Info Forense Rosales

 

21/11/2008

Ing. Guido Guido Rosales Uriona

INFORM INFORMATICA ATICA FORENS FORENSE E

1

OBJETIVO 





Mostrar Mostr ar el est estado ado de los de delit litos os inf inform ormati aticos cos en Bolivia Compartir Compar tir pa para ra despe desperta rtarr la inquie inquietud tud de forma forma masiva Es un movim movimiento iento emer emergent gente. e. Lo contra contrario rio sera muy mu y di difi fici cill

Ing. Guido Rosales Uriona

1

 

21/11/2008

Contenido 

La evidencia digital 





Delitos Informáticos Delitos comunes

La Informatica Forense 

El marco legal



Servicios Profesionales



Formación



Recursos de infraestructura, hardware y software



Casos reales en Bolivia

Ing. Guido Rosales Uriona

LA EVIDENCIA DIGITAL 

Evidencia: del latin Evidentia Evidencia: Evidentia.. Cualidad de evidente evidente (Cierto, claro, sin duda)  



Evidencia digital: “información de valor probatorio almacenada o transmitida en forma digital” • IOCE (Inte (Internaci rnacional onal Organi Organizatio zation n Of Compu Computer ter Evid Evidence). ence). 1999.



Requisit Requ isitos os Ejem Ejemplo: plo: (Ley 527 de 1999 1999 – Colo Colombia mbia)) 



la confiabilidad en la forma en la que se generó; la confiabilidad , en la que se identifica al autor.

Proyecto de ley de documentos, firmas y comercio electronico 

Valor probatorio Ing. Guido Rosales Uriona

2

 

21/11/2008

MARCO LEGAL Fecha de Promulgación

11/3/9 11/ 3/97 7

Descripción. LEY 1768 COD CODIGO IGO PEN PENAL AL 2 ART ARTICU ICULOS LOS DE DELI DELITOS TOS INF INFORM ORMATI ATICOS COS

25/4/97 25/4/9 7 31/3/98 31/3/9 8

REGLAMENTO REGLAM ENTO DE SOP SOPORT ORTE E LÓGI LÓGICO, CO, D.S D.S.. 24582 24582 LEY 1834 DE MERCA MERCADO DO DE VAL VALORES ORES ART. 56 PERMI PERMITE TE LOS TITUL TITULOS OS VAL VALORES ORES

1/4/98 1/4 /98

LEY 183 1836 6 DEL TRI TRIBUN BUNAL AL CONS CONSTIT TITUCI UCIONA ONALL ART. ART. 29 29 ADMI ADMITE TE DEMAN DEMANDA DAS SY RECURSOS POR FAX. LEY 2297 2297 DEL MODIFI MODIFICA CA BANCOS BANCOS 1498 1498 ART. ART. 6 APRUEB APRUEBA A EL USO DE DE Y SU VAL VALOR OR PROBATORIO EN EL SECTOR FINANCIERO LEY 24 10 10 CON CONSTI STITUC TUCION ION POL POLITI ITICA CA DEL DEL ESTA ESTADO DO , INT INTROD RODUCE UCE EL RECU RECURSO RSO DE HABEAS DATA PARA LOS DATOS PERSONALES LEY 2492 CÓD CÓDIGO IGO TRI TRIBUT BUTARI ARIO O DE ART. ART. 77 77 ADMIT ADMITE E COMO COMO MEDI MEDIOS OS DE DE PRUEB PRUEBA A  , . ,  APRUEBA LAS NOTIFICACIONES NOTIFICACIONES ELECTRONICAS D.S. 27241 27241 DE REGLAME REGLAMENTO NTO A LOS PROCEDI PROCEDIMIENT MIENTOS OS ADMINIS ADMINISTRATI TRATIVOS, VOS,  ADMITE COMO MEDIOS DE PRUEBA LAS LAS DOCUMENTOS ELECTRÓNICOS RESOLU RESO LUCIO CION N DE DIRECT DIRECTORI ORIO O BCB Nº 086/2 086/2004 004 APRUE APRUEBA BA REGLAM REGLAMENTO ENTO DE DE FIRMA DIGITAL. D.S. 27310 DE REGLAM REGLAMENTO ENTO DEL CÓDIG CÓDIGO O TRIBUT TRIBUTARIO, ARIO, RECONOC RECONOCE E MEDIOS MEDIOS E INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS ELECTRÓNICOS.. Fuente: Investigación Propia

