Las Evidencias Digitales en la Informática Forense

10,967 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
10,967
On SlideShare
0
From Embeds
0
Number of Embeds
124
Actions
Shares
0
Downloads
337
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Las Evidencias Digitales en la Informática Forense

  1. 1. Las Evidencias Digitales en la Informática Forense Javier Pagès López Informática Forense, Peritaje y Seguridad Informá Colegiado Nº 110 del CPIICYL Nº Colegio Profesional de Ingenieros en Informática de Castilla y León Informá LeóContacto Empresa: Contacto Profesional: Email: javier@informatica-forense.es Email : javier@javierpages.com Web: http://www.informatica-forense.es Web : http://www.javierpages.com Blog : http://www.inforenses.com
  2. 2. Definiciones: Informática Forense Fuente: http://buscon.rae.es/draeI/mayo de 2007 (C) www.informatica-forense.es 2
  3. 3. Informática Forense: Definición y Objetivo La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada. Para conseguir sus objetivos, la Informática Forense desarrolla técnicas idóneas para ubicar, reproducir y analizar evidencias digitales con fines legales.mayo de 2007 (C) www.informatica-forense.es 3
  4. 4. Informática Forense: Ámbito de actuación Todo hecho en el que un sistema informático esté involucrado, tanto si es el fin o un medio, puede ser objeto de estudio y análisis, y por ello, puede llevarse a juicio como medio probatorio.mayo de 2007 (C) www.informatica-forense.es 4
  5. 5. Informática Forense: Principios Adherirse a estándares legales Formación específica en técnicas forenses Investigación debe ser “Forensically sound” Obtener Permisos: investigación/ recolección evidencias monitorizar uso de ordenadores Control de Evidencias Digitales Cadena de Custodiamayo de 2007 (C) www.informatica-forense.es 5
  6. 6. Informática Forense: Normas Fundamentales1. Preservar la evidencia original2. Establecer y mantener la Cadena de Custodia3. Documentar todo hecho4. NO EXTRALIMITARSE Conocimientos personales Leyes, Normas , Procedimientos Riesgos: Corromper evidencias No admitirse en juicio mayo de 2007 (C) www.informatica-forense.es 6
  7. 7. Informática Forense: Objetivos del ProcesoIdentificar las posibles fuentes disponiblesRecoger diferentes tipos de evidenciasAnalizar las evidencias encontradasConfirmar por pruebas cruzadas Así se establecen las bases para Probar que se han cometido actos deshonestos o ilegalesmayo de 2007 (C) www.informatica-forense.es 7
  8. 8. Evidencias Digitales: ¿Qué son? Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informático Susceptible de tratamiento digital Ejemplos: Documentos de Ofimática (Word, Excell, ...) Comunicaciones digitales: E-mails, SMSs, Fax, ... Imágenes digitales (fotos, videos...) Bases de Datos Ficheros de Registro de Actividad LOGSmayo de 2007 (C) www.informatica-forense.es 8
  9. 9. Ejemplo: Validez Imagen Digital Autentificar fotos de fantasmasEscenario Programa de TV esotérico Recibe fotos de fantasmas Solicita a perito que determine si son falsas mayo de 2007 (C) www.informatica-forense.es 9
  10. 10. Ejemplo: Validez Imagen Digitalmayo de 2007 (C) www.informatica-forense.es 10
  11. 11. Ejemplo: Validez Imagen Digitalmayo de 2007 (C) www.informatica-forense.es 11
  12. 12. Ejemplo: Validez Imagen DigitalEstrategia Búsqueda de elementos originales Imagen Sin Fantasmas Imagen Fantasmas mayo de 2007 (C) www.informatica-forense.es 12
  13. 13. Ejemplo: Validez Imagen Digitalmayo de 2007 (C) www.informatica-forense.es 13
  14. 14. Ejemplo: Validez Imagen Digitalmayo de 2007 (C) www.informatica-forense.es 14
  15. 15. Ejemplo: Validez Imagen Digital Análisis información EXIF de la imagen Fotos editadas con programa fotográfico Calidad muy inferior a la original (72pp) Fueron enviadas por correo electrónico Es método habitual para ocultar retoques Fotos no admisibles en proceso judicialmayo de 2007 (C) www.informatica-forense.es 15
  16. 16. Ejemplo: Validez Imagen Digital Autentificar fotos de fantasmas Hallazgos posterioresmayo de 2007 (C) www.informatica-forense.es 16
  17. 17. Evidencias Digitales: Su Validez Jurídica Uno de los pilares más importantes de la informática forense Valor que se le puede dar a las evidencias informáticas (e-evidences) Para aportar en los procesos judiciales. Actualmente existen grandes debates entre juristas y expertos técnicos a nivel nacional -> Foro de la Evidencias Electrónicas (www.evidenciaselectronicas.org) a nivel internacionalObjetivo: Alcanzar un compromiso a nivel internacional Definir que hay que exigir a una evidencia informática para que se pueda aceptar como una pruebamayo de 2007 (C) www.informatica-forense.es 17
