Cibercriminalitat (parte técnica) (2015)

Apunte Español
Universidad Universidad de Barcelona (UB)
Grado Criminología - 4º curso
Asignatura Cibercriminalitat
Año del apunte 2015
Páginas 10
Fecha de subida 24/03/2016
Descargas 9
Subido por

Descripción

Prof: Abraham Pasamar

Vista previa del texto

1. INTRODUCCION AL CIBERCRIMEN. COMUNICACIÓN ENTRE ORDENADORES Rawsowware  equivalente al secuestro exprés, secuestran información (ej: el virus de la policía, bloquean el acceso a la información que les interesa a través de criptografía, cifran los datos). El rescate normalmente lo piden mediante un mensaje en la pantalla del ordenador, que se adapta al país donde está el ordenador. El precio se adapta en función de a quien infectan. Cuando se paga la cantidad pedida, el cibercriminal le envía una clave para que pueda recuperar la información perdida.
Un delito informático o ciberdelincuencia es toda aquella acción típica, antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet.
Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito, según la “teoría del delito”, por lo cual se definen como abusos informáticos, y parte de la criminalidad informática.
Hay quien dice que los delitos informáticos no existen sino que simplemente son los mismos delitos pero que utilizan medios informáticos para cometerlos.
La criminalidad informática tiene un alcance mayor y puede incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados como medio. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sin número de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático:  Ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por crackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros.
Entrar en un sistema consiste en encontrar vulnerabilidades en él. Por elo la actividad típica del cibercrimen consiste: - Robar los códigos de acceso a cuentas Bancarias - Promocionar productos o servicios en el ordenador de la víctima - Utilizar ilegalmente los recursos de un ordenador infectado para desarrollar y ejecutar: - Campañas de spam - Ataques a la red distribuidos (también llamados ataques DDoS) - Operaciones de chantaje - Transferencias Bancarias El 80% de ordenadores están infectados con algún tipo de malware.
El malware es una pieza de software especialmente confeccionada para llevar a cabo fichas actividades delictivas, pero hay que distinguir los malware de los goodware estudiando su comportamiento y creando técnicas de evasión/engaño Los antivirus buscan las firmas en los malware (formas estáticas que los antivirus tiene en su base de datos, que solo podrán ser detectados si el malware ha sido analizado con anterioridad), y luego están las formas heurísticas o dinámicas se basan en que el malware se parecen entre si determinados comportamientos los tienen catalogados como maliciosos y el antivirus los detecta como malware. Los ciberdelincuentes crean malwares que se parecen a goodwares y que pasado un tiempo empiezan a hacer cosas malas pro ello el antivirus no puede detectarlos.
En una organización criminal ya no es necesario un alto conocimiento técnico en múltiples disciplinas, ya que existe un mercado negro de malware, exploit, kits…que son especialistas en desarrollar malware, desarrollar crypters, localizar vulnerabilidades,, exploits, operar botnets (una red zombi y que a través de múltiples trucos instala en el ordenador un malware, los PC infectados se conectan a un servidor, un ordenador remoto que está en internet y quien ha creado el malware le ha indicado donde debe colocarse - C&C: Comander and control- ), distribuir campañas, carding, trasferencias…en comercio de credenciales, números de tarjetas…así como mailers, scammers, spammers… Las agencias y gobiernos:  Desarrollan y compran Malware  Son los principales compradores de 0-Days  Empresas: Programas de recompensas de compra de irregularidades en sus programas y asi solucionarlo antes de que llegue al mercado negro.
 Colaboración entre Agencias – ISP’s (proveedor de servicios de internet) (casi todos EEUU) 2. DIRECCIONES IP Y NOMBRES DE DOMINIO APT: Advance Persistent Threat - Amenaza persistente avanzada  Es una amenaza persistente avanzada, también conocida por sus siglas en inglés. APT (Advance persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos de piratería informática, a menudo orquestada por humanos, dirigido a una entidad especifica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones pro motivos de negocios o políticos. Los procesos de APT requieren un alto grafo de cobertura durante un largo periodo de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término persistente sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continuo. El término amenaza indica la participación humana para orquestar el ataque: o Obtención de información o Altamente especializados o Persistentes o ¿Quién hay detrás? Gobiernos, agencias, corporaciones  Es una verdadera amenaza que afecta principalmente a las corporaciones, organizaciones y gobiernos es una devolución en el ciberespiaonaje. Son persistentes porque quien quiere ejecutar una de esas acciones y obtener una información final lo va a conseguir y es real porque existe. Normalmente se busca información, es avanzada porque se le encarga a cualquiera sino a profesionales.
