informe p
Post on 24-Oct-2014
126 Views
Preview:
TRANSCRIPT
PERITAJE INFORMÁTICO
EMPRESA: INFOMAT
HECHO: FILTRACIÓN DE INFORMACIÓN
PERITO JUDICIAL: ING. JOSÉ LUIS APOLO.
GUAYAQUIL, 6 DE MAYO DE 2012.
CONTENIDO
INFORME PERICIAL INFORMÁTICO.....................................................................................................3
ANTECEDENTES..................................................................................................................................3
ACTA DE ENTREGA.............................................................................................................................3
CADENA DE CUSTODIA.......................................................................................................................4
DESCRIPCIÓN DEL DISPOSITIVO DE ALMACENAMIENTO....................................................................5
CARACTERÍSTICAS DE FLASH KINGSTON USB DT108/8GB..................................................................5
INFORMACIÓN DEL CONTENIDO DEL DISPOSITIVO DE ALMACENAMIENTO......................................6
PROPIEDADES DE LOGS ENCONTRADOS EN EL DISPOSITIVO DE ALMACENAMIENTO.......................7
EVIDENCIA 1.......................................................................................................................................9
EVIDENCIA 2.....................................................................................................................................12
EVIDENCIA 3.....................................................................................................................................12
EVIDENCIA 4.....................................................................................................................................13
EVIDENCIA 5.....................................................................................................................................16
EVIDENCIA 6.....................................................................................................................................16
DETALLE DE LOS SUPUESTOS IMPLICADOS.....................................................................................17
IPs REQUERIDAS...............................................................................................................................17
INFORMACIÓN DEL ISP.....................................................................................................................19
CONCLUSIONES:...............................................................................................................................21
ANEXOS............................................................................................................................................22
INFORME PERICIAL INFORMÁTICO
Guayaquil, 05 de mayo de 2012
1. ANTECEDENTES
En calidad de perito judicial José Luis Apolo, debidamente juramentado ante el Consejo de la Judicatura del Ecuador y a petición del Ing. Vladimir Cobarrubias, vengo a efectuar un Informe de Análisis Forense sobre las bitácoras entregadas por el cliente, sobre el cual hay sospecha de infiltración de información obtenida mediante acceso ilegal a sistema computacional de la empresa INFOMATIC a la cual representa.
2. INTRODUCCIÓN
El presente informe tiene como alcance analizar, identificar y descubrir posibles indicios de infiltración de información a través de cuentas de correo electrónico del dominio infomatic.com, para lo cual se ha recibido con fecha sábado 5 de Mayo del 2012 a las 16:00, una unidad de almacenamiento (memoria usb) marca Kingston DT108 con capacidad de 8GB con los logs que el cliente INFOMATIC consiguió por parte de su proveedor ISP, para investigar la sospecha del acceso a los sistemas informáticos de forma no autorizada, delito contemplado en la Legislación Chilena.
3. MARCO TEÓRICO.
La evidencia objeto del análisis, sirve para que este perito pueda encontrar indicios de filtración de información, basados en la Legislación Chilena que concierne a las figuras penales tipificadas de en la ley No. 19223 que tiene relación con la informática.
El caso que se investiga corresponde a un apoderamiento de información, intercepción y transferencia; esto por cuanto existe una fuga de información confidencial que atenta contra un bien jurídico de la empresa, amparado bajo los siguientes artículos:
Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.
Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.".
Por tanto, la información a evaluarse se encuentra en los archivos de logs que se entregaron como evidencia, y que es el objeto de este informe.
LOG: La palabra log es un término anglosajón, equivalente a la palabra bitácora en español.
Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo en particular o aplicación.
