Info-forense-rosales.pdf

21/11/2008

Ing. Guido Rosales Uriona

INFORMATICA FORENSE

1

OBJETIVO ƒ Mostrar el estado de los delitos informaticos en Bolivia ƒ Compartir para despertar la inquietud de forma masiva ƒ Es un movimiento emergente. Lo contrario sera muy dificil

Ing. Guido Rosales Uriona

1

21/11/2008

Contenido ƒ La evidencia digital ƒ Delitos Informáticos ƒ Delitos comunes

ƒ La Informatica Forense ƒ ƒ ƒ ƒ ƒ

El marco legal Servicios Profesionales Formación Recursos de infraestructura, hardware y software Casos reales en Bolivia

Ing. Guido Rosales Uriona

LA EVIDENCIA DIGITAL ƒ Evidencia: del latin Evidentia. Cualidad de evidente (Cierto, claro, sin duda) ƒ RAE: Certeza clara y manifiesta de la que no se puede dudar

ƒ Evidencia digital: “información de valor probatorio almacenada o transmitida en forma digital” • IOCE (Internacional Organization Of Computer Evidence). 1999.

ƒ Requisitos Ejemplo: (Ley 527 de 1999 – Colombia) ƒ la confiabilidad en la forma en la que se generó; la confiabilidad en la forma en la que se conservó; yy, la confiabilidad en la forma en la que se identifica al autor.

ƒ Proyecto de ley de documentos, firmas y comercio electronico ƒ Valor probatorio Ing. Guido Rosales Uriona

2

21/11/2008

MARCO LEGAL Fecha de Promulgación

Descripción.

11/3/97

LEY 1768 CODIGO PENAL 2 ARTICULOS DE DELITOS INFORMATICOS

25/4/97 31/3/98

REGLAMENTO DE SOPORTE LÓGICO, D.S. 24582 LEY 1834 DE MERCADO DE VALORES ART. 56 PERMITE LOS TITULOS VALORES

1/4/98

LEY 1836 DEL TRIBUNAL CONSTITUCIONAL ART. 29 ADMITE DEMANDAS Y RECURSOS POR FAX. LEY 2297 DEL MODIFICA BANCOS 1498 ART. 6 APRUEBA EL USO DE Y SU VALOR PROBATORIO EN EL SECTOR FINANCIERO

20/12/01 8/8/02

LEY 24 10 CONSTITUCION POLITICA DEL ESTADO , INTRODUCE EL RECURSO DE HABEAS DATA PARA LOS DATOS PERSONALES

2/8/03

LEY 2492 CÓDIGO TRIBUTARIO DE ART. 77 ADMITE COMO MEDIOS DE PRUEBA LOS INFORMÁTICOS INFORMÁTICOS, ART.79 ART 79 INCORPORA LOS MEDIOS TECNOLÓGICOS TECNOLÓGICOS, APRUEBA LAS NOTIFICACIONES ELECTRONICAS D.S. 27241 DE REGLAMENTO A LOS PROCEDIMIENTOS ADMINISTRATIVOS, ADMITE COMO MEDIOS DE PRUEBA LAS DOCUMENTOS ELECTRÓNICOS

14/11/03 1/07/04 9/01/04

RESOLUCION DE DIRECTORIO BCB Nº 086/2004 APRUEBA REGLAMENTO DE FIRMA DIGITAL. D.S. 27310 DE REGLAMENTO DEL CÓDIGO TRIBUTARIO, RECONOCE MEDIOS E INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS ELECTRÓNICOS.. Fuente: Investigación Propia

MSc. Ing. Guido Rosales Uriona

MARCO REGULATORIO Sector

Documento

Fuente

Observaciones

Gobierno

Ninguno

http://www.abi.bo

No se tiene nada específico. Existe el anteproyecto de Ley sobre Transacciones electrónicas y Delitos Informáticos.

Sector telecomunicaciones Sector Energía Eléctrica

Ninguno

www.sittel.gov.bo

Ninguno

www.sicoes.gov.bo

Solo se regulan temas de servicios y no de sistemas. Intentos de efectuar Auditorias de sistemas desde el año 2004. Tiene un reglamento de calidad de información amparado en un decreto.

