21/11/2008
Ing. Guido Guido Rosales Uriona
INFORM INFORMATICA ATICA FORENS FORENSE E
1
OBJETIVO
Mostrar Mostr ar el est estado ado de los de delit litos os inf inform ormati aticos cos en Bolivia Compartir Compar tir pa para ra despe desperta rtarr la inquie inquietud tud de forma forma masiva Es un movim movimiento iento emer emergent gente. e. Lo contra contrario rio sera muy mu y di difi fici cill
Ing. Guido Rosales Uriona
1
21/11/2008
Contenido
La evidencia digital
Delitos Informáticos Delitos comunes
La Informatica Forense
El marco legal
Servicios Profesionales
Formación
Recursos de infraestructura, hardware y software
Casos reales en Bolivia
Ing. Guido Rosales Uriona
LA EVIDENCIA DIGITAL
Evidencia: del latin Evidentia Evidencia: Evidentia.. Cualidad de evidente evidente (Cierto, claro, sin duda)
Evidencia digital: “información de valor probatorio almacenada o transmitida en forma digital” • IOCE (Inte (Internaci rnacional onal Organi Organizatio zation n Of Compu Computer ter Evid Evidence). ence). 1999.
Requisit Requ isitos os Ejem Ejemplo: plo: (Ley 527 de 1999 1999 – Colo Colombia mbia))
la confiabilidad en la forma en la que se generó; la confiabilidad , en la que se identifica al autor.
Proyecto de ley de documentos, firmas y comercio electronico
Valor probatorio Ing. Guido Rosales Uriona
2
21/11/2008
MARCO LEGAL Fecha de Promulgación
11/3/9 11/ 3/97 7
Descripción. LEY 1768 COD CODIGO IGO PEN PENAL AL 2 ART ARTICU ICULOS LOS DE DELI DELITOS TOS INF INFORM ORMATI ATICOS COS
25/4/97 25/4/9 7 31/3/98 31/3/9 8
REGLAMENTO REGLAM ENTO DE SOP SOPORT ORTE E LÓGI LÓGICO, CO, D.S D.S.. 24582 24582 LEY 1834 DE MERCA MERCADO DO DE VAL VALORES ORES ART. 56 PERMI PERMITE TE LOS TITUL TITULOS OS VAL VALORES ORES
1/4/98 1/4 /98
LEY 183 1836 6 DEL TRI TRIBUN BUNAL AL CONS CONSTIT TITUCI UCIONA ONALL ART. ART. 29 29 ADMI ADMITE TE DEMAN DEMANDA DAS SY RECURSOS POR FAX. LEY 2297 2297 DEL MODIFI MODIFICA CA BANCOS BANCOS 1498 1498 ART. ART. 6 APRUEB APRUEBA A EL USO DE DE Y SU VAL VALOR OR PROBATORIO EN EL SECTOR FINANCIERO LEY 24 10 10 CON CONSTI STITUC TUCION ION POL POLITI ITICA CA DEL DEL ESTA ESTADO DO , INT INTROD RODUCE UCE EL RECU RECURSO RSO DE HABEAS DATA PARA LOS DATOS PERSONALES LEY 2492 CÓD CÓDIGO IGO TRI TRIBUT BUTARI ARIO O DE ART. ART. 77 77 ADMIT ADMITE E COMO COMO MEDI MEDIOS OS DE DE PRUEB PRUEBA A , . , APRUEBA LAS NOTIFICACIONES NOTIFICACIONES ELECTRONICAS D.S. 27241 27241 DE REGLAME REGLAMENTO NTO A LOS PROCEDI PROCEDIMIENT MIENTOS OS ADMINIS ADMINISTRATI TRATIVOS, VOS, ADMITE COMO MEDIOS DE PRUEBA LAS LAS DOCUMENTOS ELECTRÓNICOS RESOLU RESO LUCIO CION N DE DIRECT DIRECTORI ORIO O BCB Nº 086/2 086/2004 004 APRUE APRUEBA BA REGLAM REGLAMENTO ENTO DE DE FIRMA DIGITAL. D.S. 27310 DE REGLAM REGLAMENTO ENTO DEL CÓDIG CÓDIGO O TRIBUT TRIBUTARIO, ARIO, RECONOC RECONOCE E MEDIOS MEDIOS E INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS ELECTRÓNICOS.. Fuente: Investigación Propia
20/12/01 20/12/ 01 8/8/02 8/8 /02 2/8/03 2/8 /03
14/11/03 14/11/ 03 1/07/0 1/0 7/04 4 9/01/04 9/01/0 4
MSc. Ing. Guido Rosales Uriona
MARCO REGULATORIO Sector
Documento
Fuente
Observaciones
Gobierno
Ninguno
http://www.abi.bo
No se tiene nada específico. Existe el anteproyecto de Ley sobre Transacciones electrónicas y Delitos Informáticos.
