06 - Informatica Forense, Ley 527 y 1273 Cadena de Custodia
Transcript of 06 - Informatica Forense, Ley 527 y 1273 Cadena de Custodia
Seguridad Informática II
Ing. Robert Darío Castro G. Consultor en Seguridad de la Información y TI
Esp. Seguridad de la Información
Universidad de los Andes Auditor Interno ISO 27001, ISO 9001, Cobit Certified
Candidato a Master en Seguridad Informática
Universidad Internacional de la Rioja
2015
Informática Forense
Ing. Robert Darío Castro G. - ESEG
Definiciones
Se encarga de analizar sistemas informáticos en busca de evidencia que contribuya a adelantar una investigación judicial o una negociación extrajudicial.
Es la aplicación de técnicas y herramientas de hardware y software para determinar datos potenciales o relevantes.
También puede servir para informar adecuadamente al cliente acerca de las posibilidades reales de la evidencia existente o supuesta.
El destino de este servicio, es contribuir con pruebas que aporten en casos judiciales, aunque cualquier empresa o persona puede contratarlo con un objetivo diferente.
Serie de técnicas y procedimientos metodológicos para capturar evidencia de equipamientos computacionales y dispositivos digitales que pueden presentarse como evidencia en una prueba, de forma coherente y con un significado diciente ante un juez.
Ing. Robert Darío Castro G. - ESEG
Definición FBI
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.
Ing. Robert Darío Castro G. - ESEG
Evolución
La informática forense, no tiene una fecha exacta de registros, pero muchos de los investigadores concuerdan que esta data de los años 40.
Su evolución e integración en la sociedad a evolucionado muy rápido.
Ing. Robert Darío Castro G. - ESEG
1940 a 1970
40s: Se investiga para saber qué es computable.
60s: Se investiga para reducir coste y potencia.
En 1978 Florida reconoce los crímenes de sistemas informáticos en el "Computer Crimes Act", en casos de sabotaje, copyright, modificación de datos y ataques similares.
Ing. Robert Darío Castro G. - ESEG
Decada de los 80’s
Copy II PC de Central
También es conocida como copy2pc, se usa para generar la copia exacta de disquetes, que generalmente están protegidos para evitar copias piratas. El producto será posteriormente integrado en las "Pc Tools". La compañía es un éxito y es comprada por Symantec en 1994.
Ing. Robert Darío Castro G. - ESEG
Norton Utilities
Norton Utilities 1.0, la primer versión del conjunto de herramientas "Norton Utilities", entre las que destacan Un-Erase, una aplicación que permite recuperar archivos borrados accidentalmente.
Otras aplicaciones también serán útiles desde la perspectiva forense, como FileFix o TimeMark.
Ing. Robert Darío Castro G. - ESEG
1984
En 1984 el FBI forma el Magnetic Media Program, que luego en 1991, se convierte en el Computer Analysis and Response Team (CART).
Ing. Robert Darío Castro G. - ESEG
1986
Clifford Stoll colabora en la detección del hacker Markus Hess. En 1988 publica el documento Stalking the Wily Hacker contando lo ocurrido.
Este documento es transformado en 1989 en el libro El huevo del cuco, anticipando una metodología forense.
Ing. Robert Darío Castro G. - ESEG
1987
Se crea la High Tech Crime Investigation Association (HTCIA), asociación de Santa Clara que agrupa a profesionales de agencias gubernamentales y compañías privadas para centralizar el conocimiento e impartir capacitación.
Ing. Robert Darío Castro G. - ESEG
Nace la compañía AccessData, pionera en el desarrollo de productos orientados a la recuperación de contraseñas y el análisis forense con herramientas como la actual Forensic Toolkit (FTK)
Ing. Robert Darío Castro G. - ESEG
1987
1988
Se crea la International Association of Computer Investigative Specialists (IACIS), para certificar profesionales de agencias gubernamentales en el Certified Forensic Computer Examiner (CFCE), una de las certificaciones más prestigiosas en el ámbito forense.
Ing. Robert Darío Castro G. - ESEG
1988
Se desarrolla el programa Seized Computer Evidence Recovery Specialists o SCERS, con el objetivo de formar profesionales en computer forensics.
Ing. Robert Darío Castro G. - ESEG
1992
El libro "A forensic methodology for countering computer crime", Collier y Spaul acuña en el término "computer forensics".
Otros libros posteriores continuarán desarrollando el termino y la metodología, como: "High-Technology Crime: Investigating Cases Involving Computers" de Kenneth S. Rosenblatt.