  18. 18. Evidencias Digitales: Su Validez Jurídica Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas que regulan las actividades relacionadas con la informática y el uso (o mal uso) que se haga de ella: Leyes nacionales: Proyecto de Ley del Código Penal Có profunda reforma para penalizar más el mal uso informático má informá LOPD con la ¿inminente? aprobación del tan esperado nuevo Reglamento de Seguridad aprobació LSSI-CE LSSI- Ley de Firma Electrónica Electró DNI-e DNI - Proyecto de Ley de Conservación de Datos Conservació Leyes europeas: “Data Retention Directive” (Directiva 2006/24/EC) Directive” Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemas sistemas informáticos informá Leyes Inglesas: “Anti-Terrorism, Crime and Security Act 2001” Anti- Terrorism, 2001” “Prevention of Terrorist Act 2005” 2005” Leyes norteamericanas: SOX (Sarbanex-Oxley Act 2002) Sarbanex- HIPAA (Health Insurance Portability and Accountability Act ...mayo de 2007 (C) www.informatica-forense.es 18
  19. 19. Evidencias Digitales: Preservar información de uso Muchas de estas leyes obligan a las empresas a conservar una serie de datos relacionados con el uso que se hace de la información contenida en los sistemas informáticos. Información que se almacena actualmente en: logs de actividad de los sistemas informáticos logs de actividad de aplicaciones informáticas que se ejecutan en: cada servidor en cada ordenador personal.mayo de 2007 (C) www.informatica-forense.es 19
  20. 20. Evidencias Digitales: “All you need is Logs” (The Beatles) “Logs, logs, logs… All you need is logs, logs. Logs is all you need” (casi) todo lo que un perito informático necesita está en los logsmayo de 2007 (C) www.informatica-forense.es 20
  21. 21. Evidencias Digitales: Validez de los LogsPregunta:“¿Que valor probatorio tiene un log de ordenador?”Respuestas: “Ningún valor. Se puede alterar muy fácilmente” “Valor Total. Aquí lo tengo impreso, y dice lo queestá escrito”.mayo de 2007 (C) www.informatica-forense.es 21
  22. 22. Evidencias Digitales: Validez de los LogsMi opinión: un log, o un correo electrónico o cualquier otra evidenciainformática: Tiene el valor que le quieran dar las partes Si ninguna lo pone en duda, su valor será total Pero si alguno duda de su autenticidad habrá que esforzarse (y mucho) para darle valor probatorio Esta ambigüedad en el valor de las pruebas informáticas es muy interesante y da mucho juego desde el punto de vista pericial provoca una gran incertidumbre a nivel jurídico. Estamos en el Génesis de la Informática Forense, en susinicios.mayo de 2007 (C) www.informatica-forense.es 22
  23. 23. Evidencias Digitales: Validez de los LogsAl principio era el caos “La tierra era caos y confusión y oscuridad por encima del abismo” (Génesis 1:2)mayo de 2007 (C) www.informatica-forense.es 23
  24. 24. Evidencias Digitales: Validez de los LogsAl principio era el caos no había ni siquiera esos logs manipulables nadie obligaba a conservarlos Las leyes actuales y futuras obligan cada vez más a queen determinados ámbitos existan esos logs de actividad, Es un avance infinito respecto a la situación anterior de oscuridadmayo de 2007 (C) www.informatica-forense.es 24
  25. 25. Evidencias Digitales: Validez de los Logs “Y dijo Dios: Sea la luz; y fue la luz. Y vio Dios que la luz era buena; y separó Dios la luz de las tinieblas” (Génesis 1:3)mayo de 2007 (C) www.informatica-forense.es 25
  26. 26. Evidencias Digitales: Validez de los LogsAlgunas soluciones parciales actuales: Gestión Logs Centralizado Reduce puntos de acceso Reduce riesgo de manipulaciones No controla el log desde su origen Consolidación de Logs Pensados para IDS Ejemplos: iSOC, OSSIM, Bitácora... Manipulan y/o Destruyen las evidencias originales Dudas sobre la validezmayo de 2007 (C) www.informatica-forense.es 26
  27. 27. Evidencias Digitales: Validez de los LogsAlgunas soluciones parciales actuales: Almacenamiento seguro de los Logs Soportes no reescribibles (WORM) Garantiza integridad a nivel físico Exige almacenamiento seguro de los soportes (agua, fuego, em...) Depósito y Custodia de Logs Ante Notario / Terceras Partes Privadas Mantenimiento Cadena de Custodia Garantiza la alteración desde el Depósito hasta la Retiradamayo de 2007 (C) www.informatica-forense.es 27