4. ACTA DE ENTREGA
Se adjunta imágenes de los documentos que se entregan y reciben, y que valida la legalidad de tratamiento de la información, en cuyo contenido consta el objeto de análisis (archivos de Log )
Capura de la Pantalla # 1 Documento Acta de Entrega – Recepción del dispositivo de almacenamiento usb
CADENA DE CUSTODIA
Captura de la Pantalla # 2 Cadena de Custodia
5. DESCRIPCIÓN DEL OBJETO DE ANALISIS
DISPOSITIVO DE ALMACENAMIENTO
CARACTERÍSTICAS DE FLASH KINGSTON USB DT108/8GB
Capacidad — 8GB
Dimensiones — 1.47" x 0.78" x 0.39" (37.33mm x 19.97mm x 10.00mm)
Captura de Pantalla # 3: Dimensiones del dispositivo de Almacenamiento
Color—Rojo
INFORMACIÓN DEL CONTENIDO DEL DISPOSITIVO DE ALMACENAMIENTO
Captura de la Pantalla # 4: Contenido del dispositivo de Almacenamiento
Dentro del dispositivo de almacenamiento se encuentra lo siguiente:
Archivo de texto con nombre instrucciones que tiene indicios a seguir para realizar la investigación.
Carpeta de nombre Logs que contiene cuatro archivos que son los logs. Los nombres de los logs son: infomat.actividad.roundcube, infomat.exim, infomat.pop.imap.smtp.login y infomat.webmail.
Captura de la Pantalla # 5: Propiedades del dispositivo de almacenamiento
Se observa que el nombre del dispositivo de almacenamiento es G4ESPOL2012, tiene un espacio usado de 176 MB y espacio disponible de 7,09 GB.
PROPIEDADES DE LOGS ENCONTRADOS EN EL DISPOSITIVO DE ALMACENAMIENTO
Descripción de Log infomat.actividad.roundcube.log:
Contiene registros de Fecha, Hora, direccion IP de quien envía el correo electrónico y a quienes van dirigidos los correos.
Descripción de Log infomat.exim.log
Este log contiene el registro de los correos del Servidor.
Descripción de Log infomat.pop.imap.smtp.login.log
Este log contiene registro de acceso de los usuarios de correo.
Descripción de Log infomat.webmail.log
Este log contiene el registro de los usuarios que accesan utilizando el Webmail.
Captura de la Pantalla # 6: Propiedades de los archivos logs
EVIDENCIA 1
Webmail
Captura de la Pantalla # 7: Acceso por medio de webmail
Captura de la Pantalla # 8: Alerta de mejoras en webmail
Actividades realizadas
Patrones Sospechosos
Se analiza los archivos de log entregados por el proveedor de correo electrónico quien nos proporciona los registros de la plataforma EXIM, que es un agente de transferencia de mensajes (MTA) con el cual funciona la interfaz de correo de la empresa INFOMATIC. Para el análisis se lleva los archivos logs a un archivo de Excel y se realiza una tabla dinámica, obteniendo las diferentes direcciones IP en relación con las cuentas de usuarios que tuvieron actividad sospechosa durante el 27 de agosto y 28 de agosto, fecha que se presume se ha cometido el delito. (ANEXO 2).
Se busca IPs que accedan a varias cuentas de correos electrónicos, entre las que se obtuvo las siguientes IPs sospechosas:
Cuenta de CORREO
Rótulos de columna
Rótulos de fila
user=angelo.parraguez@infomat.com
user=bastian.farias@infomat.com
user=carlos.salinas@infomat.com
user=claudio.lucero@infomat.com
user=enrique.gonzalez@infomat.com
user=felipe.alvarado@infomat.com
user=fernando.jorquera@infomat.com
user=gustavo.contreras@infomat.com
user=ivan.jara@infomat.com
user=ivar.zapata@infomat.com
user=jose.fernandez@infomat.com
user=juan.contreras@infomat.com
user=luis.saez@infomat.com
user=marco.penaloza@infomat.com
user=marco.poblete@infomat.com
user=mario.moya@infomat.com
user=mario.salgado@infomat.com
user=martin.munoz@infomat.com
user=mauricio.pinto@infomat.com
user=mauricio.vargas@infomat.com
user=miguel.barriga@infomat.com
user=patricio.guerrero@infomat.com
user=pedro.figueroa@infomat.com
user=roberto.opazo@infomat.com
user=ruben.aravena@infomat.com
user=sebastian.toro@infomat.com
user=sergio.hernandez@infomat.com
Total general
