Download Informática Forense - Seguridad Informática

21/11/2008
Ing. Guido Rosales Uriona
INFORMATICA FORENSE
1
OBJETIVO
ƒ Mostrar el estado de los delitos informaticos en
Bolivia
ƒ Compartir para despertar la inquietud de forma
masiva
ƒ Es un movimiento emergente. Lo contrario sera
muy dificil
Ing. Guido Rosales Uriona
1
21/11/2008
Contenido
ƒ La evidencia digital
ƒ Delitos Informáticos
ƒ Delitos comunes
ƒ La Informatica Forense
ƒ
ƒ
ƒ
ƒ
ƒ
El marco legal
Servicios Profesionales
Formación
Recursos de infraestructura, hardware y software
Casos reales en Bolivia
Ing. Guido Rosales Uriona
LA EVIDENCIA DIGITAL
ƒ Evidencia: del latin Evidentia. Cualidad de evidente
(Cierto, claro, sin duda)
ƒ RAE: Certeza clara y manifiesta de la que no se puede dudar
ƒ Evidencia digital: “información de valor probatorio
almacenada o transmitida en forma digital”
• IOCE (Internacional Organization Of Computer Evidence). 1999.
ƒ Requisitos Ejemplo: (Ley 527 de 1999 – Colombia)
ƒ la confiabilidad en la forma en la que se generó; la confiabilidad
en la forma en la que se conservó; yy, la confiabilidad en la forma
en la que se identifica al autor.
ƒ Proyecto de ley de documentos, firmas y comercio
electronico
ƒ Valor probatorio
Ing. Guido Rosales Uriona
2
21/11/2008
MARCO LEGAL
Fecha de
Promulgación
Descripción.
11/3/97
LEY 1768 CODIGO PENAL 2 ARTICULOS DE DELITOS INFORMATICOS
25/4/97
31/3/98
REGLAMENTO DE SOPORTE LÓGICO, D.S. 24582
LEY 1834 DE MERCADO DE VALORES ART. 56 PERMITE LOS TITULOS VALORES
1/4/98
LEY 1836 DEL TRIBUNAL CONSTITUCIONAL ART. 29 ADMITE DEMANDAS Y
RECURSOS POR FAX.
LEY 2297 DEL MODIFICA BANCOS 1498 ART. 6 APRUEBA EL USO DE Y SU VALOR
PROBATORIO EN EL SECTOR FINANCIERO
20/12/01
8/8/02
LEY 24 10 CONSTITUCION POLITICA DEL ESTADO , INTRODUCE EL RECURSO DE
HABEAS DATA PARA LOS DATOS PERSONALES
2/8/03
LEY 2492 CÓDIGO TRIBUTARIO DE ART. 77 ADMITE COMO MEDIOS DE PRUEBA
LOS INFORMÁTICOS
INFORMÁTICOS, ART.79
ART 79 INCORPORA LOS MEDIOS TECNOLÓGICOS
TECNOLÓGICOS,
APRUEBA LAS NOTIFICACIONES ELECTRONICAS
D.S. 27241 DE REGLAMENTO A LOS PROCEDIMIENTOS ADMINISTRATIVOS,
ADMITE COMO MEDIOS DE PRUEBA LAS DOCUMENTOS ELECTRÓNICOS
14/11/03
1/07/04
9/01/04
RESOLUCION DE DIRECTORIO BCB Nº 086/2004 APRUEBA REGLAMENTO DE
FIRMA DIGITAL.
D.S. 27310 DE REGLAMENTO DEL CÓDIGO TRIBUTARIO, RECONOCE MEDIOS E
INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS
ELECTRÓNICOS..
Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona
MARCO REGULATORIO
Sector
Documento
Fuente
Observaciones
Gobierno
Ninguno
http://www.abi.bo
No se tiene nada específico. Existe el
anteproyecto de Ley sobre Transacciones
electrónicas y Delitos Informáticos.
Sector
telecomunicaciones
Sector Energía
Eléctrica
Ninguno
www.sittel.gov.bo
Ninguno
www.sicoes.gov.bo
Solo se regulan temas de servicios y no de
sistemas.
