curso de peritaje informÁtico valor de las … · curso de peritaje informÁtico valor de las...
TRANSCRIPT
CURSO DE PERITAJE
INFORMÁTICO
Valor de las Evidencias
Informáticas
Javier Pagès López Informática Forense, Peritaje y Seguridad
Colegiado Nº 110 del CPIICYL
Colegio Profesional de Ingenieros en Informática de Castilla y León
Contacto Empresa:
Email: [email protected]
Web: http://www.informatica-forense.es
Contacto Profesional:
Email : [email protected]
Web : http://www.javierpages.com
Evidencias Digitales: ¿Qué son?
• Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informático
• Susceptible de tratamiento digital
• Ejemplos: – Documentos de Ofimática (Word, Excell, ...)
– Comunicaciones digitales: E-mails, SMSs, Fax, ...
– Imágenes digitales (fotos, videos...)
– Bases de Datos
– Ficheros de Registro de Actividad LOGS
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 2
Evidencias Digitales: Su Validez Jurídica
• Uno de los pilares más importantes de la informática forense – Valor que se le puede dar a las evidencias informáticas (e-evidences) – Para aportar en los procesos judiciales.
• Actualmente existen grandes debates entre juristas y expertos técnicos
– a nivel nacional -> Foro de la Evidencias Electrónicas (www.evidenciaselectronicas.org)
– a nivel internacional
Objetivo: • Alcanzar un compromiso a nivel internacional • Definir que hay que exigir a una evidencia informática para que se pueda
aceptar como una prueba
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 3
Evidencias Digitales: Su Validez Jurídica
• Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas que regulan las actividades relacionadas con la informática y el uso (o mal uso) que se haga de ella: – Leyes nacionales:
• Código Penal – reforma DIC-2010 para penalizar el mal uso informático – responsabilidad de empresas
• LOPD, LSSI-CE • Ley de Firma Electrónica, DNI-e, eFactura… • Ley de Conservación de Datos • Ley Administración Electrónica
– Leyes europeas: • “Data Retention Directive” (Directiva 2006/24/EC) • Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemas informáticos
– Leyes Inglesas: • “Anti-Terrorism, Crime and Security Act 2001” • “Prevention of Terrorist Act 2005”
– Leyes norteamericanas: • SOX (Sarbanex-Oxley Act 2002) • HIPAA (Health Insurance Portability and Accountability Act • ...
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 4
Nueva Legislación Informática (2010)
Esquema Nacional de Seguridad (Ene. 2010)
Todas las AA.PP. tienen que implantar medidas de seguridad en sus sistemas informáticos
Prepararse para combatir los CIBERATAQUES (Ej. Canada o Francia en 2011)
Reducir las fugas y robos de información (Ej, WikiLeaks)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 5
Nueva Legislación Informática (2010)
Reforma Código Penal (Dic. 2010)
Más delitos informáticos (ej, DoS, intrusiones…)
Responsabilidad PENAL de las EMPRESAS
Por delitos cometidos por sus empleados desde la empresa
Por no implantar medidas de seguridad en sus sistemas informáticos
Por incumplir la Ley (ej, LOPD)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 7
Evidencias Digitales: Preservar información de uso
• Muchas de estas leyes obligan a las empresas a conservar una serie de datos relacionados con el uso que se hace de la información contenida en los sistemas informáticos.
• Información que se almacena actualmente en: – logs de actividad de los sistemas informáticos – logs de actividad de aplicaciones informáticas – que se ejecutan en:
• cada servidor • en cada ordenador personal.
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 8
Evidencias Digitales: Validez de los Logs
Pregunta:
“¿Que valor probatorio tiene un log de ordenador?”
Respuestas:
•“Ningún valor. Se puede alterar muy fácilmente”
•“Valor Total. Aquí lo tengo impreso, y dice lo que está escrito”.
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 9
Evidencias Digitales: Validez de los Logs
Mi opinión: •un log, o un correo electrónico o cualquier otra evidencia informática:
– Tiene el valor que le quieran dar las partes – Si ninguna lo pone en duda, su valor será total – Pero si alguno duda de su autenticidad habrá que esforzarse (y mucho)
para darle valor probatorio
•Esta ambigüedad en el valor de las pruebas informáticas – es muy interesante y da mucho juego desde el punto de vista pericial – provoca una gran incertidumbre a nivel jurídico.
•Estamos en el Génesis de la Informática Forense, en sus inicios.
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 10
Evidencias Digitales: Validez de los Logs
Al principio era el caos
“La tierra era caos y confusión y oscuridad por encima del abismo”
(Génesis 1:2)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 11
Evidencias Digitales: Validez de los Logs
Al principio era el caos
•no había ni siquiera esos logs manipulables
nadie obligaba a conservarlos
•Las leyes actuales y futuras obligan cada vez más a que en determinados ámbitos existan esos logs de actividad,
Es un avance infinito respecto a la situación anterior de oscuridad
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 12
Evidencias Digitales: Validez de los Logs
“Y dijo Dios: Sea la luz; y fue la luz.
Y vio Dios que la luz era buena; y separó Dios la luz de las tinieblas”
(Génesis 1:3)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 13
Evidencias Digitales: Validez de los Logs
Algunas soluciones parciales actuales: •Gestión Logs Centralizado – Reduce puntos de acceso
– Reduce riesgo de manipulaciones
– No controla el log desde su origen
•Consolidación de Logs – Pensados para IDS
– Ejemplos: iSOC, OSSIM, Bitácora...