20/12/01 20/12/ 01 8/8/02 8/8 /02 2/8/03 2/8 /03

14/11/03 14/11/ 03 1/07/0 1/0 7/04 4 9/01/04 9/01/0 4

MSc. Ing. Guido Rosales Uriona

MARCO REGULATORIO Sector

Documento

Fuente

Observaciones

Gobierno

Ninguno

http://www.abi.bo

No se tiene nada específico. Existe el anteproyecto de Ley sobre Transacciones electrónicas y Delitos Informáticos.

Sector telecomunicaciones Sector Energía Eléctrica

Ninguno

www.sittel.gov.bo

Ninguno

www.sicoes.gov.bo

Sector Fin an anciero

SB 443/03

www.sbef.gov.bo

Solo se regulan temas de servicios y no de sistemas. Intentos de efectuar Auditorias de si stemas desde el año 2004. Tiene un reglamento de calidad de información amparado en un decreto. Requisitos mínimos de seguridad in formática.

Sector Pensiones,  Valores y Seguros Seguros

Circular

www.spvs.gov.vo

Requiere elaborar análisis de riesgos para fundamentar la infraestructura de seguridad. No se efectúan actividades relacionadas.

 Administrativa

Sector educación

Ninguno

www.abi.bo

FFAA

Ninguno

www.ejercito.mil.bo Se creó un departamento denominado CRISIS, sin embargo no se conoce nada oficialmente sobre su finalidad.

Fuente: Investigación Propia

MSc. Ing. Guido Rosales Uriona

3

 

21/11/2008

DELITOS INFORMATICOS 

Delito Del itos s com cometi etidos dos con la part partici icipac pacion ion de TI como co mo ob obje jeti tivo vo o medi medio o





Directos Dire ctos / Activos Activos



Indirec Indi rectos tos / Pasivos Pasivos

 Actores 



De persona persona a persona (Acceso (Acceso no autorizado autorizado Calumnias) e empr empresa esa a pers persona ona

pam



De persona a empresa empresa (virus, spam, spam, manipulacion) manipulacion)



De empre empresa sa a empre empresa sa (Esp (Espiona ionaje) je)

MSc. Ing. Guido Rosales Uriona

Los delitos 



Delitos Informáticos 

 Art. 363 bis : Manipulación Informatica



 Art 363 ter : Acceso no autorizado

Delitos contra la fe pública: 198 Falsedad material 199 Falsedad ideológica 203 Uso de instrumento falsificado Delitos contra la propiedad 326 Hurto 331 Robo 335 Estafa 345 Apropiación Indebida 346 Abuso de confianza   



    

Ing. Guido Rosales Uriona

4

 

21/11/2008

INSEGURIDAD INSEGURI DAD LEGAL

PAÍS

LEY Y FECHA DE PROMULGACIÓN

Ar en enti tina na

Le 25 25.5 .506 06 Fir irm ma Di Di it ital al Dicie Diciemb mbre re 20 2001 01..

Bolivia

Proyecto de de Le Ley

Chil Ch ilee

Ley Le y 19 19..79 799, 9, Prom Promul ulga gada da en Ma Marz rzo o de dell 20 2002 02

Colombia

 Ley 527 sobre sobre Mensajes de Datos. Comercio Comercio  Electrónico y Firma Digital de de 18/08/1999 18/08/1999

Ecua Ec uado dorr

Ley Le y No No.. 200 20022-67 67)) 10 10/0 /04/ 4/20 2002 02

España

Ley 59/2003

Perú

Ley 27 27269, 26 26/05/2000

Paraguay

Proyecto

Uruguay

La ley N 17.243 del 29/06/2000

Venez Ven ezue uela la

10 de de febr febrero ero de dell 2001 2001

°

Guido Rosales Uriona

TENDENCIAS CONSULTORIA

12

10

8

6

4

2

0 01 AL 02

03 AL 05  AUDITORIAS

MSc. Ing. Guido Rosales Uriona

0 5 AL 0 6 FORENSES

06 AL 07 SGSI

08 AL 10

MICs

Fuente: Investigación Propia

5

 