Ing. Robert Darío Castro G. - ESEG
Finales de 1990
En 1995 se funda el International Organization on Computer Evidence (IOCE), con objetivo de ser punto de encuentro entre especialistas en la evidencia electrónica y el intercambio de información.
En 1996 la Interpol organiza los International Forensic Science Symposium, como foro para debatir los avances forenses, uniendo fuerzas y conocimientos.
Ing. Robert Darío Castro G. - ESEG
2000
En agosto de 2001 nace la Digital Forensic Research Workshop (DFRWS), un nuevo grupo de debate y discusión internacional para compartir información.
Ing. Robert Darío Castro G. - ESEG
Objetivos
Cualquier investigación forense tiene un propósito. Cuando entendemos la razón por la que estamos haciendo la investigación, por lo cual podemos desarrollar un plan de acción de cómo conducir esa investigación y donde buscar la evidencia.
La informática forense tiene 3 objetivos básicos:
1. La compensación de los daños causados por los criminales o intrusos.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.
Ing. Robert Darío Castro G. - ESEG
Justificación
La informática forense asegura la preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y de fácil alteración o eliminacion.
Adicionalmente la informática forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario
Ing. Robert Darío Castro G. - ESEG
Donde la usamos?
Cuando se presume una actividad delictiva en Internet, en entidades de ámbito publico o privado.
Cuando existen sospechas el robo datos, espionaje industrial, sabotaje o delitos.
Cuando se sospecha de tenencia, producción y difusión de pornografía.
Cuando se comete cualquier actividad ilícitas, apoyados por el uso de la tecnología.
Ing. Robert Darío Castro G. - ESEG
1. Criminalística: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.
2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.
3. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
Ing. Robert Darío Castro G. - ESEG
Donde la usamos?
4. Temas corporativos: Se puede recolectar información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial, acoso sexual, alegaciones de discriminación.
5. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información, una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.
6. Recursos Humanos o Auditoria: En muchas compañías, antes que un empleado que maneja información critica del negocio, sea notificado de la terminación de su contrato, un especialista en informática forense va al computador y crea una copia idéntica de los datos.
En que casos puede ser utilizada esa copia?
Ing. Robert Darío Castro G. - ESEG
Donde la usamos?
Delitos Informáticos Según las Naciones Unidas tenemos:
Fraudes cometidos mediante manipulación de PC’s.
Manipulación de programas.
Manipulación de datos de salida.
Fraude efectuado por manipulación informática o por medio de dispositivos informáticos.
Suplantaciones informáticas.
Sabotaje informático.
Virus, gusanos y bombas lógicas.
Acceso no autorizado a Sistemas o Servicios de Información.
Reproducción no autorizada de programas informáticos de protección legal.
Producción / Distribución de pornografía infantil usando medios telemáticos. Ing. Robert Darío Castro G. - ESEG
Causas (I)
En los últimos 20 años, la cantidad de información almacenada en sistemas informáticos ha tenido un crecimiento exponencial (Bit, Bytes, Mb, Gb, Tb, Zb, Yb, etc)
El hecho de que la información deje de estar en papel para estar en formato digital requiere un cambio de mentalidad en la obtención de pruebas en investigaciones.
Es necesario saber cómo obtener pruebas de forma eficiente y útil. Debe aparecer el forense del mundo digital a semejanza del mundo físico.
Ing. Robert Darío Castro G. - ESEG
Causas (II)
La I.F. no aparece a causa de Internet.
“Al principio no había redes”.
Los virus fueron los primeros “investigados”: 90’s.
A finales de los 90’s y principios del milenio la cantidad de redes interconectadas facilita los delitos informáticos.
A hoy sí existen delitos propios en su mayoría son atraves de Internet.
La gente miente, roba, falsifica, escucha, ataca, destruye y hasta organiza asesinatos y actos terroristas
Ing. Robert Darío Castro G. - ESEG
Cusas (III)
La ciencia de la Informática Forense fue creada para cubrir las necesidades específicas de las fuerzas de la ley para aprovechar al máximo esta nueva forma de evidencia electrónica.
Las leyes no eran capaces de absorber, por falta del personal calificado y de infraestructura adecuada, la avalancha de delitos informáticos a finales de los 90’s.
Ing. Robert Darío Castro G. - ESEG
RFC3227
Es un documento de 10 páginas que define una “Guidelines for Evidence Collection and Archiving”.