Ciclo de una APT (diapositivas 14-15-16-17):  Definir target objetivo, hay que tener muy claro a quien hay que atacar y que es lo que se busca  Se monta todo el entorno, todo los necesario para q crear el equipo de trabajo  Herramientas que se va a llevar acabo el ataque, combinación de herramientas existentes para entrar y una vez dentro utilizar el malware creado  Investigaciones de infraestructuras, empleados…  Probar las medidas de seguridad  Despliegue de todo el ataque e intrusión inicial  Expansión hacia dentro, mayor capacidad de acceso  Una vez que se está dentro se procura con la obtención de credenciales  Técnicas de propagación (lateral) o Kaylover o Sniffer  Dexfiltarción, sacar la información a al que ya se ha conseguido el acceso (hay controles par que no se lleven al información los atacantes tienen que superarlas).
 Cubrir las huellas y permanecer indetectable Ejemplos notorios:      Stuxnet (2010 año de descubrimiento)  malware muy avanzado que había infectado la central nuclear de Natanza (Irán) tenía dentro unas características muy particulares y tenía como objetivo retrasar el programa nuclear (producción de uranio) iraní. El virus llegó a infectar miles de equipos en 155 países. Una vez infectaba un ordenador si veía que ese ordenador no había ninguna información de interés se desinstalaba.
Duqu (2011)  (el subnombre se debe a que creo archivo con el nombre de “DQ”) este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán `para fabricar bombas nucleares (Stuxnet). El anuncio de que le troyano Duqu estaba desarrollado en un lenguaje de programación “desconocido” desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo. Fue realizado “por encargo” con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. En origen estaba destinado a robalo información de infraestructuras crítica tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows (se extrae mucha información, que se analiza por otro equipo distinto que crea el malware, depende del objetivo el tamaño de la red es diferente, buscan selectivamente que victimas infectar y según qué características haya lo infectan, vuelve analizar si tiene otras características más específicas y si también las tiene ya se empieza a bajar información de ese ordenador y así poder analizarla después).
Flame (2012) o De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas. Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados. En mayo de 2012, los países más afectados fueron Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.
o Según Eugene Kaspersky, "la ubicación geográfica de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware." También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.
o Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que él había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel. The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable, mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE.UU está detrás del malware.
o Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.15 APT-1 (2013) o Mandiant publicó un revelador informe en el que destapaba toda la campaña de ciberespionaje a nivel empresarial de APT1 y relacionaba la unidad con el gobierno chino: tanto con el ejército militar como con su Departamento de Defensa. Dejando expuestas la línea temporal y los detalles de la extensa infraestructura de ataque de APT1 y sus más de 40 familias de malware.
o La Unidad 61398 del Ejército Popular de Liberación de China, cuya base está en Shangai, se identifica en el informe como la fuerza que dirige los ataques de hackers. “La naturaleza del trabajo que desempeña esta unidad se considera secreto de Estado en China. Sin embargo, creemos que tiene que ver con Operaciones sobre Redes de Ordenadores (CNO) dañinas”, dice Mandiant.
o La unidad lleva robando cientos de terabytes de datos de 141 compañías pertenecientes a diferentes industrias (la mayoría en Estados Unidos, aunque también en Canadá y Reino Unido) desde hacía por lo menos 7 años. La información robada incluye desde detalles sobre fusiones y adquisiciones hasta emails de los empleados de las corporaciones.
Equation (2015) o Según el análisis realizado por Kaspersky Lab, se trata de un malware de una sofisticación nunca vista, que lleva operando desde 2001.
o Son 6 las piezas de malware que componen Equation, relacionadas con troyanos que permiten control total y remoto sobre la máquina infectada, posibilitando la instalación de nuevos módulos según el atacante necesite. Otra de las piezas de este conjunto de malware, es la instalación de un boot kit, llamado Gray Fish, que parcheaba todo aquello que necesitaba y borra sus propias huellas.
o Cuenta con un alto grado de persistencia, es capaz de infectar el firmware de discos duros de diferentes fabricantes, para que no sea visible ni modificable los sectores donde Equation se alberga. Ni siquiera formateando el disco duro es posible dejarlo completamente limpio, puesto que es el propio firmware quien protege que esa parte de disco contra escritura posterior o Permitía al malware sobrevivir al formateo del ordenador y reinstalación, tenía la capacidad de infectar el firmware del disco duro.