21/11/2008

ESTADISTICAS NACION ESTADISTICAS NA CIONAL ALES ES

 AMENA  A MENAZA ZAS S TECNOLOGICAS TECNOLOGICA S

Robo de Informacion

Violacion DeCCTV privacidad

SPAM

 Aco so

Phising

PIrateria

Pornografia Infantil

Espionaje

Virus

6

 

21/11/2008

: INFORMATICA FORENSE

Ing. Guido Rosales Uriona

TRIÁNGULO DEL CRIMEN

/

REAL VIRTUAL

/

REAL VIRTUAL

/

REAL VIRTUAL

7

 

21/11/2008

LA INFORMATICA FORENSE 

Concepto 



Ciencia que se ocupa de recolectar, preservar, ana zar y presentar a ev enc a g ta .

Marco legal en Bolivia 

Figura de la Pericia: Art. 204 204 - 215, c.p.p



El consultor técnico: Art. 207 c.p.p



Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo

48 48

Ing. Guido Rosales Uriona

 APLICA  A PLICACIÓN CIÓN INFOFOR

Escena del Hecho 80/20

INFORMATICA FORENSE

 Análisis Pericial (Forense) 20/80

8

 

21/11/2008

INFOFO R - COM COMO O ESTAMOS? ESTAMOS? INFOFOR

12,5 12,5

50 25

6Rs Completo

Escena del hecho

Previo

Analisis

Método de dell Octá Octágono gono

Mundo Real

Mundo Virtual

9

 

21/11/2008

ETAPA 1. PROTECCION



Evitar la contaminación de la escena del hecho  

 

 

Volcado de memoria

Registro del tiempo exacto (GMT -4)  Apagar dispositivos previa acta del último estado estado o pantalla visible

ETAPA 2: EVALUACIO EVALUACION N Santa Cruz

Servidor  Servidor 

Servidor 

Cochabamba ENTEL/ Comteco / COTAS, etc

Servidor 



Conocimiento previo SU3, escaneo de red y/o interrogatorio



Escena: Cerrada, mixta y abierta



Principio de e-locard

10

 

21/11/2008

ETAPA 3: FIJACIO FIJACION N 

Facilitar la escena del hecho







Identificar fuentes de evidencia: Señalectica Caracterización por Caracterización   Fijación digital mediante clonación o imagen de medios

I

I

I

I

II

V

ETAPA 4: RASTREO RA STREO FISICO FISICO / DIGITAL

Rastreo digitl sobre copias (clon o imagen) •Manual •Man ual – Explo Explorador  rador  •Automático – Antivirus, antispyware, antispyware, set de hashes

11

 

21/11/2008

ETAPA 5: RECON RECONOCIMI OCIMIENTO ENTO DE OBJETIVO OBJ ETIVO O MEDIO 



Repositorios en red: PC, impresoras, servidores servidores Repositorios en Internet: Cuentas de email, servidores hackeados



PC Zombis: Artillería remota



Maniobras de distracción: Confundir al enemigo



En función de la topología y esquema de red 

  , aplicaciones, de correo

,

ETAPA 6: HIPOTESIS CRIMINAL CRIMINAL

La estrategia del TERO

12

 

21/11/2008

COLECTA O EMBALA GE ETAPA 7: COLECTA

Embalaje Lógico: Lógico: Función hash / Zipeo con Clave / Imagen

ETAPA 8: CADENA CA DENA DE CUSTODIO CUSTODIO



Garantizar la invariabilidad de la evidencia.