Sector Financiero

SB 443/03

www.sbef.gov.bo

Requisitos mínimos de seguridad informática.

Sector Pensiones,

Circular

www.spvs.gov.vo

Requiere elaborar análisis de riesgos para

Valores y Seguros

fundamentar la infraestructura de seguridad.

Ad i i Administrativa i

Sector educación

Ninguno

www.abi.bo

No se efectúan actividades relacionadas.

FFAA

Ninguno

www.ejercito.mil.bo

Se creó un departamento denominado CRISIS, sin embargo no se conoce nada oficialmente sobre su finalidad.

Fuente: Investigación Propia

MSc. Ing. Guido Rosales Uriona

3

21/11/2008

DELITOS INFORMATICOS ƒ Delitos cometidos con la participacion de TI como objetivo o medio ƒ Directos / Activos ƒ Indirectos / Pasivos

ƒ Actores ƒ De persona a persona (Acceso no autorizado Calumnias) ƒ De D empresa a persona (Spam) (S ) ƒ De persona a empresa (virus, spam, manipulacion) ƒ De empresa a empresa (Espionaje)

MSc. Ing. Guido Rosales Uriona

Los delitos ƒ Delitos Informáticos ƒ Art. 363 bis : Manipulación Informatica ƒ Art 363 ter : Acceso no autorizado ƒ Delitos contra la fe pública: ƒ 198 Falsedad material ƒ 199 Falsedad ideológica ƒ 203 Uso de instrumento falsificado ƒ Delitos contra la propiedad ƒ 326 Hurto ƒ 331 Robo ƒ 335 Estafa ƒ 345 Apropiación Indebida ƒ 346 Abuso de confianza

Ing. Guido Rosales Uriona

4

21/11/2008

INSEGURIDAD LEGAL

PAÍS

LEY Y FECHA DE PROMULGACIÓN

Argentina g Bolivia Chile Colombia

Leyy 25.506,, Firma Digital, g , Diciembre 2001. Proyecto de Ley Ley 19.799, Promulgada en Marzo del 2002 Ley 527 sobre Mensajes de Datos. Comercio Electrónico y Firma Digital de 18/08/1999 Ecuador Ley No. 2002-67) 10/04/2002 España Ley 59/2003 Perú Ley 27269, 26/05/2000 Paraguay Proyecto Uruguay La ley N° 17.243 del 29/06/2000 Venezuela 10 de febrero del 2001 Guido Rosales Uriona

TENDENCIAS CONSULTORIA

12

10

8

6

4

2

0 01 AL 02

03 AL 05 AUDITORIAS

MSc. Ing. Guido Rosales Uriona

05 AL 06 FORENSES

06 AL 07 SGSI

08 AL 10

MICs

Fuente: Investigación Propia

5

21/11/2008

ESTADISTICAS NACIONALES

AMENAZAS TECNOLOGICAS

Robo de Informacion

Violacion DeCCTV privacidad

SPAM

Acoso

Phising

PIrateria

Pornografia Infantil

Espionaje

Virus

6

21/11/2008

BOLIVIA BOLIVIA: INFORMATICA FORENSE

Ing. Guido Rosales Uriona

TRIÁNGULO DEL CRIMEN

/

REAL VIRTUAL

/

REAL VIRTUAL

/

REAL VIRTUAL

7

21/11/2008

LA INFORMATICA FORENSE ƒ Concepto ƒ Ciencia que se ocupa de recolectar, preservar, analizar li y presentar la l evidencia id i di digital. i l

ƒ Marco legal en Bolivia ƒ Figura de la Pericia: Art. 204 - 215, c.p.p ƒ El consultor técnico: Art. 207 c.p.p ƒ Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo 48

Ing. Guido Rosales Uriona

APLICACIÓN INFOFOR

Escena del Hecho F/V 80/20

INFORMATICA FORENSE

Análisis Pericial (Forense) F/V 20/80

8

21/11/2008

INFOFOR - COMO ESTAMOS?