3. INTERPRETACIÓN DE LOS DATOS DE LA COMUNICACIÓN Comunicación entre ordenadores o Objetivos de la utilización de redes (Diapositiva 28-29-30-31)  Posibilitar el intercambio de datos entre puntos dispersos geográficamente (oficinas en distintas localizaciones por ejemplo).
 Compartir recursos (compartir la carga de un sistema permite una mejor utilización).
 Disponer de un entorno de trabajo flexible (teletrabajo, acceso remoto desde ordenadores portátiles, etc.).
 La pila osi – la pila TCP/IP son una serie de protocolos por los cuales funciona la comunicación entre ordenadores  El protocolo TCP está orientado a la conexión, comprueba si la IP1 y la IP2 se contestan si hay una conexión establecida (se gestionan puertos y conexiones)  El protocolo UDP no está orientado a la conexión porque no comprueba, que la IP2 no sabe si se pierde algún paquete. Sirve para comunicaciones fluidas (se gestionan puertos y conexiones).
 Los servidores DNS (Domine Name Service) son los dominios de las IP de las páginas web, están organizados en jerarquías.
 Las 7 capas del método OSI:  TELNET: se utiliza para poder hablar SMTP (protocolo de trasmisión de correo electrónico -utiliza el puerto 25- se hace una evolución del protocolo para enviar a más de una persona un email). Establece una canal TCP entre dos máquinas que los conecta y que tiene un puerto por defecto, el 23, que se puede conectar al puerto que se quiera del ordenador. Lo que hace es que puede enviar una serie de informaciones que lo que hace es que las envía y que el otro ordenador es capaz de procesar todos los comandos. Protocolo de comunicación simple. La única utilidad es a nivel práctico para saber cómo utilizar otros protocolos.
 FTP (fair Transfer Protocol): sirve para establecer una conexión determinada entre IPs a través de un puerto por defecto, el 21, permite que se vea los archivos que tiene uno y otro equipo y se pasa los datos de uno a otro.
Un ordenador es una combinación de software (procesador, memoria RAM-memoria rápida-, disco duro, tarjeta de red-wifi, para que se pueda comunicar-, puertos para periféricos-USB-) y Hardware. El sistema operativo es un sistema para interaccionar con los datos que están almacenados en el ordenador y también permite que instalemos aplicaciones. En los protocolos se usan comando para hacer funcionar el sistema y permite las comunicaciones entre equipos.
Conceptos Básicos  Comunicación: Transferencia de comunicación.
o La comunicación punto a punto no es práctica, ya que los dispositivos pueden estar muy separados físicamente. Un número elevado de dispositivos, requeriría una cantidad desmesurada de conexiones.
o Por lo que se utilizan redes de difusión. En ellas, la subred es un elemento compartido.
 Sistema de Comunicación: Conjunto de elementos que permiten la comunicación entre usuarios remotos.
   Canal: Medio sobre el que se realiza la comunicación.
Protocolo: Conjunto de reglas para que emisor y receptor interpreten de forma adecuada la información que se transmite por el canal.
Red de Ordenadores: Conjunto de sistemas autónomos interconectados.
o Redes punto a punto: la comunicación punto a punto no es práctica. Los dispositivovos pueden estar muy separados físicamente. Un número elevado de dispositivos, requeriría una cantidad desmesurada de conexiones o Redes de difusión: son las redes que se utilizan en la actualidad, ya que en ellas la subredad es un elemento compartido. En vez de llevar un cable desde cada ordenador de manera física has a el nodo centra, los ordenadores que están cerca se interconectan entre un elemento de intercomuncaciones y se lleva un solo cable hasta el nodo central (el switch es el elemento que une todos los ordenadores y saca solo un cable que será el que vaya al nodo central – trabaja en la capa de nivel de enlaces). El router (nivel IP, nivel de enlace) trabaja a nivel de telecomunicaciones, de redes. Estos ordenadores no podrán conectarse a internet hasta que estén conectados a un router solo podrán compartir archivos entre ellos.
 La dirección MAC es una dirección red, que es de lo único que entiende el switch (es un nivel de enlace y entiende de direcciones de tarjetas de red, de wifi, de direcciones red…) Clasificación de redes:  LAN  redes de área local o Redes de ámbito local.
o Propiedad de una única organización.
o Redes de difusión, generalmente.
o Mayor velocidad de transmisión de datos.
