Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
img
img

 

 

Informática forense
Peritajes informáticos, análisis de evidencia presentada por las partes en juicios civiles.

img
img
img
.Más leídos
» Convertir msg a eml
» Correo Microsoft Exchange modificado manualmente
» Desaparecieron los correos que tenía en hotmail
» Editores de texto que resalten la sintaxis eml de correos electrónicos
» ¿Es posible peritar emails en formato papel o pdf?
» Fingerprint servidor exchange
» Metadatos de archivos digitales
» Metodología para realizar una comparación forense de voces paso a paso
» Preservar mensajes de WhatsApp
» Thread index análisis forense de emails
img
.Sobre mí
FOTO

Ing. Andres Aliaga

Gerente Comercial - Software -
Profesor de la Universidad del Salvador

» Ver perfil

img
.Buscador
Blog   Web
img
.Nube de tags [?]
img
.Enlaces
img
.Se comenta...
09 de Febrero, 2020 · General

Procedimiento para peritaje de dominios

Es frecuente que los letrados soliciten al perito que realice la validación de un contenido publicado en una página web determinada.


1. Para el caso de que la página web no exista al momento del acto pericial, revisar el historial en Wayback Machine en el siguiente hipervínculo: https://archive.org/web/ y realizar una búsqueda por términos en Google.-


2. Si la página web existe proceder a realizar la verificación de IP y puertos del servidor.


2.1. Descargar la aplicación Zenmap de la página web: https://nmap.org/download.html. Acceder al hipervínculo de descarga correspondiente. Para el caso de sistemas operativos Windows: https://nmap.org/dist/nmap-7.80-setup.exe


2.2. En el campo Target colocar el dominio o el sitio web raíz y no todo el hipervínculo. Es decir para la página web http://www.ejemplo.com/listado/principal.html, colocar solamente ejemplo.com. Verificar IP y revisar si posee activos los puertos de correo electrónico, los que son por defecto: 

POP3: 110 y 995, IMAP: 143 y 993, SMTP: 25 y 465.


2.3. En google realizar una búsqueda por los siguientes términos: nmap online. A la fecha, el primer resultado que arroja el buscador es el siguiente: https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap 


2.4. Acceder al sitio de nmap online y colocar el dominio en el mismo. Realizar una comparación entre las IP obtenidas localmente mediante la herramienta Zenmap y la obtenida mediante esta última metodología.


2.5. Para el caso de que la IP y los puertos abiertos sean idénticos se tendrá una constancia de que se está accediendo al sitio web correcto. Para el caso de que exista una diferencia, debe realizarse una verificación adicional.


2.6. En google realizar una búsqueda por los siguientes términos: reverse ip. A la fecha, el tercer resultado que arroja el buscador es el siguiente: https://viewdns.info/reverseip/


2.7. Ingresar la IP obtenida mediante Zenmap. La página devolverá un listado de sitios web que se encuentran asociados a dicha IP. Verificar que el dominio de la página a peritar se encuentra dentro de dicho listado.


2.8. Ingresar la IP obtenida mediante la página web de nmap online. La página devolverá un listado de sitios web que se encuentran asociados a dicha IP. Verificar que el dominio de la página a peritar se encuentra dentro de dicho listado.


2.9. Si el dominio figura en ambas, el sitio web al que se está accediendo mediante el navegador es el correcto.


3. Análisis curl del dominio


3.1. Utilizar el comando curl. En Windows 10 y linux se encuentra incluido en el sistema operativo. Caso contrario realizar una búsqueda en google por los términos: curl online. A la fecha, el segundo resultado de la búsqueda redirige al siguiente hipervínculo: https://reqbin.com/curl


3.2. Ejecutar el siguiente comando; curl -Iv http://www.ejemplo.com. Colocando el dominio. El parámetro I indica que debe consultarse únicamente el encabezado de la comunicación. El parámetro v (verbose) indica que debe mostrarse lo que ocurre paso a paso. 


3.3. El encabezado devuelve la dirección IP del sitio web junto con otra información. En caso de que el mismo incluya el parámetro Last-Modified, el mismo indicaría la fecha en la cual fue modificada la página web.


4. Análisis nslookup y telnet del dominio


Si en el punto 2.2. no aparecen puertos de correo electrónico abiertos, podría tratarse de un servicio de correo electrónico brindado por un tercero.


4.1. Ejecutar el comando nslookup -type=mx invercosa.com e identificar el servidor mail exchanger a la fecha el servidor es mail.invercosa.com


4.2. Ejecutar telnet sobre el servidor mail exchanger. Utilizar línea de comandos o bien el servicio online: adminkit.net/telnet.aspx. Colocar el hostname (mail.invercosa.com) y el puerto 25. El comando devuelve una respuesta de este tipo: 220 lar01.soslinux.com.ar ESMTP ispCP 1.1.0 Beta 1OMEGA Managed


Aquí se observa que el servicio de correo electrónico se brinda desde el dominio soslinux.com.ar 


4.3. En encabezado de correo electrónico es posible revisar el campo Received en búsqueda de indicios respecto del servidor:

Received: from 127.0.0.1  (EHLO lar01.soslinux.com.ar) (190.210.182.64)  by mta1176.mail.gq1.yahoo.com with SMTP- ...


Para el caso de que el titular del dominio no haya modificado su proveedor de correo electrónico se podrá ver una coincidencia entre nombres de servidor. En este caso lar01.soslinux.com.ar.-


5. Incorporar la página web al reporte


5.1. Realizar una captura de imagen de la página web, para ello instalar un complemento de captura de pantalla que abarque el total de la página que se muestra en pantalla. Para google chrome podría ser: Full Page Screen Capture, el cual se puede descargar del siguiente hipervínculo: https://chrome.google.com/webstore/detail/full-page-screen-capture/fdpohaocaechififmbbbbbknoalclacl 


5.2. Si la página es demasiado extensa, guardar el documento como PDF y luego convertirlo a imágenes. O bien descargar la página como imagen y luego cortarla manualmente e incluirlas en el reporte.-


6. Otras acciones


6.1. Buscar en google: Google transparency report safe browsing search. A la fecha el hipervínculo de acceso es https://transparencyreport.google.com/safe-browsing/search. Ingresar el dominio o sitio raíz y revisar si el mismo posee contenido no seguro.-


6.2. El sitio domaintools.com posee un servicio bastante completo de whois. En el hipervínculo http://whois.domaintools.com colocar el dominio y observar IP, estado del dominio, historia del registro, cantidad de cambios en servidores de nombre (Name Servers - NS).

publicado por andresaliaga a las 16:54 · Sin comentarios  ·  Recomendar
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>, <li>· Lista</li>
img img
FULLServices Network | Blog gratis | Privacidad