Sector telecomunicaciones Sector Energía Eléctrica
Ninguno
www.sittel.gov.bo
Ninguno
www.sicoes.gov.bo
Sector Fin an anciero
SB 443/03
www.sbef.gov.bo
Solo se regulan temas de servicios y no de sistemas. Intentos de efectuar Auditorias de si stemas desde el año 2004. Tiene un reglamento de calidad de información amparado en un decreto. Requisitos mínimos de seguridad in formática.
Sector Pensiones, Valores y Seguros Seguros
Circular
www.spvs.gov.vo
Requiere elaborar análisis de riesgos para fundamentar la infraestructura de seguridad. No se efectúan actividades relacionadas.
Administrativa
Sector educación
Ninguno
www.abi.bo
FFAA
Ninguno
www.ejercito.mil.bo Se creó un departamento denominado CRISIS, sin embargo no se conoce nada oficialmente sobre su finalidad.
Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona
3
21/11/2008
DELITOS INFORMATICOS
Delito Del itos s com cometi etidos dos con la part partici icipac pacion ion de TI como co mo ob obje jeti tivo vo o medi medio o
Directos Dire ctos / Activos Activos
Indirec Indi rectos tos / Pasivos Pasivos
Actores
De persona persona a persona (Acceso (Acceso no autorizado autorizado Calumnias) e empr empresa esa a pers persona ona
pam
De persona a empresa empresa (virus, spam, spam, manipulacion) manipulacion)
De empre empresa sa a empre empresa sa (Esp (Espiona ionaje) je)
MSc. Ing. Guido Rosales Uriona
Los delitos
Delitos Informáticos
Art. 363 bis : Manipulación Informatica
Art 363 ter : Acceso no autorizado
Delitos contra la fe pública: 198 Falsedad material 199 Falsedad ideológica 203 Uso de instrumento falsificado Delitos contra la propiedad 326 Hurto 331 Robo 335 Estafa 345 Apropiación Indebida 346 Abuso de confianza
Ing. Guido Rosales Uriona
4
21/11/2008
INSEGURIDAD INSEGURI DAD LEGAL
PAÍS
LEY Y FECHA DE PROMULGACIÓN
Ar en enti tina na
Le 25 25.5 .506 06 Fir irm ma Di Di it ital al Dicie Diciemb mbre re 20 2001 01..
Bolivia
Proyecto de de Le Ley
Chil Ch ilee
Ley Le y 19 19..79 799, 9, Prom Promul ulga gada da en Ma Marz rzo o de dell 20 2002 02
Colombia
Ley 527 sobre sobre Mensajes de Datos. Comercio Comercio Electrónico y Firma Digital de de 18/08/1999 18/08/1999
Ecua Ec uado dorr
Ley Le y No No.. 200 20022-67 67)) 10 10/0 /04/ 4/20 2002 02
España
Ley 59/2003
Perú
Ley 27 27269, 26 26/05/2000
Paraguay
Proyecto
Uruguay
La ley N 17.243 del 29/06/2000
Venez Ven ezue uela la
10 de de febr febrero ero de dell 2001 2001
°
Guido Rosales Uriona
TENDENCIAS CONSULTORIA
12
10
8
6
4
2
0 01 AL 02
03 AL 05 AUDITORIAS
MSc. Ing. Guido Rosales Uriona
0 5 AL 0 6 FORENSES
06 AL 07 SGSI
08 AL 10
MICs
Fuente: Investigación Propia
5
21/11/2008
ESTADISTICAS NACION ESTADISTICAS NA CIONAL ALES ES
AMENA A MENAZA ZAS S TECNOLOGICAS TECNOLOGICA S
Robo de Informacion
Violacion DeCCTV privacidad
SPAM
Aco so
Phising
PIrateria
Pornografia Infantil
Espionaje
Virus
6
21/11/2008
: INFORMATICA FORENSE
Ing. Guido Rosales Uriona
TRIÁNGULO DEL CRIMEN
/
REAL VIRTUAL
/
REAL VIRTUAL
/
REAL VIRTUAL
7
21/11/2008
LA INFORMATICA FORENSE
Concepto
Ciencia que se ocupa de recolectar, preservar, ana zar y presentar a ev enc a g ta .