 WAN  redes de área amplia o Cubren grandes zonas geográficas.
o Desarrolladas, mantenidas y gestionadas por empresas de telecomunicaciones.
Tipologías de red:  Redes de área local (LAN) o Una red con switch es una red en bus o Un red en anillo se usa un tótem que oermite emitir información que pasaba de uno a otro hasta llegar al destino  Redes inalámbricas  Redes de área metropolitana (MAN) - Redes de área amplia (WAN)  Internet Comunicación de paquetes:  Los datos se dividen en fragmentos que se transmiten de forma independiente  El tamaño de los paquetes importa en la trasmisión  Técnicas de commutación (Diapositiva 45) o Commutacióin de circuitos o Commutación de paquetes mediante circuitos virtuales o Commutación de paquetes mediante datagramas El packet-switchinf network: es la trasmisión de paquetes de interconexión de switches, que conocen la dirección MAC. Los datos se dividen enfragmentos que se envían de forma independiente.
Encapsulación: cada capa añade su cabecera. El paquete va creciendo conforme se le añaden cabeceras (bajando en las capas) desde la de Aplicación hasta la física. Las cabeceras indican cuantos bits se están transmitiendo, con su protocolo, la capa que puede interpretar que se ha enviado. Se van pasado de capas hasta llegar arriba y llegar a la capa de protocolo de comunicación, cada vez que va subiendo se va quitando la cabecera que pertenece a la capa anterior.
Uso de puertos: diversos programas TCP/IP pueden ejecutarse simultáneamente en internet (por ejemplo, pueden abrirse diferentes navegadores de manera simultánea o navegador por páginas HTML mientras se descarga un archivo de un FTP). Cada uno de estos programas funciona con un protocolo. A veces el equipo debe poder distinguir las diferentes fuentes de datos.
Por lo tanto, para facilitar este proceso, a cada una de estas aplicaciones puede serle asignada una dirección única de equipo, codificada en 16 bits: un puerto (por consiguiente, la combinación de dirección IP + puerto es una dirección única en el mundo denominada socket).
De esta manera, la dirección IP sirve para identificar de manera única un equipo en la red mientras que el número de puerto especifica la aplicación a la que se dirigen los datos. Así, cuando el equipo recibe información que va dirigida a un puerto, los datos se envían a la aplicación relacionada. Si se trata de una solicitud enviada a la aplicación, la aplicación se denomina aplicación servidor. Si se trata de una respuesta, entonces hablamos de una aplicación cliente.
Un servicio es un conjunto de protocolos que hacer que puede funcionar un determinado sistema. Así los clientes (cliente web=navegador) se pueden conectar al servicio que está operativo, y ambos se atienden entre si (protocolo HTTP en servicio web). Para que esto funcione, en las capas de abajo tiene que estar funcionando los otros protocolos.
El puerto en realidad quiere decir la extensión a la que te quieres comunicar pero luego lo que importa es que se hable en el mismo tipo de protocolo (el mismo idioma). En el SMTP (puerto 25) es el puerto estándar para que se pueda en enviar un email. Los primeros puertos 1024 son puertos estándar (la web es en el puerto 80) si quieres montar una web por defecto será el puerto 80 estándar pero si tu piqueros también pueden hacerlo en otro puerto que no sea estándar entonces solo se podrá acceder a esa web quien tenga conocimiento del puerto al que lo has puesto.
- De los puertos 1024 al 49151 son puertos registrados - + POP3 es un protocolo que sirve par de un PC a un servidor de correo cuando se quiere enviar SMTP (protocolo de correo-puerto 25).
- Hay protocolos nuevos que cuando vinculas una cuenta de email a un protocolo HTTP va a obliga a que se convierta HTPPS (candado – lo atiende otro puerto el 443) que es más segura para evitar que cualquier intruso pueda leer nuestras comunicaciones.
- Cuando envías un correo no llega al ordenador si no que se queda en el servidor hasta que el otro quiera abrirlo.
- Para enviar siempre se utiliza el protocolo SMTP - Pero para recibir puedes elegir el protocolo como el POP3 que sirve para descargar el correo localmente al ordenador, es el protocolo más antiguo que existe para leer correo que está pensado para que el equipo de programas que se configuran los correos se descarguen todos los correos pendientes.
También se puede configurar para que borre los correos pasados un tiempo.
o También está el protocolo IMAP que es más nuevo, entiende de carpetas que hay en los correos.