Se publico en Febrero de 2002
Define un orden para recabar información a partir de su “Order of Volatility”.
Brinda instrucciones de que NO se debe hacer cuando se tiene que obtener la información de un sistema.
Expone normas éticas que deberían cumplirse.
Ing. Robert Darío Castro G. - ESEG
Codes of Practises for Digital Forensics (CP4DF)
Es una iniciativa española para el desarrollo de una metodología de procedimientos para Análisis Forense.
Cubre cuatro fases del I.F.:
Fase 1: Aseguramiento de la escena.
Fase 2: Identificación de las Evidencias Digitales.
Fase 3: Preservación de la Evidencias Digitales.
Fase 4: Análisis de las Evidencias Digitales.
Fase 5: Presentación y Reportes.
Ing. Robert Darío Castro G. - ESEG
Proyecto CTOSE
CTOSE (Cyber Tools On-Line Search for Evidence) es un proyecto de investigación mantenido por la Comisión Europea.
El propósito del proyecto es recopilar el conocimiento disponible de diferentes fuentes expertas en todos aquellos procesos relacionados en la recuperación de evidencias digitales y crear una metodología para definir como debe llevarse a cabo dicha recuperación cuando sea necesaria como resultado de cualquier tipo de disputa en la que se involucren transacciones electrónicas u otro tipo de crímenes relacionados con las nuevas tecnologías.
Ing. Robert Darío Castro G. - ESEG
Manual de procedimiento para la cadena de custodia
Ing. Robert Darío Castro G. - ESEG
Que es?
Es conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en un proceso judicial.
No existe un estándar reconocido públicamente.
Existen procedimientos reconocidos públicamente como robustos a la hora de preservar la información digital. Existen diferentes procesos de estandarización en los que colaboran fuerzas de la ley, investigadores y expertos (CTOSE, CP4DF).
Ing. Robert Darío Castro G. - ESEG
¿Que debe Hacer?
Reducir al máximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias.
Mantener la identidad de las personas implicadas desde la obtención hasta la presentación de las evidencias.
Asegurar la inmutabilidad de las evidencias en los traspasos de estas entre agentes.
Ing. Robert Darío Castro G. - ESEG
Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada uno de ellos se hará responsable de las evidencias en cada momento.
Asegurar la inmutabilidad de las evidencias cuando las evidencias están almacenadas asegurando su protección.
Ing. Robert Darío Castro G. - ESEG
¿Que debe Hacer?
Secuencia (I)
Es la “secuencia” de la cadena de la evidencia en el siguiente
orden:
Recolección e identificación
Análisis
Almacenamiento
Preservación
Transporte
Presentación en el juzgado
Retorno a su dueño
Ing. Robert Darío Castro G. - ESEG
Secuencia (II)
La cadena de la evidencia muestra:
Quién obtuvo la evidencia.
Dónde y cuando se obtuvo la evidencia.
Quién protegió la evidencia.
Quién ha tenido acceso a la evidencia.
Ing. Robert Darío Castro G. - ESEG
Análisis Forense
Computer forensics: es aquel Análisis Forense relacionado con la investigación de situaciones donde está implicado el uso de un sistema informático o de una evidencia digital, pero donde el crimen cometido puede ser de cualquier tipo, no sólo propio de los Sistemas de Información (robos de información, fraudes, delitos a la propiedad intelectual, etc.)
Ing. Robert Darío Castro G. - ESEG
Intrusion forensics: es aquel Análisis Forense relacionado con la investigación de ataques o comportamientos sospechosos contra sistemas informáticos o de crímenes propios únicamente de estos (intrusiones, ataques DoS, etc.).
Ing. Robert Darío Castro G. - ESEG
Análisis Forense
Modos de Análisis Forense
Análisis post-mortem: Es el análisis que se realiza con un equipo dedicado específicamente para fines forenses como examinar discos duros, datos o cualquier tipo de información recabada de un sistema que ha sufrido un incidente.
En este caso, las herramientas de las que se disponen son aquellas que se tengan en el laboratorio para el análisis de discos duros, archivos de logs de firewalls, etc.
Ing. Robert Darío Castro G. - ESEG
Modos de Análisis Forense
Análisis en caliente: Es el análisis que se lleva a cabo de un sistema que se presume a sufrido un incidente o está sufriendo un incidente de seguridad. En este caso, se suele emplear un CD con las herramientas de Respuesta ante Incidentes y Análisis Forense compiladas de forma que no realicen modificaciones en el sistema. Una vez hecho este análisis en caliente, y confirmado el incidente, se realiza el análisis post-mortem.