Intentos de efectuar Auditorias de sistemas
desde el año 2004. Tiene un reglamento de
calidad de información amparado en un
decreto.
Sector Financiero
SB 443/03
www.sbef.gov.bo
Requisitos mínimos de seguridad informática.
Sector Pensiones,
Circular
www.spvs.gov.vo
Requiere elaborar análisis de riesgos para
Valores y Seguros
fundamentar la infraestructura de seguridad.
Ad i i
Administrativa
i
Sector educación
Ninguno
www.abi.bo
No se efectúan actividades relacionadas.
FFAA
Ninguno
www.ejercito.mil.bo
Se creó un departamento denominado
CRISIS, sin embargo no se conoce nada
oficialmente sobre su finalidad.
Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona
3
21/11/2008
DELITOS INFORMATICOS
ƒ Delitos cometidos con la participacion de TI
como objetivo o medio
ƒ Directos / Activos
ƒ Indirectos / Pasivos
ƒ Actores
ƒ De persona a persona (Acceso no autorizado
Calumnias)
ƒ De
D empresa a persona (Spam)
(S
)
ƒ De persona a empresa (virus, spam, manipulacion)
ƒ De empresa a empresa (Espionaje)
MSc. Ing. Guido Rosales Uriona
Los delitos
ƒ Delitos Informáticos
ƒ Art. 363 bis : Manipulación Informatica
ƒ Art 363 ter : Acceso no autorizado
ƒ Delitos contra la fe pública:
ƒ 198 Falsedad material
ƒ 199 Falsedad ideológica
ƒ 203 Uso de instrumento falsificado
ƒ Delitos contra la propiedad
ƒ 326 Hurto
ƒ 331 Robo
ƒ 335 Estafa
ƒ 345 Apropiación Indebida
ƒ 346 Abuso de confianza
Ing. Guido Rosales Uriona
4
21/11/2008
INSEGURIDAD LEGAL
PAÍS
LEY Y FECHA DE PROMULGACIÓN
Argentina
g
Bolivia
Chile
Colombia
Leyy 25.506,, Firma Digital,
g , Diciembre 2001.
Proyecto de Ley
Ley 19.799, Promulgada en Marzo del 2002
Ley 527 sobre Mensajes de Datos. Comercio
Electrónico y Firma Digital de 18/08/1999
Ecuador Ley No. 2002-67) 10/04/2002
España
Ley 59/2003
Perú
Ley 27269, 26/05/2000
Paraguay Proyecto
Uruguay La ley N° 17.243 del 29/06/2000
Venezuela 10 de febrero del 2001
Guido Rosales Uriona
TENDENCIAS CONSULTORIA
12
10
8
6
4
2
0
01 AL 02
03 AL 05
AUDITORIAS
MSc. Ing. Guido Rosales Uriona
05 AL 06
FORENSES
06 AL 07
SGSI
08 AL 10
MICs
Fuente: Investigación Propia
5
21/11/2008
ESTADISTICAS NACIONALES
AMENAZAS TECNOLOGICAS
Robo de
Informacion
Violacion
DeCCTV
privacidad
SPAM
Acoso
Phising
PIrateria
Pornografia
Infantil
Espionaje
Virus
6
21/11/2008
BOLIVIA
BOLIVIA:
INFORMATICA FORENSE
Ing. Guido Rosales Uriona
TRIÁNGULO DEL CRIMEN
/
REAL VIRTUAL
/
REAL VIRTUAL
/
REAL VIRTUAL
7
21/11/2008
LA INFORMATICA FORENSE
ƒ Concepto
ƒ Ciencia que se ocupa de recolectar, preservar,
analizar
li
y presentar la
l evidencia
id
i di
digital.
i l
ƒ Marco legal en Bolivia
ƒ Figura de la Pericia: Art. 204 - 215, c.p.p
ƒ El consultor técnico: Art. 207 c.p.p
ƒ Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo 48
Ing. Guido Rosales Uriona
APLICACIÓN INFOFOR
Escena
del
Hecho
F/V
80/20
INFORMATICA
FORENSE
Análisis
Pericial
(Forense)
F/V
20/80
8
21/11/2008
INFOFOR - COMO ESTAMOS?
