Exercise 15 de se'embre de 2015 © C&SE 2015
Búsqueda de números telefónicos Ac4vidad grupal: Enumere los métodos que su grupo u4lizaría para buscar los siguientes números telefónicos 02074786724 (Reino Unido) 0153443131 (Francia) 5756424646 15 de se'embre de 2015 © C&SE 2015
Búsqueda de números telefónicos Teléfono de línea inglés -­‐ 02074786724 02074786724 2074786724 “020 74786724” “20 74786724” “020 7478 6724” “20 7478 6724” “0207 478 6724” “207 478 6724” Listados internacionales +44 15 de se'embre de 2015 442074786724 +442074786724 “4420 74786724” “+4420 74786724” “4420 7478 6724” “+4420 7478 6724” “44207 478 6724” “+44207 478 6724” © C&SE 2015
Búsqueda de números telefónicos Teléfono de línea francés – 0153443131 0153443131 153443131 “01 53 44 31 31” “1 53 44 31 31” “0153 443 131”
“153 443 131” “33153443131”
“+33153443131” “331 53 44 31 31” “+331 53 44 31 31” “33153 443 131” “+33153 443 131” 15 de se'embre de 2015 © C&SE 2015
Búsqueda de números telefónicos Teléfono de línea colombia – 5756424646 “57 5 642 4646” 5756424646 “575 642 4646”
“+57 5 6424646” “575 642 46 46”
“(575) 642 4646” “5 642 4646” “(575) 642 46 46” “5642 4646’ “(57 5) 642 4646” “+57 56424646” “(57) 5 642 4646” “(57) 5642 4646” “(575) 6424646” 15 de se'embre de 2015 © C&SE 2015
Búsqueda telefónica inversa 15 de se'embre de 2015 © C&SE 2015
15 de se'embre de 2015 © C&SE 2015
Búsqueda telefónica inversa 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Variaciones de correo electrónico (Email): •  [email protected] = 6300 o  jmath at shodanhq dot com = 13 •  [email protected] = 94 o  1MMWeb a t woodardfamily d o t com = 26 •  [email protected] = 17000 o  hotpolkadot (at) live (dot) com = 303 •  contact @lesession.co.uk = 4700 o  contact AT lesession DOT co DOT uk = 5 •  ian@ian-­‐williams.co.uk = 3,350,000 o  ian (at) ian (hyphen) williams (dot) co (dot) uk = 3 •  [email protected] = 8,670,000 o  mam.elton[AT]immediatemedia[DOT]co[DOT]uk = 2 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Mapas: 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda 15 de se'embre de 2015 © C&SE 2015
Estrategias de búsqueda Mapas: 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? Internet y herramientas de información de la red 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? ns1.root ns2.root ns.com ns.net ns.any.com ns.any.net ns.play.any.com ns.fun.any.net [email protected] 15 de se'embre de 2015 webserver.fun.any.net Para mayor información, consultar: DNS Basics - YouTube
Domain Name System - Wikipedia
© C&SE 2015
¿Cómo funciona Internet? •  Internet es un conjunto de redes (“NETS”) que están INTER-­‐
conectadas; de allí su nombre. •  Estas redes se comunican de acuerdo con un conjunto de reglas, “Protocolo de Control de Transmisión” y “Protocolo de Internet”, conocidas como TCP/IP (por sus siglas en inglés). •  Cada computadora conectada a Internet 'ene una dirección IP única que consta de cuatro números, los cuales van desde 0 hasta 255, ejemplo -­‐ 192.168.0.1 •  La asignación de estos números es controlada por la IANA. 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? •  IANA asigna las direcciones IP a los Registros Regionales de Internet – •  AfriNIC (Centro Africano de Información de Red) •  APNIC (Centro de Información de Red de Asia y el Pacífico) •  ARIN (Registro Americano para Números de Internet) •  LACNIC (Registro de Direcciones IP para América La'na y Caribe) •  RIPE NCC (Réseaux IP Européens -­‐ Europa, Medio Oriente, Asia Central) 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? •  Los Registros Regionales, Nacionales o Locales de Internet adjudican las direcciones de IP a los Proveedores de Servicios de Internet (ISP – por sus siglas en inglés). •  A los usuarios (Ud. y yo) se les asigna una dirección IP cuando se conectan a Internet. •  Las direcciones IP dinámicas son “prestadas” al usuario durante el período de 'empo en que esté en línea. •  Las direcciones IP está'cas le son asignadas al usuario permanentemente. 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? •  Durante los 1990s IANA se dio cuenta de que se estaban agotando las direcciones IP. •  Las direcciones IP v4 actuales 'enen 32 bits de longitud, lo que significa que existen 4.294.967.296 de ellas. •  En 1999 IANA lanzó las direcciones IP v6. Estas 'enen 128 bits de longitud, lo que quiere decir que habrá 3.911.873.538.269.506.102 de ellas por cada metro cuadrado de la superficie terrestre. 15 de se'embre de 2015 © C&SE 2015
¿Cómo funciona Internet? •  Los datos se pasan a través de paquetes en Internet.