  28. 28. Evidencias Digitales: Validez de los Logs “Y vi en la mano derecha del que estaba sentadoen el trono un libro escrito por dentro y por fuera, sellado con siete sellos. Y vi a un ángel fuerte que pregonaba a gran voz: ¿Quién es digno de abrir el libro y desatar sus sellos?Y ninguno, ni en el cielo ni en la tierra ni debajo de la tierra, podía abrir el libro, ni aun mirarlo.” (Apocalipsis 5:1-3)mayo de 2007 (C) www.informatica-forense.es 28
  29. 29. Evidencias Digitales: Validez de los LogsDel Génesis al Apocalipsis (sin pasar por la casillade salida) Cifrado y firma hash Aporta integridad del log a nivel lógico Impiden la alteración de los logs Impiden la apertura y el acceso no autorizados Impiden siquiera mirarlo sin permiso Problema de colisiones Usar dos o mas firmas distintas Los siete sellos del Apocalipsismayo de 2007 (C) www.informatica-forense.es 29
  30. 30. Evidencias Digitales: Validez de los LogsDel Génesis al Apocalipsis (sin pasar por la casilla de salida) Serialización del log Baja el nivel de granularidad de fichero a registro Permite determinar: que registros siguen siendo válidos Que registros han sido alterados / borrados / añadidos / cambiados de orden Garantizar el no repudio de las transacciones en ambos extremos NRO (Non Repudiation of Origin) NRD (Non Repudiation of Delivery) Ejemplo: kNotarymayo de 2007 (C) www.informatica-forense.es 30
  31. 31. Evidencias Digitales: Validez de los Logs - ConclusiónSecure Audit Trail (I): Generación masiva de logs, para poder disponer de todas lasevidencias posibles Gestión correcta de logs, centralizándolos en un lugar seguro,preservando su integridad, controlando su acceso, garantizando laintegridad de los datos y procesos de auditoría, y evitando el no repudioen ambos extremos Múltiple firma hash, para garantizar la integridad lógica del fichero Cifrado, para evitar la consulta no autorizada de su información Serialización al máximo nivel de granularidad posible, la línea deregistro, para poder diferenciar la parte alterada de la parte inalteradamayo de 2007 (C) www.informatica-forense.es 31
  32. 32. Evidencias Digitales: Validez de los Logs - ConclusiónSecure Audit Trail (II): Grabación en soportes físicos no modificables, para garantizar laintegridad física del fichero Cadena de custodia de los soportes, para evitar su sustitución porotros soportes Almacenamiento seguro de los soportes, para evitar su destrucciónaccidental o intencionada Custodia por tercera parte de confianza de los soportes físicos de los logs de sus firmas completas de la serialización de las firmas.mayo de 2007 (C) www.informatica-forense.es 32
  33. 33. Más información: Web: http://www.informatica-forense.es http://www.javierpages.com Blog: http://www.inforenses.com Email: javier@informatica-forense.es javier@javierpages.commayo de 2007 (C) www.informatica-forense.es 33
  34. 34. Sobre el autor... Javier Pagès López Licenciado en Informática (Univ. de Valladolid, 1991) javier@javierpages.com CEO de Informática Forense, S.L. javier@informatica-forense.es Informática ForenseÁreas de Actuación Dictámenes Periciales: Judiciales, Extrajudiciales y Arbitrales Profesional Seguridad Informática Auditoría Informática: LOPD, LSSI, Seguridad, ISO-17799... Intervenciones contra piratería informática Actuaciones contra delitos informáticos Consultoría: B2B, e-commerce, Enterprise Integration, CRM, ERP... Análisis de Mercado, Estudios de Viabilidad mayo de 2007 (C) www.informatica-forense.es 34
  35. 35. Pertenezco a: Asociación de Ingenieros en Informática (AI2) Presidente Federal presidente@ai2.as www.ai2.as Asociación de Ingenieros en Informática de Madrid (AI2- Madrid) Socio nº 15 www.ai2madrid.org INFOPERITOS (Gabinete Técnico y Facultativo de AI2) Perito de Guardia www.infoperitos.com Asociación de Técnicos en Informática (ATI) Socio nº 12.236 Perito del Grupo de Informática Legal de Madrid javier_pages@ati.es www.ati.esmayo de 2007 (C) www.informatica-forense.es 35
  36. 36. Pertenezco a: Information Systems Security Association (ISSA) ISSA Member ID: 26.563 www.issa.org Asociación Española para la Seguridad de los Sistemas de Información (ISSA-España) Fundador y actual Secretario del Capítulo Español de ISSA secretario@issa-spain.org www.issa-spain.org Internet Society (ISOC) ISOC Member ID: 1.350.480 www.isoc.org Commercenet Español www.commercenet.orgmayo de 2007 (C) www.informatica-forense.es 36
  37. 37. Algunas Referencias:mayo de 2007 (C) www.informatica-forense.es 37

×