Marco legal en Bolivia
Figura de la Pericia: Art. 204 204 - 215, c.p.p
El consultor técnico: Art. 207 c.p.p
Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo
48 48
Ing. Guido Rosales Uriona
APLICA A PLICACIÓN CIÓN INFOFOR
Escena del Hecho 80/20
INFORMATICA FORENSE
Análisis Pericial (Forense) 20/80
8
21/11/2008
INFOFO R - COM COMO O ESTAMOS? ESTAMOS? INFOFOR
12,5 12,5
50 25
6Rs Completo
Escena del hecho
Previo
Analisis
Método de dell Octá Octágono gono
Mundo Real
Mundo Virtual
9
21/11/2008
ETAPA 1. PROTECCION
Evitar la contaminación de la escena del hecho
Volcado de memoria
Registro del tiempo exacto (GMT -4) Apagar dispositivos previa acta del último estado estado o pantalla visible
ETAPA 2: EVALUACIO EVALUACION N Santa Cruz
Servidor Servidor
Servidor
Cochabamba ENTEL/ Comteco / COTAS, etc
Servidor
Conocimiento previo SU3, escaneo de red y/o interrogatorio
Escena: Cerrada, mixta y abierta
Principio de e-locard
10
21/11/2008
ETAPA 3: FIJACIO FIJACION N
Facilitar la escena del hecho
Identificar fuentes de evidencia: Señalectica Caracterización por Caracterización Fijación digital mediante clonación o imagen de medios
I
I
I
I
II
V
ETAPA 4: RASTREO RA STREO FISICO FISICO / DIGITAL
Rastreo digitl sobre copias (clon o imagen) •Manual •Man ual – Explo Explorador rador •Automático – Antivirus, antispyware, antispyware, set de hashes
11
21/11/2008
ETAPA 5: RECON RECONOCIMI OCIMIENTO ENTO DE OBJETIVO OBJ ETIVO O MEDIO
Repositorios en red: PC, impresoras, servidores servidores Repositorios en Internet: Cuentas de email, servidores hackeados
PC Zombis: Artillería remota
Maniobras de distracción: Confundir al enemigo
En función de la topología y esquema de red
, aplicaciones, de correo
,
ETAPA 6: HIPOTESIS CRIMINAL CRIMINAL
La estrategia del TERO
12
21/11/2008
COLECTA O EMBALA GE ETAPA 7: COLECTA
Embalaje Lógico: Lógico: Función hash / Zipeo con Clave / Imagen
ETAPA 8: CADENA CA DENA DE CUSTODIO CUSTODIO
Garantizar la invariabilidad de la evidencia.
Bóvedas o jaulas FARADAY
13
21/11/2008
Ing. Guido Rosales Uriona
CONCLUSION
TRATAMIENTO ETAPA 1 PROTECCION
ETAPA 8 ETAPA 2 Evaluacion
ETAPA n
Cadena Caden a de Custodio
…
14
21/11/2008
METODO DE ANAL METODO A NALISIS ISIS FORENSE FORENSE
R1 - RECON RECONOCIMI OCIMIENTO ENTO
Reconocimiento Estratégico
Impacto FINOL (Financiero, Imagen, Normativo, pera pe ra vo y eg ega a Análisis interno de: Políticas de seguridad, Matriz de Cumplimiento, Auditorias y Control Interno, BIA, etc.