12,5
12,5
50
25
6Rs Completo
Escena del hecho
Previo
Analisis
Método del Octágono
Mundo Real
Mundo Virtual
9
21/11/2008
ETAPA 1. PROTECCION
ƒ Evitar la contaminación de la escena del hecho
ƒ Considerar necesidad de Investigación Interna
ƒ Volcado de memoria
ƒ Registro del tiempo exacto (GMT -4)
ƒ Apagar dispositivos previa acta del último estado o pantalla
visible
ETAPA 2: EVALUACION
Santa Cruz
Servidor
Servidor
Servidor
Cochabamba
ENTEL/ Comteco /
COTAS, etc
Servidor
ƒ Conocimiento previo SU3, escaneo de red y/o interrogatorio
ƒ Escena: Cerrada, mixta y abierta
ƒ Principio de e-locard
10
21/11/2008
ETAPA 3: FIJACION
ƒ Facilitar la
reconstrucción de la
escena del hecho
ƒ Identificar fuentes de
evidencia: Señalectica
ƒ Caracterización por
seriales impresos
ƒ Fijación digital
mediante clonación o
imagen de medios
I
I
I
I
I
I
I
V
ETAPA 4: RASTREO FISICO / DIGITAL
Rastreo digitl sobre copias (clon o imagen)
•Manual – Explorador
•Automático – Antivirus, antispyware, set de hashes
11
21/11/2008
ETAPA 5: RECONOCIMIENTO DE OBJETIVO
O MEDIO
ƒ Repositorios en red: PC, impresoras, servidores
ƒ Repositorios en Internet: Cuentas de email,
servidores hackeados
ƒ PC Zombis: Artillería remota
ƒ Maniobras de distracción: Confundir al enemigo
ƒ En función de la topología y esquema de red
ƒ Servidores de seguridad
seguridad, de base de datos
datos, de
aplicaciones, de correo
ETAPA 6: HIPOTESIS CRIMINAL
La estrategia del TERO
12
21/11/2008
ETAPA 7: COLECTA O EMBALAGE
Embalaje Lógico: Función hash / Zipeo con
Clave / Imagen
ETAPA 8: CADENA DE CUSTODIO
ƒ Garantizar la invariabilidad de la evidencia.
ƒ Bóvedas o jaulas FARADAY
13
21/11/2008
Ing. Guido Rosales Uriona
CONCLUSION
ESCENA DEL HECHO
TRATAMIENTO
ETAPA 1
PROTECCION
ETAPA 8
ETAPA 2
Evaluacion
ETAPA n
Cadena de
Custodio
…
14
21/11/2008
METODO DE ANALISIS FORENSE
R1 - RECONOCIMIENTO
ƒ Reconocimiento Estratégico
ƒ Impacto FINOL (Financiero, Imagen, Normativo,
O
Operativo
ti y Legal)
L
l)
ƒ Análisis interno de:
ƒ Políticas de seguridad, Matriz de Cumplimiento,
Auditorias y Control Interno, BIA, etc.
ƒ Reacción hormonal Vs. Reacción Neuronal
ƒ La Pataleta gerencial
ƒ El Proyecto Forense
ƒ La formalidad del juramento
ƒ Los puntos de Pericia: HIPOTESIS CRIMINAL
15
21/11/2008
R2 - REQUISITOS
ƒ
La Evidencia digital:
ƒ Tiene un autor claramente identificado,
ƒ Cuenta
C
t con una fecha
f h y hora
h
d
de
creación o alteración.
ƒ Cuenta con elementos que permiten
validar su autenticidad.
ƒ Puede ser verificados en su fiabilidad de
producción o generación
ƒ
PENTAVALORES
ƒ Buenos Backups y Criptografía
implementada (PKI)
ƒ
Antiforense
ƒ Metadatos
ƒ Edición Hexadecimal
R3 - RECOLECCION
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Levantar toda evidencia e indicios, siendo preferible pecar por exceso que
por defecto.
Manejarla sólo lo estrictamente necesario, a fin de no alterarla o
contaminarla.
t i l
Evitar contaminarla con los instrumentos que se utilizan para su
levantamiento, los cuales deberán purificados meticulosamente antes y
después de su uso.