ip=[::ffff:190.100.63.24] 328 20 2 86 54 826 14 1330ip=[::ffff:190.100.73.98] 210 10 220ip=[::ffff:190.160.210.168] 12 12 12 22 44 62 12 170 2 348ip=[::ffff:190.160.210.178] 18 78 16 112ip=[::ffff:190.44.190.38] 206 44 74 2 372 770 1468ip=[::ffff:190.44.214.33] 20 20 20 20 20 20 120ip=[::ffff:200.120.174.224] 46 46 46 47 46 44 275ip=[::ffff:200.72.211.67] 66 2 68ip=[::ffff:201.215.206.125] 98 62 160ip=[::ffff:201.239.245.76] 26 26 26 26 26 24 154Total general 432 20 210 98 206 2 110 104 10 86 74 122 2 54 22 122 16 2 372 826 155 104 258 770 2 62 14 4255
Captura de pantalla #9: IPs Sospechosas
Solicitud de información de IPs sospechosas al ISP
El ISP proporciona información sobre ciertas IPs que son las siguientes:
Captura de pantalla #10: Información IPs proporcionadas por el ISP
BUSQUEDA DE HOST IMPLICADO EN ACCESO NO AUTORIZADO
Al realizar la busqueda de las IPs sospechosas en el archivo proporcionado por el ISP, se encuentra que la IP implicada es la siguiente:
IP:201.239.245.76
La información de la ip 201.239.245.76 proporcionada por el ISP es la siguiente:
Captura de pantalla #10: Información de ip 201.239.245.76
Búsqueda de correos sospechosos desde hostname EduardoPC
La ip implicada en la posible fuga de información 201.239.245.76, con hostname EduardoPC se realizada la búsqueda
CORREO FECHA HORA USUARIO HOSTNAME ASUNTO DE PARA
126/08/2011 15:52:06
juan.contreras@infomat.com (EduardoPC) T="RV: LO SOLICITADO CIERRE JULIO" juan.contreras@infomat.comc.bustamante.nielsen@gmail.com
226/08/2011 19:25:22
patricio.guerrero@infomat.com (EduardoPC) T="RV:Calculo Pablo Calcumil" patricio.guerrero@infomat.comeduabatt@gmail.com
326/08/2011 19:01:39
juan.contreras@infomat.com (EduardoPC) T="RV:LO SOLICITADO CIERRE JULIO" juan.contreras@infomat.comofuenzalida.r@gmail.com
zetadf@hotmail.com
428/08/2011 12:23:57
patricio.guerrero@infomat.com (EduardoPC) T="RV:CALCULO" patricio.guerrero@infomat.comc.bustamante.nielsen@gmail.com
ofuenzalida.r@gmail.com
Tabla #1: Correos enviados desde host EduardoPC sospechosos
CORREO 1
26/08/2011 15:52:06 [4234] 1Qx2RH-00016I-IO <=juan.contreras@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49189 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:juan.contreras@infomat.com S=832862 T="RV: LOSOLICITADO CIERRE JULIO" from <juan.contreras@infomat.com> forc.bustamante.nielsen@gmail.com
CORREO 2
26/08/2011 19:25:22 [23893]1Qx5lc-0006DN-6N <=patricio.guerrero@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49446 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:patricio.guerrero@infomat.com S=912937 T="RV: CalculoPablo Calcumil" from <patricio.guerrero@infomat.com> foreduabatt@gmail.com
CORREO 3
26/08/2011 19:01:39 [29420]1Qx5Oi-0007eW-21 <=juan.contreras@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49193 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:juan.contreras@infomat.com S=836221 T="RV: LOSOLICITADO CIERRE JULIO" from <juan.contreras@infomat.com> forofuenzalida.r@gmail.com zetadf@hotmail.com
CORREO 4
28/08/2011 12:23:57 [23021]1Qxi9M-0005zJ-FS <=patricio.guerrero@infomat.com H=pc-224-174-120-200.cm.vtr.net(EduardoPC) [200.120.174.224]:49329 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:patricio.guerrero@infomat.com S=14407 T="RV: CALCULO"from <patricio.guerrero@infomat.com> for c.bustamante.nielsen@gmail.comofuenzalida.r@gmail.com
FECHA: sábado 27 de agosto de 2011
Se registra el acceso a la cuenta de correo pedro.figueroa@infomat.com desde la IP 186.105.97.14 entre 20:23:47 y 20:29:42, se nota actividad sospechosa a las 20:28:45, como se muestra a continuación:
Captura de la Pantalla # 9: Uso de passwdpop en cuenta de correo pedro.figueroa@infomat.com
Registro completo:
"GET /webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com HTTP/1.1"
http://webmail.infomat.com/webmail/x3/?login=1&post_login=93430004440911
passwdpop.html: se utiliza para cambio de contraseña
Entre 20:28:47 y 20:29:19
Captura de la Pantalla # 10: Uso de passwordstrength en cuenta de correo pedro.figueroa@infomat.com
Registro completo:
POST /backend/passwordstrength.cgi HTTP/1.1
http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com
passwordstrength: Password Strength Configuration, configura a la fuerza una nueva contraseña.