– Manipulan y/o Destruyen las evidencias originales CORREGIDO
Dudas sobre la validez
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 14
Evidencias Digitales: Validez de los Logs
Algunas soluciones parciales actuales: •Almacenamiento seguro de los Logs
– Soportes no reescribibles (WORM)
– Garantiza integridad a nivel físico
– Exige almacenamiento seguro de los soportes (agua, fuego, em...)
•Depósito y Custodia de Logs – Ante Notario / Terceras Partes Privadas
– Mantenimiento Cadena de Custodia
– Garantiza la alteración desde el Depósito hasta la Retirada
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 15
Evidencias Digitales: Validez de los Logs
Soluciones actuales:
Servicio de Depósito y Custodia de Soportes Informáticos
– Almacenamiento Seguro de Discos Duros, Cintas de Backup, Memorias USB, CD/DVD…
– Tercera Parte Privada
– Mantenimiento Cadena de Custodia
– Garantiza la no alteración desde el Depósito hasta la Retirada
– Servicio Certificado bajo la norma ISO-27001
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 16
Evidencias Digitales: Validez de los Logs
“Y vi en la mano derecha del que estaba sentado en el
trono un libro escrito por dentro y por fuera, sellado con siete sellos.
Y vi a un ángel fuerte que pregonaba a gran voz: ¿Quién es digno de abrir el libro y desatar sus sellos?
Y ninguno, ni en el cielo ni en la tierra ni debajo de la tierra, podía abrir el libro, ni aun mirarlo.”
(Apocalipsis 5:1-3)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 17
Evidencias Digitales: Validez de los Logs
Del Génesis al Apocalipsis (sin pasar por la casilla de salida)
•Cifrado y firma hash
– Aporta integridad del log a nivel lógico – Impiden la alteración de los logs – Impiden la apertura y el acceso no autorizados – Impiden siquiera mirarlo sin permiso – Problema de colisiones
• Usar dos o mas firmas distintas
• Los siete sellos del Apocalipsis
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 18
Evidencias Digitales: Validez de los Logs
Del Génesis al Apocalipsis (sin pasar por la casilla de salida)
•Serialización del log – Baja el nivel de granularidad de fichero a registro
– Permite determinar: • que registros siguen siendo válidos
• Que registros han sido – alterados / borrados / añadidos / cambiados de orden
– Garantizar el no repudio de las transacciones en ambos extremos • NRO (Non Repudiation of Origin)
• NRD (Non Repudiation of Delivery)
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 19
Evidencias Digitales: Validez de los Logs
Soluciones actuales: –Proyecto “Integridad y Seguridad de la Historia Clínica”
•Plan Avanza I+D 2008 (TSI-020302-2008-67)
•KINAMIC + Informática Forense + Hospital de Fuenlabrada
•Serialización del log con kNotary
•Asegurar el 100% de las Historias Clínicas del 1er Hospital “sin papeles” de Europa
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 20
Evidencias Digitales: Validez de los Logs - Conclusión
Secure Audit Trail (I): •Generación masiva de logs, para poder disponer de todas las evidencias posibles •Gestión correcta de logs, centralizándolos en un lugar seguro, preservando su integridad, controlando su acceso, garantizando la integridad de los datos y procesos de auditoría, y evitando el no repudio en ambos extremos •Múltiple firma hash, para garantizar la integridad lógica del fichero •Cifrado, para evitar la consulta no autorizada de su información •Serialización al máximo nivel de granularidad posible, la línea de registro, para poder diferenciar la parte alterada de la parte inalterada
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 22
Evidencias Digitales: Validez de los Logs - Conclusión
Secure Audit Trail (II): •Grabación en soportes físicos no modificables, para garantizar la integridad física del fichero •Cadena de custodia de los soportes, para evitar su sustitución por otros soportes •Almacenamiento seguro de los soportes, para evitar su destrucción accidental o intencionada •Custodia por tercera parte de confianza
– de los soportes físicos de los logs – de sus firmas completas – de la serialización de las firmas.
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 23
Ejemplo: Validez de eMail
• Problemas Actuales: – Ausencia de evidencias
• ¿Alguien tiene una copia del correo?
¿políticas de retención/custodia de email?
– Repudio de emisión / recepción: • ¿Se ha enviado un email?
• ¿Se ha recibido un email?
– Autenticidad de evidencia • ¿Se ha alterado un email recibido?
(casi) Nadie usa FIRMA ELECTRÓNICA
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 24
Ejemplo: Validez de eMail
• Situación actual:
– Acumulación de evidencias más es mejor
• Email emisor
• Acuses de recibo/lectura de los destinatarios
• Log de Servidor de email del emisor
• Email destinatario
• Log de Servidor de email del destinatario
• Email otros destinatarios (CC:, CCO:)
• Log de Servidor de email de otros destinatarios
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 25
Ejemplo: Validez de eMail
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 26
Débil
• Email emisor (ORIGINAL)
• Log Servidor Correo Emisor
Fuerte
• Email destinatario (PARA:)
• Log Servidor Correo Destinatario
• Acuses de Recibo/Lectura
Muy Fuerte
• Email Terceros (CC:, CCO:)
• Log Servidor Correo Terceros
Evidencias Digitales: Validez de eMail
Soluciones actuales: Servicio de Archivo y Custodia Segura de Correo Electrónico
– Tercera Parte de Confianza
– Almacenamiento Seguro por 10 años de todos los correos enviados y recibidos por las partes de una conversación
– Políticas de Correo electrónico corporativo
– Recepción Garantizada
– Cumplimiento Legal, apto para eDiscovery
– Cifrado
(C) www.informatica-forense.es 2014
Curso de Peritaje Informático 27