curso de peritaje informÁtico valor de las … · curso de peritaje informÁtico valor de las...

CURSO DE PERITAJE

INFORMÁTICO

Valor de las Evidencias

Informáticas

Javier Pagès López Informática Forense, Peritaje y Seguridad

Colegiado Nº 110 del CPIICYL

Colegio Profesional de Ingenieros en Informática de Castilla y León

Contacto Empresa:

Email: [email protected]

Web: http://www.informatica-forense.es

Contacto Profesional:

Email : [email protected]

Web : http://www.javierpages.com

mailto:[email protected]



http://www.informatica-forense.es/




http://www.javierpages.com/

Evidencias Digitales: ¿Qué son?

• Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informático

• Susceptible de tratamiento digital

• Ejemplos: – Documentos de Ofimática (Word, Excell, ...)

– Comunicaciones digitales: E-mails, SMSs, Fax, ...

– Imágenes digitales (fotos, videos...)

– Bases de Datos

– Ficheros de Registro de Actividad LOGS

(C) www.informatica-forense.es 2014

Curso de Peritaje Informático 2

Evidencias Digitales: Su Validez Jurídica

• Uno de los pilares más importantes de la informática forense – Valor que se le puede dar a las evidencias informáticas (e-evidences) – Para aportar en los procesos judiciales.

• Actualmente existen grandes debates entre juristas y expertos técnicos

– a nivel nacional -> Foro de la Evidencias Electrónicas (www.evidenciaselectronicas.org)

– a nivel internacional

Objetivo: • Alcanzar un compromiso a nivel internacional • Definir que hay que exigir a una evidencia informática para que se pueda

aceptar como una prueba



http://www.evidenciaselectronicas.org/

Evidencias Digitales: Su Validez Jurídica

• Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas que regulan las actividades relacionadas con la informática y el uso (o mal uso) que se haga de ella: – Leyes nacionales:

• Código Penal – reforma DIC-2010 para penalizar el mal uso informático – responsabilidad de empresas

• LOPD, LSSI-CE • Ley de Firma Electrónica, DNI-e, eFactura… • Ley de Conservación de Datos • Ley Administración Electrónica

– Leyes europeas: • “Data Retention Directive” (Directiva 2006/24/EC) • Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemas informáticos

– Leyes Inglesas: • “Anti-Terrorism, Crime and Security Act 2001” • “Prevention of Terrorist Act 2005”

– Leyes norteamericanas: • SOX (Sarbanex-Oxley Act 2002) • HIPAA (Health Insurance Portability and Accountability Act • ...



Nueva Legislación Informática (2010)

Esquema Nacional de Seguridad (Ene. 2010)

Todas las AA.PP. tienen que implantar medidas de seguridad en sus sistemas informáticos

Prepararse para combatir los CIBERATAQUES (Ej. Canada o Francia en 2011)

Reducir las fugas y robos de información (Ej, WikiLeaks)



ISO 27000



Nueva Legislación Informática (2010)

Reforma Código Penal (Dic. 2010)

Más delitos informáticos (ej, DoS, intrusiones…)

Responsabilidad PENAL de las EMPRESAS

Por delitos cometidos por sus empleados desde la empresa

Por no implantar medidas de seguridad en sus sistemas informáticos

Por incumplir la Ley (ej, LOPD)



Evidencias Digitales: Preservar información de uso

• Muchas de estas leyes obligan a las empresas a conservar una serie de datos relacionados con el uso que se hace de la información contenida en los sistemas informáticos.

• Información que se almacena actualmente en: – logs de actividad de los sistemas informáticos – logs de actividad de aplicaciones informáticas – que se ejecutan en:

• cada servidor • en cada ordenador personal.



Evidencias Digitales: Validez de los Logs

Pregunta:

“¿Que valor probatorio tiene un log de ordenador?”

Respuestas:

•“Ningún valor. Se puede alterar muy fácilmente”

•“Valor Total. Aquí lo tengo impreso, y dice lo que está escrito”.




Mi opinión: •un log, o un correo electrónico o cualquier otra evidencia informática:

– Tiene el valor que le quieran dar las partes – Si ninguna lo pone en duda, su valor será total – Pero si alguno duda de su autenticidad habrá que esforzarse (y mucho)

para darle valor probatorio

•Esta ambigüedad en el valor de las pruebas informáticas – es muy interesante y da mucho juego desde el punto de vista pericial – provoca una gran incertidumbre a nivel jurídico.

•Estamos en el Génesis de la Informática Forense, en sus inicios.




Al principio era el caos

“La tierra era caos y confusión y oscuridad por encima del abismo”

(Génesis 1:2)




Al principio era el caos

•no había ni siquiera esos logs manipulables

nadie obligaba a conservarlos

•Las leyes actuales y futuras obligan cada vez más a que en determinados ámbitos existan esos logs de actividad,

Es un avance infinito respecto a la situación anterior de oscuridad




“Y dijo Dios: Sea la luz; y fue la luz.

Y vio Dios que la luz era buena; y separó Dios la luz de las tinieblas”

(Génesis 1:3)




Algunas soluciones parciales actuales: •Gestión Logs Centralizado – Reduce puntos de acceso

– Reduce riesgo de manipulaciones

– No controla el log desde su origen

•Consolidación de Logs – Pensados para IDS

– Ejemplos: iSOC, OSSIM, Bitácora...