Esta característica le permite definir las contraseñas de potencia mínima para todas las características autenticadas de cPanel.
A 20:29:28
Captura de la Pantalla # 11: Uso de dopasswdpop.html en cuenta de correo pedro.figueroa@infomat.com
Registro completo:
"POST /webmail/x3/mail/dopasswdpop.html HTTP/1.1"
"http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com"
dopasswdpop.html: haciendo uso de las funciones de petición POST con ajax dopasswdpop.html el atacante puede cambiar la contraseña de la cuenta de correo electrónico de la víctima.
Se registra acceso del usuario pedro.figueroa@infomat.com desde la IP 190.44.214.33 entre 22:18:53 y 22:19:03
Captura de la Pantalla # 12: Acceso desde IP 190.44.214.33 a cuenta de correo pedro.figueroa@infomat.com
Registro completo:
"GET /webmail/x3/?login=1 HTTP/1.1"
Fecha: lunes 29 de agosto de 2011
Acceso al correo electrónico por medio de http://webmail.infomat.com desde la ip 190.101.61.111 a la cuenta de correo pedro.figueroa@infomat.com entre 12:48:20 y 12:50:21
Captura de la Pantalla # 13: Acceso desde IP 190.101.61.111 a cuenta de correo pedro.figueroa@infomat.com
Registro completo:
"GET /webmail/x3/?login=1 HTTP/1.1"
EVIDENCIA 2
Captura de la Pantalla # 14: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Certificado cumplimiento laboral”
Se observa correo electrónico desde la cuenta de un funcionario de la empresa Deloitte, “jmquiroz@deloitte.com”, dirigido al Sr Pedro Figueroa, en el cual el asunto del correo es “Certificado cumplimiento laboral”, con esto podríamos deducir que el Sr. Pedro Figueroa es el ejecutivo encargado de recursos humanos.
EVIDENCIA 3
Captura de la Pantalla # 15: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Ayuda para volver a entrar en Facebook”
Se observa correo electrónico desde la cuenta update+zrdorregp6z1@facebookmail.com dirigido, al Sr. Pedro Figueroa, en el cual el asunto del correo es “Ayuda para volver a entrar en Facebook”, dando a notar que esta persona podría ser un blanco fácil de algún tipo de fraude informático, como robo de contraseñas, ingeniería social, etc.
EVIDENCIA 4
Para esta evidencia se ha capturado registros con asuntos sospechosos, que hagan referencia a un finiquito, además que hagan inferir una posible fuga de información:
Finiquito: es un documento, realizado en papel por el que se pone fin a la relación laboral existente entre el *Liquidación y firma: se confrontan devengos y deducciones, obteniendo la cantidad a cobrar por el trabajador. Dicha cantidad no podrá ser nunca negativa. Esta cantidad deberá abonarse en el momento de la firma, bien en efectivo o talón bancario. En el momento de la firma el trabajador rechaza a cualquier pago que pudiera corresponderle. Solo mediante el añadido "recibido no conforme" deja la puerta abierta a posibles reclamaciones futuras.