Levantarla por separado, evitando mezclarla.
Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla
con funciones hash
Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.
Anti forense
ƒ Criptografía
ƒ Fragmentación del disco
16
21/11/2008
R4 - RECUPERACION
ƒ De datos
ƒ En medios actuales
ƒ En medios obsoletos
ƒ Valor probatorio
ƒ Basureros físicos y lógicos
ƒ Indicios
METODOS ANTIFORENSES
17
21/11/2008
R5: RECONSTRUCCION
PLANIFICACION
OBJETIVO
RECOLECCION
ATAQUE
PROCESAMIENTO
ANÁLISIS Y
PRODUCCIÓN
FASES DE UN ATAQUE
R5 - RECONSTRUCCION
ƒ En la mente del atacante
ƒ ITER CRIMINIS
ƒ a.- Interna (Ideación)
• Deliberación
• Resolución o determinación
ƒ b.- Intermedia Proposición a delinquir
• Resolución manifestada
ƒ c.- Externa (Actos preparatorios)
• Actos de ejecución
ƒ MODUS OPERANDI
18
21/11/2008
R 5: RECONSTRUCCION
La estrategia del TERO
R6 - RESULTADOS
ƒ DICTAMEN PERICIAL
ƒ En función de los puntos periciales
ƒ Introducción: comprende la designación oficial por parte del Fiscal o
Juez acompañando en anexo el acta de juramento.
ƒ Puntos de Pericia (Objetivos): Aquellos definidos por la instancia
legal correspondiente. Generalmente están expresados en el acta de
posesión o juramento de ley.
ƒ Dictamen (Conclusiones): Conclusiones en función de los puntos de
pericia definidos.
ƒ Detalle de la Pericia: Informe técnico en extenso y abundante detalle
donde se explique todos los pasos seguidos
19
21/11/2008
R6 - RESULTADOS
ƒ JUICIO ORAL
ƒ Lectura en extenso
ƒ M
Medios
di apropiados:
i d
audiovisuales,
di i
l
reconstrucción
t
ió ttridimensional,
idi
i
l
gráficos, etc.
ƒ Interrogatorio y Contrainterrogatorio
ƒ Abogados y Consultores Técnicos
ƒ Debido entrenamiento
CONCLUSION
20
21/11/2008
CASOS REALES
ƒ PUBLICOS
ƒ CASO RUAT - Manipulacion
ƒ CASO ABC – Corrupcion Publica
ƒ CASO SIDUNEA – Manipulacion Informatica
ƒ PRIVADOS
ƒ
ƒ
ƒ
ƒ
ƒ
Bancos
Aseguradoras
Telecomunicaciones
PYMES
Personales
Ing. Guido Rosales Uriona
ACCIONES TOMADAS
2005 - Capacitación PTJ La Paz
2005 - Capacitación PTJ Santa Cruz
21
21/11/2008
1. CISO(CISSP - CISM) 15 VERSIONES – 150 – 50 CERTIFICADOS
2. ISSA (CISA - CISM) – 7 VERSIONES 70 – 20 CERTIFICADOS
3. FCA (ENCE)– 3 VERSIONES – 30 – 10 CERTIFICADOS
www.yanapti.com
CONTENIDO FCA
22
21/11/2008
FASE 1: INFOFOR 18 y 19 de Septiembre 2008
FASE 2: FCA
ƒ CERTIFICACION NACIONAL
ƒ 10 semanas – 60 horas
23
21/11/2008
FASE 3: CERTIFICACION EnCE
• CERTIFICACION
INTERNACIONAL
FASE 4: LABO INFOFOR
24
21/11/2008
ESTADO DEL PROYECTO
ƒ
ƒ
ƒ
ƒ
FASE 1: Evento masivo – Completado
FASE 2: Entrenamiento FCA – 80 %
FASE 3: Certificacion EnCE – Sin Comenzar
FASE 4: Laboratorio – Completado
ƒ AVANCE TOTAL 70%
Ing. Guido Rosales Uriona
!! GRACIAS !!
Email: grosales@yanapti.com
Dirección: Av. Arce N 2105, Edificio Venus 5a
Teléfonos: 2152273 / 2440985
www.yanapti.com
25