– Manipulan y/o Destruyen las evidencias originales CORREGIDO

Dudas sobre la validez




Algunas soluciones parciales actuales: •Almacenamiento seguro de los Logs

– Soportes no reescribibles (WORM)

– Garantiza integridad a nivel físico

– Exige almacenamiento seguro de los soportes (agua, fuego, em...)

•Depósito y Custodia de Logs – Ante Notario / Terceras Partes Privadas

– Mantenimiento Cadena de Custodia

– Garantiza la alteración desde el Depósito hasta la Retirada




Soluciones actuales:

Servicio de Depósito y Custodia de Soportes Informáticos

– Almacenamiento Seguro de Discos Duros, Cintas de Backup, Memorias USB, CD/DVD…

– Tercera Parte Privada

– Mantenimiento Cadena de Custodia

– Garantiza la no alteración desde el Depósito hasta la Retirada

– Servicio Certificado bajo la norma ISO-27001




“Y vi en la mano derecha del que estaba sentado en el

trono un libro escrito por dentro y por fuera, sellado con siete sellos.

Y vi a un ángel fuerte que pregonaba a gran voz: ¿Quién es digno de abrir el libro y desatar sus sellos?

Y ninguno, ni en el cielo ni en la tierra ni debajo de la tierra, podía abrir el libro, ni aun mirarlo.”

(Apocalipsis 5:1-3)




Del Génesis al Apocalipsis (sin pasar por la casilla de salida)

•Cifrado y firma hash

– Aporta integridad del log a nivel lógico – Impiden la alteración de los logs – Impiden la apertura y el acceso no autorizados – Impiden siquiera mirarlo sin permiso – Problema de colisiones

• Usar dos o mas firmas distintas

• Los siete sellos del Apocalipsis




Del Génesis al Apocalipsis (sin pasar por la casilla de salida)

•Serialización del log – Baja el nivel de granularidad de fichero a registro

– Permite determinar: • que registros siguen siendo válidos

• Que registros han sido – alterados / borrados / añadidos / cambiados de orden

– Garantizar el no repudio de las transacciones en ambos extremos • NRO (Non Repudiation of Origin)

• NRD (Non Repudiation of Delivery)




Soluciones actuales: –Proyecto “Integridad y Seguridad de la Historia Clínica”

•Plan Avanza I+D 2008 (TSI-020302-2008-67)

•KINAMIC + Informática Forense + Hospital de Fuenlabrada

•Serialización del log con kNotary

•Asegurar el 100% de las Historias Clínicas del 1er Hospital “sin papeles” de Europa



Evidencias Digitales: Validez de los Logs - Conclusión

Secure Audit Trail (I): •Generación masiva de logs, para poder disponer de todas las evidencias posibles •Gestión correcta de logs, centralizándolos en un lugar seguro, preservando su integridad, controlando su acceso, garantizando la integridad de los datos y procesos de auditoría, y evitando el no repudio en ambos extremos •Múltiple firma hash, para garantizar la integridad lógica del fichero •Cifrado, para evitar la consulta no autorizada de su información •Serialización al máximo nivel de granularidad posible, la línea de registro, para poder diferenciar la parte alterada de la parte inalterada



Evidencias Digitales: Validez de los Logs - Conclusión

Secure Audit Trail (II): •Grabación en soportes físicos no modificables, para garantizar la integridad física del fichero •Cadena de custodia de los soportes, para evitar su sustitución por otros soportes •Almacenamiento seguro de los soportes, para evitar su destrucción accidental o intencionada •Custodia por tercera parte de confianza

– de los soportes físicos de los logs – de sus firmas completas – de la serialización de las firmas.



Ejemplo: Validez de eMail

• Problemas Actuales: – Ausencia de evidencias

• ¿Alguien tiene una copia del correo?

¿políticas de retención/custodia de email?

– Repudio de emisión / recepción: • ¿Se ha enviado un email?

• ¿Se ha recibido un email?

– Autenticidad de evidencia • ¿Se ha alterado un email recibido?

(casi) Nadie usa FIRMA ELECTRÓNICA




• Situación actual:

– Acumulación de evidencias más es mejor

• Email emisor

• Acuses de recibo/lectura de los destinatarios

• Log de Servidor de email del emisor

• Email destinatario

• Log de Servidor de email del destinatario

• Email otros destinatarios (CC:, CCO:)

• Log de Servidor de email de otros destinatarios






Débil

• Email emisor (ORIGINAL)

• Log Servidor Correo Emisor

Fuerte

• Email destinatario (PARA:)

• Log Servidor Correo Destinatario

• Acuses de Recibo/Lectura

Muy Fuerte

• Email Terceros (CC:, CCO:)

• Log Servidor Correo Terceros

Evidencias Digitales: Validez de eMail

Soluciones actuales: Servicio de Archivo y Custodia Segura de Correo Electrónico

– Tercera Parte de Confianza

– Almacenamiento Seguro por 10 años de todos los correos enviados y recibidos por las partes de una conversación

– Políticas de Correo electrónico corporativo

– Recepción Garantizada

– Cumplimiento Legal, apto para eDiscovery

– Cifrado



curso de peritaje informÁtico valor de las … · curso de peritaje informÁtico valor de las...

Documents