Captura de la Pantalla # 16: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “RE: Finiquitos”
Registro completo:
1Qodbs-0006aV-ET <= juan.parra@infomat.com H=pc-62-62-100-190.cm.vtr.net (JUANPARRA) [190.100.62.62]:4743 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:juan.parra@infomat.com S=18751 T="RE: Finiquitos" from <juan.parra@infomat.com> for jorge.bravo@infomat.com oscarrupallan@infomat.com patricio.guerrero@infomat.com pedro.figueroa@infomat.com
Captura de la Pantalla # 17: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Anexo de contrato”
Registro completo:
1QwaXJ-0008TK-Qv <= felipe.romero@infomat.com H=pc-168-210-160-190.cm.vtr.net (FelipeRomero) [190.160.210.168]:2710 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:felipe.romero@infomat.com S=48715 T="Anexo de contrato." from <felipe.romero@infomat.com> for patricio.guerrero@infomat.com pedro.figueroa@infomat.com
Captura de la Pantalla # 18: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “lo solicitado”
Registro completo:
1Qnt15-0004Cx-05 <= juan.contreras@infomat.com H=pc-33-61-101-190.cm.vtr.net (JPcontrerasPC) [190.101.61.33]:49303 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:juan.contreras@infomat.com S=62912 id=003701cc5052$c4e2a5b0$4ea7f110$@infomat.com T="lo solicitado" from <juan.contreras@infomat.com> for constanza.cuitino@vtr.net
Captura de la Pantalla # 19: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Documentaci\363n Emilio Romero Duran”
Registro completo:
1QwgPN-0001OJ-4R <= roberto.opazo@infomat.com H=pc-38-190-44-190.cm.vtr.net (rrhh7279328bf7) [190.44.190.38]:2774 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:roberto.opazo@infomat.com S=6275 T="Documentaci\363n Emilio Romero Duran" from <roberto.opazo@infomat.com> for pedro.figueroa@infomat.com
Captura de la Pantalla # 20: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Calculo Pablo Calcumil”
Registro completo:
1QwwdR-000764-TQ <= rodrigo.lagos@infomat.com H=pc-168-210-160-190.cm.vtr.net (RodrigoLagos) [190.160.210.168]:1760 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:rodrigo.lagos@infomat.com S=908994 T="Calculo Pablo Calcumil" from <rodrigo.lagos@infomat.com> for patricio.guerrero@infomat.com pedro.figueroa@infomat.com
Captura de la Pantalla # 21: Correo dirigido a cuenta de eduabatt@gmail.com con asunto “RV:Calculo Pablo Calcumil”
Registro completo:
1Qx5lc-0006DN-6N <= patricio.guerrero@infomat.com H=pc-33-214-44-190.cm.vtr.net (EduardoPC) [190.44.214.33]:49446 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:patricio.guerrero@infomat.com S=912937 T="RV: Calculo Pablo Calcumil" from <patricio.guerrero@infomat.com> for eduabatt@gmail.com
Captura de la Pantalla # 22: Cuenta de correo de eduardo.abatte@infomat.com
El usuario de la cuenta de correo eduabatt@gmail.com también tiene una cuenta en la empresa, la cual es eduardo.abatte@infomat.com, con lo cual se puede inferir que este usuario es empleado de dicha empresa y podría ser quien proporcionó información confidencial.