Ing. Robert Darío Castro G. - ESEG
¿Que es un perito informático y cuales son sus principales
funciones?
Consiste en realizar el análisis exhaustivo de los equipos informáticos, y sobre todo de las unidades de almacenamiento de datos en busca de todos aquellos elementos que puedan constituir prueba o indicio en el caso en cuestión.
Ing. Robert Darío Castro G. - ESEG
Informe Pericial
Existen tres fases bien diferenciadas en la elaboración de un informe pericial:
Fase de adquisición de las pruebas.
Fase de investigación.
Fase de elaboración de la memoria.
Ing. Robert Darío Castro G. - ESEG
Adquisición de Pruebas
Consiste, tal y como su nombre indica, en la recogida por parte del perito de todos los elementos que van a intervenir en la investigación.
Es importante que el proceso de intervención de las máquinas, se lleve a cabo con todas las garantías para las partes. Cuantos más testigos haya presentes durante el acto, mayor fiabilidad le estaremos aportando a la prueba pericial. La documentación del proceso de adquisición es una información que debe formar parte del informe del experto informático.
Ing. Robert Darío Castro G. - ESEG
Fase de investigación
Los elementos que deben regir el desarrollo del trabajo del perito son la no alteración de la prueba y el principio de imparcialidad.
La mejor manera que tiene un perito para garantizar la no alteración de una prueba es la elaboración de una imagen de todos los dispositivos de almacenamiento.
Ing. Robert Darío Castro G. - ESEG
Elaboración de la Memoria
Si se cumple con todos estos preceptos, es muy difícil que durante la fase de exposición el testimonio del perito pueda ser puesto en evidencia.
De hecho, un buen informe puede llevar a las partes a adoptar algún tipo de acuerdo sin que el juicio llegue a celebrarse. No obstante, lo más frecuente es que el perito tenga que acudir al Tribunal para ratificarse en su informe y responder a las preguntas que las partes implicadas y el propio juez, le hagan en relación al documento.
Ing. Robert Darío Castro G. - ESEG
Normativa Ley 1273 de 2009 y 527 de 1999
Ing. Robert Darío Castro G. - ESEG
LEY 1273 de 2009
Por medio de la cual se modifica el código penal y se crea un nuevo bien jurídico titulado - denominado de la protección de la información y de los datos y se preservan integralmente, los sistemas que utilicen la tecnología de la información y las comunicaciones, entre otras disposiciones.
Ing. Robert Darío Castro G. - ESEG
“De la Protección de la información y de los datos”
Capítulo I
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos:
1.Acceso abusivo a un sistema informático
2.Obstaculización ilegítima de sistema informático o red de telecomunicaciónes.
3.Interceptación de datos informáticos
4.Daño Informático
5.Uso de software malicioso
6.Violación de datos personales
7.Suplantación de sitios web para capturar datos personales.
Ing. Robert Darío Castro G. - ESEG
Circunstancias de agravación punitivas
De acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: Sobre redes o sistemas informáticos o de comunicaciones
estatales u oficiales o del sector financiero, nacionales o extranjeros.
Por servidor público en ejercicio de sus funciones.
Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.
Ing. Robert Darío Castro G. - ESEG
Circunstancias de agravación punitivas
Revelando o dando a conocer el contenido de la información en perjuicio de otro.
Obteniendo provecho para sí o para un tercero. Con fines terroristas o generando riesgo para la seguridad o defensa
nacional. Utilizando como instrumento a un tercero de buena fe
“Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le
impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con
equipos computacionales.”
Ing. Robert Darío Castro G. - ESEG
CAPITULO II
De los atentados informáticos y otras infracciones
1.Hurto por medios informáticos y semejantes
2.Transferencia no consentida de activos
3.Circunstancias de mayor punibilidad
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 5 de enero de 2009.
Ing. Robert Darío Castro G. - ESEG
Ley 527 1999
Por medio del cual se define y reglamenta el acceso y usos de los mensajes de datos del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones.
Ing. Robert Darío Castro G. - ESEG
Contenido
Los asuntos regulados por la ley 527 son:
• Aplicaciones de los requisitos jurídicos de los mensajes de datos.
• Comunicación de los mensajes de datos .
• Comercio electrónico en materia de transporte de mercancías.
• Firmas digitales.
• Entidades de certificación .
• Suscriptores de firmas digitales.