Sincroniza entre los correos del PC y los correos del servidor.
Un protocolo de comunicaciones es un conjunto de reglas y rnoasm que permiten que dos o mas entidades de un sistema de comunicación se comuniquen enre ellos para transmitir infromacion por medio de cualquier tipo de variación de una magnitud física. Se trata de las reglas o el estándar que define ka sintaxi, semántica y sincronización de la comunicación, asi cmo posibles metdos de recuperación de errores. Los protocolos puede ser implementados por hardware software, o una combinación de ambos: - Ejemplos: o Palomas mensajes o Banderas o Comunicaciones  RED:Carpa-+++  ENLACE: ARP     RED: IP TRASPÔRTE: TCP/UDP SESION: SSL APLICACIOON: HTTP/S, SMTP, POP, IMAP… IP  siglas de Internet Protocol (Protocolo de internet). Se trata de un estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes commutados.
Las direcciones IP hacen referencia al equipo de origen y llegada en una comunicación a través del protocolo de internet. Los conmutadores de paquetes (conocidos como switches) y los enrutadores (routerts) utilizan las direcciones IP para determinar qué tramo de red para reenviar los datos.
La dirección IP está compuesta por un número que permite identificar jerárquicamente y lógicamente la interfaz de una computadora y otra máquina que se encuentra conectada a una red que emplea el protocolo de internet. Los usuarios de internet, por ejemplo, utilizan una dirección IP que suele cambiar al momento de cada conexión. Esta modalidad de asignación es conocida como dirección IP dinámica.
- Hay direcciones IP provadas qey sib de uso exclusivo privado, del router hacia dentro, es decir, comunicación a través del wsitch al router, si al router s ele asigna una Ip provadase cambia al conectarse a una red pública.
Hay que diferencias entre: - IP dinámica: se le asigna un router y se le permite que pueda operar en internet (normalmente los particulares) que son las IP Publicas (que son todas menos unas pocas) - IP fija (normalmente para empresas que pagan por ello) Protocolo DNS cuando una aplicación (cliente) necesita resolver un FQHN (es el nombre completo del host) envía un requerimiento al servidor de nombres configurado en el sistema (normalmente, el provisto por el ISP). A partir de entonces se desencadena el proceso de resolución del nombre. ++ Internet surge a partir de un proyecto ARPA en el año 1962 (organismo perteneciente al ministerio de defensa de EEUU) y a partir de ahí surge lo que hoy se conocer como internet. Se propone crear una red de computadores capaz de comunicarse entre sí. Había dos ideas fundamentales (que han configurado los protocolos que configuran hoy internet HTTP/TCP): la clave era el son de una red descentralizada, que cada punto de la red se pudiera comunicar con otros puntos sin necesidad de pasar por un punto central, y que la división de mensajes completos se hicieran fragmentos que no tuvieran necesidad de seguir caminos concretos., ni el mismo camino, pero cuando lleguen al destinos los fragmentos se puedan unir en un mensaje único. El fundamento era crear una red que no haya una centralidad ya que vieron un riesgo de seguridad en la centralización.
EXÁMEN 1. Un stuxet es una APT 2. Un 0-day es una vulnerabilidad explotable y no solventada 3. Un botnet es una red operada por criminales 4. La via de infección con malware más común es la descarga de software en redes P2P 5. Un exploit es un código que sirve para explotar una vulnerabilidad e infectar un ordenador 6. El dispositivo que sirve para intercomunicar redes entre si y opera a nivel de la capa red (nivel IP) es el Router 7. Cuál de las siguientes afirmaciones es correcta (puertos estándar): el puerto SMTP es el 25 y el puerto https es el 443 8. Si un ordenador conecta con un servidor por el puerto TCP 25 pero no consigue que el servido envíe comando SMTP hay un problema en la capa de aplicación 9. Para que el servicio WEB seguro esté operativo en un servidor el puerto los protocolos http y https estar operativos 10. La red ARPANET se creó bajo estos criterios básicos: que fuese descentralizada y con múltiples caminos Dominios - Hay una organización que se encarga de establecer los dominios Un dominio es asignarle un nombre a una IP El ordenador entiende de IP, no de nombres, así que se inventó el DNS para que el ordenador pueda relacionar le nombre con la IP asignada.
Los ciberdelincuentes utilizan los dominios para engañar a los usuarios. La URL está compuesta de varias cosas y una de ellas es el dominio (ej: .edu/.es/.com), Los dominios de dos letras son dominios de países.