EVIDENCIA 5
Captura de pantalla 23 #: Correo electrónico con asunto “reunión sindical”
Registro completo:
1QxnZT-0005hy-Db <= carlos.bustamante@infomat.com H=localhost (webmail.infomat.com) [127.0.0.1]:43648 I=[127.0.0.1]:25 P=esmtpa A=courier_login:carlos.bustamante@infomat.com S=874 id=ddb3b7e6d37939e33b26ee10dd83264d@infomat.com T="reunion sindical" from <carlos.bustamante@infomat.com> for GUSTAVO.CONTRERAS@infomat.com PEDRO.FIGUEROA@infomat.com eduabatt@gmail.com ofuenzalida.r@gmail.com
EVIDENCIA 6
Captura de pantalla # 24: Correo electrónico con asunto “Licencias Medicas”
Registro completo:
1Qx2dJ-0002UW-9w <= felipe.romero@infomat.com H=pc-168-210-160-190.cm.vtr.net (FelipeRomero) [190.160.210.168]:2922 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:felipe.romero@infomat.com S=56938 T="Licencias Medicas" from <felipe.romero@infomat.com> for axel.vallejos@vtr.net carlosleyton@vtr.net carmen.martinez@e.vtr.cl claudio.trujillo@infomat.com daniel.mora@infomat.com hernanaraya@vtr.net i.vidal@vtr.net josehuaiquiman@vtr.net maria.slier@infomat.com
miguel.barriga@vtr.net pablo.calcumil@infomat.com patricio.guerrero@infomat.com pedro.figueroa@infomat.com ruben.aravena@vtr.net s.galarce@vtr.net ulises.jara@e.vtr.cl
DETALLE DE LOS SUPUESTOS IMPLICADOS:
Fecha Hora De: Para: Asunto
25-ago-11 9:51 juan.parra@infomat.com pedro.figueroa@infomat Finiquito
25-ago-11 10.04 felipe.romero@infomat.compatricio.guerrero@infomat.com, pedro.figueroa@hotmail.com Anexo de contrato
25-ago-11 10:30 juan.contreras@informat.com pedro.figueroa@informat.com Lo Solicitado
25-ago-11 16:20 roberto.opazo@informat.com pedro.figueroa@informat.comDocumentación Emilio Romero Duran
26-ago-11 9:40 rodrigo.lagos@informat.compatricio.guerrero@infomat.com, pedro.figueroa@hotmail.com Calculo Pablo Calcumil
26-ago-11 19:25 patricio.guerrero@informat.com eduabatt@gmail.com Calculo Pablo Calcumil
Tabla #1: Resumen de sospechosos
IPs REQUERIDAS
190.160.155.47
IP que es del dominio cm.vtr.net y que normalmente se conectan los usuario para acceder al servicio de correos.
Captura de pantalla #25: Información de la IP 190.160.155.47
186.105.97.14
IP desde la que se hizo cambio de password de la cuenta de correo pedro.figueroa@infomat.com.
Registro completo:
http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com
Captura de pantalla #26: Información de la IP 186.105.97.14
INFORMACIÓN DEL ISP
Captura de Pantalla # 27: Pantalla Inicio de la Página Web del ISP VTR
Vtr.com es un proveedor chileno de servicios de televisión por cable, telefonía básica e internet banda ancha.
Cuenta con un servicio de webmail para los usuarios de este proveedor con un formato xxxx.xxxxx@vtr.net, la imagen siguiente muestra la página de acceso.
Captura de Pantalla # 28: Pantalla del WebMail del proveedor VTR
CONCLUSIONES:
Se encontraron registros de accesos del sábado 27 y domingo 28 del 2011, dias en que laboralmente la empresa no trabaja.
En base al artículo #2 de la ley de Correo Electrónico nos permite analizar el archivo log infomat.pop.imap.smtp.login del cual se obtuvo el rango de ips de los accesos en los dias antes mencionados.
En base al archivo log entregado por el ISP se identifica a la ip 201.239.245.76 que es la unica que coincide con el rango de ips que se obtuvieron anteriormente.
En la información otorgada por el proveedor se constató que esta ip correspondía al hostname eduardo-PC, posteriormente se analizó en log infomat.exim.log en la cual consta que desde el computador sea accedida a cuentas de correos de diferentes usuarios y se reenviaba información confidencial de la empresa INFOMAT, lo cual estaría penado por el artículo #4 de la ley del correo electrónico.
ANEXOS
Anexo # 1 : Ley 19.223 Legislación Chilena “Tipifica Figuras Penales Relativas a La Informática”
Anexo # 2 :Integridad de la evidencia archivo infomat.actividad.roundcube.log
Anexo # 3 :Integridad de la evidencia archivo infomat.exim.log
Anexo # 4 :Integridad de la evidencia archivo infomat.pop.imap.smtp.login.log
Anexo # 5 :Integridad de la evidencia archivo infomat.webmail.log
JOSÉ LUIS APOLO
PERITO INFORMÁTICO JUDICIAL
top related