Servidor Web
15 de se'embre de 2015 © C&SE 2015
Whois 15 de se'embre de 2015 © C&SE 2015
Traceroute •  El “Traceroute” es un programa que, literalmente,
traza la ruta que van tomando los datos.
Router
Router
ISP Router
Router
Router
Servidor Web
Router
Router
Router
Router
15 de se'embre de 2015 © C&SE 2015
Traceroute 15 de se'embre de 2015 © C&SE 2015
Traceroute 15 de se'embre de 2015 © C&SE 2015
Ejercicio Prác4co: Whois y Traceroute Herramientas Whois • 
hmp://centralops.net Herramientas Traceroute • 
hmp://centralops.net/co • 
hmp://www.nominet.org.uk • 
hmp://www.geektools.com • 
hmp://who.is • 
hmp://network-­‐tools.com • 
hmp://www.domaintools.com • 
hmp://www.net.princeton.edu/traceroute.html • 
hmp://www.dnsstuff.com • 
hmp://just-­‐traceroute.com • 
hmp://www.whois-­‐search.com/ • 
hmp://ping.eu/traceroute/ • 
hmp://whois.net/ • 
hmp://www.opus1.com/www/traceroute.html • 
hmp://www.whois.sc/ • 
hmp://www.dnsstuff.com/tools 15 de se'embre de 2015 © C&SE 2015
Día 1 -­‐ Esquema •  “Huellas en la arena”.
•  Elementos clave sobre motores de búsqueda e
investigación.
•  Estrategias de Búsqueda y herramientas de
información de la red.
•  Minimización del compromiso.
15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso ¿Qué acciones deberíamos tomar para minimizar el riesgo de comprometer nuestras inves4gaciones? 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Conexión a Internet •  Línea de teléfono de marcación directa Independiente (Banda Ancha habilitada). •  Puntos de acceso WiFi públicos. •  Llave USB de conexión prepaga a Banda Ancha. •  Régimen especial con los ISPs. •  No hay en la actualidad conexiones organiza'vas. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Equipo •  Compra en efec'vo o encubierta –  E'quetas de iden'ficación Bios. –  E'quetas con Número de Serie/Registros. •  Registración genérica –  Nombre de la computadora. –  Descripción de la computadora. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Souware •  Registración genérica. •  Productos estándar (“off the shelf”). •  Productos vendidos al por menor o con An6-­‐Malware gratuito. •  Configuración de la computadora tan estándar como sea posible. •  No al Souware Organizacional interno (“in-­‐house”). •  No a las Versiones de Licencia Corpora'va. –  ¿Cuántas Laptos de £299 'enen Souwares o productos An'-­‐virus bajo licencia para empresas por £20,000? 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Geolocalización •  Es un sistema u'lizado por si'os web y proveedores de servicios, con el fin de buscar la información más relevante y ú'l para el usuario tomando como base una es'mación de su ubicación geográfica. •  La es'mación de la ubicación puede variar ampliamente. •  El sistema de Geolocalización puede permi'r lo siguiente: •  Obtener la posición actual del usuario. •  Observar la posición del usuario, a medida que cambia con el 'empo. •  Obtener la úl'ma posición conocida del usuario. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Geolocalización en un teléfono inteligente (“Smartphone”) 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Geolocalización en los navegadores •  Todos los navegadores populares incluyen ahora la tecnología de geolocalización. •  La Geolocalización en un navegador puede comprometer una inves'gación sensible o encubierta. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso HTTP Referrer El HTTP Referrer forma parte de la huella de Internet. Resultado de la búsqueda de Google para – ‘Stardri6er Referer Test’ Referer: hmp://www.google.co.uk/url?sa=t&rct=j&q=stardriuer%20referer%20test&source=web&cd=1&sqi=2& ved=0CCQQFjAA&url=hmp%3A%2F%2Fwww.stardriuer.org%2Fcgi-­‐bin%2Fref.cgi&ei=NlJkT5eqFs638gO8vvCuCA& usg=AFQjCNHJXSUh7Vw7oubPaO3tZOzz-­‐F-­‐u_w El sistema HTTP Referrer pasa información a si'os web, incluyendo la dirección de la página web anteriormente visitada. Si esa página se trataba de una página de resultados de un motor de búsqueda, la información remi'da también incluye los términos de búsqueda que u'lizados. Es muy ú'l para los si'os web, con fines de seguridad, de promoción o publicidad. Representa un problema de seguridad cuando se realizan operaciones de inteligencia o inves'gaciones sensibles o confidenciales. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Prefetching El “Prefetching” o captura previa, es una capacidad que poseen los navegadores modernos para soportar referencias o enlaces a si'os web en código HTML5, con el fin de hacer que la experiencia del usuario de Internet sea más rápida. DNS Prefetching El navegador iden'fica enlaces en una página web y pre-­‐resuelve las direcciones IP mediante consultas DNS, antes de que el usuario visite dicho si'o web. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Link Prefetching Después de realizada la precarga del DNS, el navegador comenzará capturar (“pre-­‐fetch”) las páginas web que hayan iden'ficado y las almacenará en su memoria caché. Beneficios del Prefetching •  El DNS Prefetching permite que las páginas web se carguen más rápido. •  Los ahorros de 'empo se miden en milisegundos. •  El Link Prefetching permite que las páginas web se carguen más rápido, especialmente si estas con'enen muchas imágenes. •  Los ahorros de 'empo se miden en minutos y segundos. •  Es el principal beneficio para las conexiones móviles. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Desventajas del Prefetching •  U'lización de un ancho de banda mayor que el esperado. •  Mayores costos para quienes tengan un contrato de acceso web más limitado . •  Si uno de los si'os con'ene material malicioso, el sistema de usuario puede verse comprome'do o infectado por malware (u'lizando drive mediante un ataque de descarga). •  Los usuarios pueden violar inocentemente las polí'cas de uso aceptable de la red u organización, si es que el prefetching accedió a contenido no autorizado. •  El Link Prefetching deja huellas de Internet en si'os web en los que puede que un usuario nunca haya estado. •  El Link Prefetching representa un problema de seguridad cuando se llevan a cabo operaciones de inteligencia o inves'gaciones sensibles o confidenciales. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Configurando el navegador Apagado de la Geolocalización en Firefox •  Abrir Mozilla Firefox. •  Escribir about:config en la barra de URL y apretar Enter. •  Localizar el siguiente mensaje: •  geo.enabled default
boolean true •  Hacer doble clic en geo.enabled preference para cambiarlo a: geo.enabled
15 de se'embre de 2015 user set
boolean false © C&SE 2015
Minimización del Compromiso Configurando el navegador Apagado del HTTP Referrer en Firefox •  Abrir Mozilla Firefox. •  Escribir about:config en la barra de URL y apretar Enter. •  U'lizando el filtro ingresar send •  Localizar el siguiente mensaje network.hop.sendRefererHeader
15 de se'embre de 2015 default
integer
2 © C&SE 2015
Minimización del Compromiso Configurando el navegador Apagado del HTTP Referrer en Firefox •  Hacer doble clic en la opción de network.hmp.sendReferHeader •  Cambiar el varlo entero a: 1 •  Hacer clic en OK, la opción ahora debería aparecer como: network.hop.sendRefererHeader
user set integer 1 •  El HTTP Referrer ahora está desac'vado. 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Configurando el navegador Apagado del Link Prefetching en Firefox •  Escribir about:config en la barra de URL y apretar Enter. • 
Aparecerá el siguiente mensaje: 15 de se'embre de 2015 © C&SE 2015
Minimización del Compromiso Configurando el navegador Disabling Link Prefetching in Firefox • 
U'lizando el filtro, ingresar la palabra -­‐ prefetch • 
Localizar “network.prefetch-­‐next”. La configuración predeterminada debería indicar lo siguiente ; network.prefetch-­‐next default boolean true • 
Hacer doble clic en la opción “network.prefetch-­‐next”. ahora debería aparecer de la siguiente manera: network.prefetch-­‐next user set boolean • 
false Reiniciar Firefox, Link Prefetching ahora está desac'vado. 15 de se'embre de 2015 © C&SE 2015
Repaso •  Herramientas y Estrategias de Búsqueda • 
• 
• 
• 
• 
• 
• 
• 
• 
Motores de búsqueda No'cias, Compañías/Negocios, Terrenos y/Propiedades Google Custom Search, Google Alerts, Yahoo Alerts. Lenguaje de los buscadores y opciones de búsqueda avanzada – ejericicio prác'co. Archivos en la web Búsqueda de imágenes – ejericicio prác'co. Formatos de números telefónicos Direcciones de correo electrónico Mapeo 15 de se'embre de 2015 © C&SE 2015
Repaso •  Herramientas de información de la red • 
• 
• 
• 
Protocolo de Internet – Regulación Whois Traceroute Ejercicio prác'co •  Minimización del compromiso •  Conexión / Equipos / Souware •  Geolocalización •  Hmp Referrer •  Prefetching 15 de se'embre de 2015 © C&SE 2015
Repaso ¿Preguntas? 15 de se'embre de 2015 © C&SE 2015
Uso de Fuentes Abiertas para la Inves4gación Penal (Día 1 – Sesión Vesper'na) Colin Ehren [email protected] +44 (0)7941 338 449 15 de se'embre de 2015 © C&SE 2015