Whois  es una consulta sobre nombres de dominio para saber qué datos están asociados al dominio. ´Los datos de registro de dominio no están validados a excepción del de los países.
En los dominios genéricos (TLD) los datos son poco fiables (.com/.net…). Los cc TLD son country code (.es/.et…) Las organizaciones que se encargan de la gestión de los dominios: - IANA: Históricamente se (ahora también esta ICANN) encarga de las IPs y los dominios raíz. Los servidores raíz son unos servidores especiales que se encargan de gestionar algunas zonas si alguno no funcionase no podrían arreglarse problemas con los nombres de dominios. Se distribuyen las zonas de autoridad de los dominios. Se pueden delegar en subzonas (una zona se delega a otro servidor).
- ICANN: asignación de las IP y los nombres de dominios - INTERNIT: resuelve disputas jurídicas relacionadas con el registro Para navegar por internet un ordenador necesita una IP, una IP router y una IP DNS. Cuando el DNS no sabe la respuesta del nombre de dominio se lo pide al DNS raíz que le pone en contacto directamente con el servidor que gestiona ese nombre de dominio, a continuación el DNS se lo envía al PC y ya se puede navegar (es una jerarquía de respuesta).
www.dominio.com Nombre de dominio. A través del nombre de dominio se controla el DNS Nombre de host: un nombre de dominio puede tener tanto como quiera, no forma parte de nombre de dominio Cuando se tiene un dominio se tiene un servidor DNS que se gestiona de forma individual y se puede configurar múltiples nombres para el dominio registrado. Esto es así porque se asocia un host (www.) a una IP a través de un panel de control (subregistro).
Los MX son los servidores de correo y cada uno tiene que tener configurado un dominio.
Un whois es un protocolo muy sencillo, en la web se pone el nombre del dominio y a partir de ese nombre te da información sobre los datos asociados a ese dominio.
- “Registrar”: quien ha registrado el dominio, la empresa - “Registrant”: persona que ha solicitado el registro Spuffin  falsear el dominio de origen (falsea el emisor del correo) por medio de un servidor SPTTP. No pide credenciales, se puede poner el origen de quien se quiera.
- Actualmente Gmail comprueba si el correo que está falseando por eso es complicado colar un email falseado a grandes empresas de correos (a otras empresas sí que es más fácil de falsear un corro). El servidor DNS de Gmail comprueba la IP de quien ha recibido el correo con la IP oficial de la empresa o institución real.
Las cabeceras técnicas o cabeceras de correo de correo electrónico determinan donde se envía el mensaje y registrar la ruta que sigue el mensaje a medida que pasa por cada servidor de correo. Te da las cabeceras básicas del mensaje, hora, destinatario, etc. Para analizar la cabecera técnica se necesitan más datos que son necesarios para investigar.
MIME: cabecera técnica. Se separa del texto con una línea en blanco.
Las cabeceras interpreta correctamente de abajo a arriba porque cuando el correo se crea y se escribe el texto se van añadiendo cabeceras hacia arriba por ello cuando el correo sale del emisor sale con una mínima cabecera y cuando va pasando por los servidores SMPT se van añadiendo cabeceras (líneas) entonces siempre se va escribiendo en esa dirección. Hasta que aparece la cabecera recibe (lo que sale después de la hora es la zona horaria). La hora que aparece es la del servidor y luego cuando nosotros vemos el correo hace la traducción de la hora del servidor a la hora local.
 Gmail: no da la IP del remitente sino una IP interna que asigna  Para clasificar como spam un correo se puede prestar atención a que la dirección mail de quien la recibe no sale en la cabecera porque está en modo cabecera oculta (no sale el mail de quien la recibe, también se puede hacer aunque no sea spam) [CCO/BCC]  El X-mailer es un apartado que se añade a la cabecera e indica que el correo se ha enviado a través de i programa (Outlook) que se ha creado y modificado expresamente para ello (da seguridad).
 Cuando la base de datos o tiene claro a quién pertenece la IP te da la localización del WOIS, puede estar donde dice o no, lo que hay que hacer es mirar diferentes bases de datos a ver si coincide la localización.
 Hay programas que analizan automáticamente el correo  indican si han pasado el filtro DKIM; si lo pasa quiere decir que el servidor de correo ha firmado digitalmente el correo y por tanto el correo viene de ese dominio y no de alguien haciéndose pasar por él.
...

Comprar Previsualizar