• Funciones de la superintendencia de industria y comercio
Ing. Robert Darío Castro G. - ESEG
PARTE I.
PARTE GENERAL
Capítulo 1 Disposiciones Generales
Artículo 1 Ámbito de Aplicación
Artículo 2 Definiciones
Artículo 3 Interpretación
Artículo 4 Modificación mediante acuerdo
Artículo 5 Reconocimiento jurídico de mensajes de datos
CAPITULO II.
APLICACIÓN DE LOS REQUISITOS JURÍDICOS DE LOS MENSAJES DE DATOS
Artículo 6 Escrito
Artículo 7 Firma
Artículo 8 Original
Artículo 9 Integridad de los mensajes de datos
Artículo 10 Admisibilidad y fuerza probatoria
Artículo 11 Criterios para valorar los mensajes
Artículo 12 Conservación de mensajes y documentos
Artículo 13 Conservaciones a través de terceros
Ing. Robert Darío Castro G. - ESEG
CAPITULO III.
COMUNICACIÓN DE LOS MENSAJES DE DATOS
Artículo 14 Formación y validez de los contratos
Artículo 15 Reconocimientos por las partes
Artículo 16 Atribuciones de mensajes de datos
Artículo 17 Presunción del origen
Artículo 18 Concordancia de enviados y recibidos
Artículo 19 Mensajes duplicados
Artículo 20 Acuse de recibo
Artículo 21 Presunción de recibido
Artículo 22 Efectos jurídicos
Artículo 23 Tiempo de envío
Artículo 24 Tiempo de recepción
Artículo 25 Lugar de envío y de recepción
Ing. Robert Darío Castro G. - ESEG
PARTE II.
COMERCIO ELECTRONICO EN MATERIA DE
TRANSPORTE DE MERCANCIAS
Artículo 26 Contrato de transporte
Artículo 27 Documentos de transporte
PARTE III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION
CAPITULO I.
FIRMAS DIGITALES
Artículo 28 Atributos jurídicos de una firma digital
CAPITULO II.
ENTIDADES DE CERTIFICACIÓN
Artículo 29 Características y requerimientos de las entidades de certificación
Artículo 30 Actividades de las entidades de certificación
Artículo 31 Remuneración por la prestación de servicios
Artículo 32 Deberes de estas entidades
Artículo 33 Terminación unilateral
Artículo 34 Cesación de actividades Ing. Robert Darío Castro G. - ESEG
CAPITULO III.
CERTIFICADOS
Artículo 35 Contenido de los certificados
Artículo 36 Aceptación de un certificado
Artículo 37 Revocación de certificados
Artículo 38 Término de conservación de registros
CAPITULO IV.
SUSCRIPTORES DE FIRMAS DIGITALES
Artículo 39 Deberes de los suscriptores
Artículo 40 Responsabilidades de los suscriptores
CAPITULO V.
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Artículo 41 Funciones de la superintendencia
Artículo 42 Sanciones Ing. Robert Darío Castro G. - ESEG
CAPITULO VI.
DISPOSICIONES VARIAS
Artículo 43 Certificaciones recíprocas
Artículo 44 Incorporación por remisión
PARTE IV.
REGLAMENTACION Y VIGENCIA
Artículo 45 Reglamentación y vigencia
Artículo 46 Prevalencia de las leyes de protección al consumidor
Artículo 47 Vigencia y derogatoria
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL PUBLÍQUESE Y EJECÚTESE.
Dada en Santa Fe de Bogotá, D. C., a 18 de agosto de 1999.
Ing. Robert Darío Castro G. - ESEG
Ing. Robert Darío Castro G. - ESEG
BIBLIOGRAFIA
Noblett, M. G. y Pollitt, M. M. (2000). Recovering and Examining Computer Forensic Evidence.
http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/computer.htm
Kozushko, H. (2003). Digital evidence.
http://infohost.nmt.edu/~sfs/Students/HarleyKozushko/Papers/DigitalEvidencePaper.pdf
Microsoft. (2005). Introducción a los sistemas de archivos FAT, HPFS y NTFS.
http://support.microsoft.com/kb/100108
Gilliland, A. J. (2008). Setting the Stage. En Introduction to Metadata
http://www.getty.edu/research/publications/electronic_publications/intrometadata/setting.html
Pomeranz, H. Linux forensics (for non-Linux folks)
http://www.deer-run.com/~hal/LinuxForensicsForNon-LinuxFolks.pdf
Ing. Robert Darío Castro G. - ESEG