Reacción hormonal Vs. Reacción Neuronal
El Proyecto Forense
La formalidad del juramento
Los puntos de Pericia: HIPOTESIS CRIMINAL
15
21/11/2008
R2 - REQ REQUIS UISITO ITOS S
La Evidencia digital:
uen a con una ec ec a y ora e creación o alteración. Cuenta con elementos que permiten validar su autenticidad. Puede ser verificados en su fiabilidad de producción o generación
PENTAVALORES
Tiene un autor claramente identificado,
Buenos Backups Backups y Criptografía Criptografía im le leme men nta tad da PKI
Antiforense
Metadatos
Edición Hexadecimal
R3 - REC RECOLECC OLECCION ION
Levantar toda evidencia e indicios, siendo preferible preferible pecar por exceso que por defecto. Manejarla sólo lo estrictamente necesario, a fin de no alterarla o contaminarla. Evitar contaminarla con los instrumentos que se utilizan para su levantamiento, los cuales deberán purificados meticulosamente antes y después de su uso. Levantarla por separado, evitando mezclarla. Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla con funciones hash Embalarla individualmente rocurando ue se manten a la inte ridad de su naturaleza. Anti forense
Criptografía
Fragmentación del disco
16
21/11/2008
R4 - RE RECU CUPE PERACI RACION ON
De datos
En medios actuales
En medios obsoletos
Valor probatorio
Basureros físicos y lógicos
Indicios
METODOS ANTIFORENSES
17
21/11/2008
R5: RECONST RECONSTRUCCION RUCCION
OBJETIVO
RECOLECCION
ATAQUE
ANÁLISIS Y PRODUCCIÓN
FASES DE UN U N ATAQUE ATAQUE
R5 - RECON RECONSTRUCC STRUCCION ION
En la mente del atacante
a.- Inte Interna rna (Ideación (Ideación)) • De Deli liber berac ación ión • Res Resoluc olución ión o determ determinac inación ión
b.- Inte Intermed rmedia ia Prop Proposic osición ión a delinq delinquir uir • Res Resoluc olución ión manif manifest estada ada
c.- Externa (Actos preparat preparatorios) orios) • Act Actos os de ejec ejecució ución n
MODUS OPERANDI
18
21/11/2008
R 5: RECONSTRUCCION
La estrategia del TERO
R6 - RES RESULTAD ULTADOS OS
DICTAMEN PERICIAL
En función de los puntos periciales
Juez acompañando en anexo el acta de juramento. Puntos de Pericia (Objetivos): Aquellos definidos por la instancia legal correspondiente. Generalmente están expresados en el acta de posesión o juramento de ley. Dictamen (Conclusiones): Conclusiones en función de los puntos de pericia definidos. donde se explique todos los pasos seguidos
19
21/11/2008
R6 - RE RESU SULTADO LTADOS S
JUICIO ORAL
Lectura en extenso
e os aprop a os: au ov sua es, reconstrucc n tr gráficos, etc.
mens ona ,
Interrogatorio y Contrainterrogatorio
Abogados y Consultores Técnicos Debido entrenamiento
CONCLUSION
20
21/11/2008
REALES CASOS REAL ES
PUBLICOS
CASO RUAT RUAT - Mani Manipul pulacio acion n
CASO CAS O ABC – Co Corru rrupc pcion ion Pub Public lica a
CASO SIDUNEA SIDUNEA – Mani Manipula pulacion cion Info Informat rmatica ica
PRIVADOS
Bancos Aseguradoras Asegurad oras
Telecomunicaciones
PYMES
Personales
Ing. Guido Rosales Uriona
ACCIONES A CCIONES TOMADA TOMA DAS S
2005 20 05 - Cap apac aciita taci ción ón PTJ La Paz
200 20 05 - Ca Capa paci cittac ació ión n PTJ Sant nta a Cr Cruz uz
21
21/11/2008
1. CISO(C CISO(CIS ISSP SP - CIS CISM) M) 15 VER VERSI SIONE ONES S – 150 – 50 CER CERTIF TIFICAD ICADOS OS 2. IS ISSA SA (CI (CISA SA - CI CISM SM)) – 7 VER VERSI SION ONES ES 70 – 20 CER CERTI TIFI FICAD CADOS OS 3. FC FCA A (ENC (ENCE) E)– – 3 VER VERSI SION ONES ES – 30 – 10 CE CERT RTIF IFIC ICADO ADOS S
www.yanapti.com
CONTENIDO FCA
22
21/11/2008
FASE 1: INFOFOR 18 y 19 de Septiembre 2008
FASE 2: FCA
CERTIFICACION NACIONAL
10 seman semanas as – 60 horas horas
23
21/11/2008
FASE 3: CERTI CERTIFICACION FICACION EnCE
• CERT CERTIF IFIC ICAC ACIO ION N INTERNACIONAL
FASE 4: LABO IN INFO FOFO FOR R
24
21/11/2008
ESTADO DEL PROYEC PROYECTO TO
FASE 1: Evento Evento masivo masivo – Com Completa pletado do
FASE 2: Entre Entrenam namiento iento FCA FCA – 80 %
FASE FAS E 3: Cer Certif tifica icacio cion n EnC EnCE E – Sin Co Comen menzar zar
FASE 4: Laborator Laboratorio io – Com Completa pletado do
AVANCE TOTAL 70%
Ing. Guido Rosales Uriona
Email:
[email protected] Dirección: Av. Arce N 2105, Edificio Venus 5a Teléfonos: 2152273 / 2440985
www.yanapti.com
25