12,5 12,5

50 25

6Rs Completo

Escena del hecho

Previo

Analisis

Método del Octágono

Mundo Real

Mundo Virtual

9

21/11/2008

ETAPA 1. PROTECCION

ƒ Evitar la contaminación de la escena del hecho ƒ Considerar necesidad de Investigación Interna ƒ Volcado de memoria

ƒ Registro del tiempo exacto (GMT -4) ƒ Apagar dispositivos previa acta del último estado o pantalla visible

ETAPA 2: EVALUACION Santa Cruz

Servidor

Servidor

Servidor

Cochabamba ENTEL/ Comteco / COTAS, etc

Servidor

ƒ Conocimiento previo SU3, escaneo de red y/o interrogatorio ƒ Escena: Cerrada, mixta y abierta ƒ Principio de e-locard

10

21/11/2008

ETAPA 3: FIJACION

ƒ Facilitar la reconstrucción de la escena del hecho ƒ Identificar fuentes de evidencia: Señalectica ƒ Caracterización por seriales impresos ƒ Fijación digital mediante clonación o imagen de medios

I I I I I

I

I V

ETAPA 4: RASTREO FISICO / DIGITAL

Rastreo digitl sobre copias (clon o imagen) •Manual – Explorador •Automático – Antivirus, antispyware, set de hashes

11

21/11/2008

ETAPA 5: RECONOCIMIENTO DE OBJETIVO O MEDIO

ƒ Repositorios en red: PC, impresoras, servidores ƒ Repositorios en Internet: Cuentas de email, servidores hackeados ƒ PC Zombis: Artillería remota ƒ Maniobras de distracción: Confundir al enemigo ƒ En función de la topología y esquema de red ƒ Servidores de seguridad seguridad, de base de datos datos, de aplicaciones, de correo

ETAPA 6: HIPOTESIS CRIMINAL

La estrategia del TERO

12

21/11/2008

ETAPA 7: COLECTA O EMBALAGE

Embalaje Lógico: Función hash / Zipeo con Clave / Imagen

ETAPA 8: CADENA DE CUSTODIO

ƒ Garantizar la invariabilidad de la evidencia. ƒ Bóvedas o jaulas FARADAY

13

21/11/2008

Ing. Guido Rosales Uriona

CONCLUSION

ESCENA DEL HECHO

TRATAMIENTO ETAPA 1

PROTECCION

ETAPA 8

ETAPA 2

Evaluacion

ETAPA n

Cadena de Custodio

…

14

21/11/2008

METODO DE ANALISIS FORENSE

R1 - RECONOCIMIENTO

ƒ Reconocimiento Estratégico ƒ Impacto FINOL (Financiero, Imagen, Normativo, O Operativo ti y Legal) L l) ƒ Análisis interno de: ƒ Políticas de seguridad, Matriz de Cumplimiento, Auditorias y Control Interno, BIA, etc. ƒ Reacción hormonal Vs. Reacción Neuronal ƒ La Pataleta gerencial ƒ El Proyecto Forense ƒ La formalidad del juramento ƒ Los puntos de Pericia: HIPOTESIS CRIMINAL

15

21/11/2008

R2 - REQUISITOS ƒ

La Evidencia digital: ƒ Tiene un autor claramente identificado, ƒ Cuenta C t con una fecha f h y hora h d de creación o alteración. ƒ Cuenta con elementos que permiten validar su autenticidad. ƒ Puede ser verificados en su fiabilidad de producción o generación

ƒ

PENTAVALORES ƒ Buenos Backups y Criptografía implementada (PKI)

ƒ

Antiforense ƒ Metadatos ƒ Edición Hexadecimal

R3 - RECOLECCION ƒ ƒ ƒ

ƒ ƒ ƒ ƒ

Levantar toda evidencia e indicios, siendo preferible pecar por exceso que por defecto. Manejarla sólo lo estrictamente necesario, a fin de no alterarla o contaminarla. t i l Evitar contaminarla con los instrumentos que se utilizan para su levantamiento, los cuales deberán purificados meticulosamente antes y después de su uso. Levantarla por separado, evitando mezclarla. Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla con funciones hash Embalarla individualmente, procurando que se mantenga la integridad de su naturaleza. Anti forense ƒ Criptografía ƒ Fragmentación del disco

16

21/11/2008

R4 - RECUPERACION ƒ De datos ƒ En medios actuales ƒ En medios obsoletos

ƒ Valor probatorio ƒ Basureros físicos y lógicos ƒ Indicios

METODOS ANTIFORENSES

17

21/11/2008

R5: RECONSTRUCCION

PLANIFICACION OBJETIVO

RECOLECCION

ATAQUE

PROCESAMIENTO

ANÁLISIS Y PRODUCCIÓN

FASES DE UN ATAQUE

R5 - RECONSTRUCCION

ƒ En la mente del atacante ƒ ITER CRIMINIS ƒ a.- Interna (Ideación) • Deliberación • Resolución o determinación

ƒ b.- Intermedia Proposición a delinquir • Resolución manifestada

ƒ c.- Externa (Actos preparatorios) • Actos de ejecución

ƒ MODUS OPERANDI

18

21/11/2008

R 5: RECONSTRUCCION

La estrategia del TERO

R6 - RESULTADOS ƒ DICTAMEN PERICIAL ƒ En función de los puntos periciales ƒ Introducción: comprende la designación oficial por parte del Fiscal o Juez acompañando en anexo el acta de juramento. ƒ Puntos de Pericia (Objetivos): Aquellos definidos por la instancia legal correspondiente. Generalmente están expresados en el acta de posesión o juramento de ley. ƒ Dictamen (Conclusiones): Conclusiones en función de los puntos de pericia definidos. ƒ Detalle de la Pericia: Informe técnico en extenso y abundante detalle donde se explique todos los pasos seguidos

19

21/11/2008

R6 - RESULTADOS ƒ JUICIO ORAL ƒ Lectura en extenso ƒ M Medios di apropiados: i d audiovisuales, di i l reconstrucción t ió ttridimensional, idi i l gráficos, etc.

ƒ Interrogatorio y Contrainterrogatorio ƒ Abogados y Consultores Técnicos ƒ Debido entrenamiento

CONCLUSION

20

21/11/2008

CASOS REALES ƒ PUBLICOS ƒ CASO RUAT - Manipulacion ƒ CASO ABC – Corrupcion Publica ƒ CASO SIDUNEA – Manipulacion Informatica

ƒ PRIVADOS ƒ ƒ ƒ ƒ ƒ

Bancos Aseguradoras Telecomunicaciones PYMES Personales

Ing. Guido Rosales Uriona

ACCIONES TOMADAS

2005 - Capacitación PTJ La Paz

2005 - Capacitación PTJ Santa Cruz

21

21/11/2008

1. CISO(CISSP - CISM) 15 VERSIONES – 150 – 50 CERTIFICADOS 2. ISSA (CISA - CISM) – 7 VERSIONES 70 – 20 CERTIFICADOS 3. FCA (ENCE)– 3 VERSIONES – 30 – 10 CERTIFICADOS

www.yanapti.com

CONTENIDO FCA

22

21/11/2008

FASE 1: INFOFOR 18 y 19 de Septiembre 2008

FASE 2: FCA

ƒ CERTIFICACION NACIONAL ƒ 10 semanas – 60 horas

23

21/11/2008

FASE 3: CERTIFICACION EnCE

• CERTIFICACION INTERNACIONAL

FASE 4: LABO INFOFOR

24

21/11/2008

ESTADO DEL PROYECTO ƒ ƒ ƒ ƒ

FASE 1: Evento masivo – Completado FASE 2: Entrenamiento FCA – 80 % FASE 3: Certificacion EnCE – Sin Comenzar FASE 4: Laboratorio – Completado

ƒ AVANCE TOTAL 70%

Ing. Guido Rosales Uriona

!! GRACIAS !! Email: [email protected] Dirección: Av. Arce N 2105, Edificio Venus 5a Teléfonos: 2152273 / 2440985

www.yanapti.com

25