Bóvedas o jaulas FARADAY

13

 

21/11/2008

Ing. Guido Rosales Uriona

CONCLUSION

 

TRATAMIENTO ETAPA 1 PROTECCION

ETAPA 8 ETAPA 2 Evaluacion

ETAPA n

Cadena Caden a de Custodio

…

14

 

21/11/2008

METODO DE ANAL METODO A NALISIS ISIS FORENSE FORENSE

R1 - RECON RECONOCIMI OCIMIENTO ENTO 

Reconocimiento Estratégico 







Impacto FINOL (Financiero, Imagen, Normativo, pera pe ra vo y eg ega a  Análisis interno de: Políticas de seguridad, Matriz de Cumplimiento,  Auditorias y Control Interno, BIA, etc.

Reacción hormonal Vs. Reacción Neuronal  



El Proyecto Forense



La formalidad del juramento



Los puntos de Pericia: HIPOTESIS CRIMINAL

15

 

21/11/2008

R2 - REQ REQUIS UISITO ITOS S 

La Evidencia digital: 









uen a con una ec ec a y ora e creación o alteración. Cuenta con elementos que permiten validar su autenticidad. Puede ser verificados en su fiabilidad de producción o generación

PENTAVALORES 



Tiene un autor claramente identificado,

Buenos Backups Backups y Criptografía Criptografía im le leme men nta tad da PKI

 Antiforense 

Metadatos



Edición Hexadecimal

R3 - REC RECOLECC OLECCION ION 













Levantar toda evidencia e indicios, siendo preferible preferible pecar por exceso que por defecto. Manejarla sólo lo estrictamente necesario, a fin de no alterarla o contaminarla. Evitar contaminarla con los instrumentos que se utilizan para su levantamiento, los cuales deberán purificados meticulosamente antes y después de su uso. Levantarla por separado, evitando mezclarla. Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla con funciones hash Embalarla individualmente   rocurando ue se manten a la inte ridad de su naturaleza.  Anti forense 

Criptografía



Fragmentación del disco

16

 

21/11/2008

R4 - RE RECU CUPE PERACI RACION ON 

De datos 

En medios actuales



En medios obsoletos



Valor probatorio



Basureros físicos y lógicos 

Indicios

METODOS ANTIFORENSES

17

 

21/11/2008

R5: RECONST RECONSTRUCCION RUCCION

 

OBJETIVO

RECOLECCION

ATAQUE

ANÁLISIS Y PRODUCCIÓN

FASES DE UN U N ATAQUE ATAQUE

R5 - RECON RECONSTRUCC STRUCCION ION 

En la mente del atacante 

 

a.- Inte Interna rna (Ideación (Ideación)) • De Deli liber berac ación ión • Res Resoluc olución ión o determ determinac inación ión



b.- Inte Intermed rmedia ia Prop Proposic osición ión a delinq delinquir  uir  • Res Resoluc olución ión manif manifest estada ada



c.- Externa (Actos preparat preparatorios) orios) • Act Actos os de ejec ejecució ución n



MODUS OPERANDI

18

 

21/11/2008

R 5: RECONSTRUCCION

La estrategia del TERO

R6 - RES RESULTAD ULTADOS OS 

DICTAMEN PERICIAL 









En función de los puntos periciales

  Juez acompañando en anexo el acta de juramento. Puntos de Pericia (Objetivos): Aquellos definidos por la instancia legal correspondiente. Generalmente están expresados en el acta de posesión o juramento de ley. Dictamen (Conclusiones): Conclusiones en función de los puntos de pericia definidos.   donde se explique todos los pasos seguidos

19

 

21/11/2008

R6 - RE RESU SULTADO LTADOS S 

JUICIO ORAL



Lectura en extenso 



e os aprop a os: au ov sua es, reconstrucc n tr gráficos, etc.

mens ona ,

Interrogatorio y Contrainterrogatorio 



 Abogados y Consultores Técnicos Debido entrenamiento

CONCLUSION

20

 

21/11/2008

REALES CASOS REAL ES 



PUBLICOS 

CASO RUAT RUAT - Mani Manipul pulacio acion n



CASO CAS O ABC – Co Corru rrupc pcion ion Pub Public lica a



CASO SIDUNEA SIDUNEA – Mani Manipula pulacion cion Info Informat rmatica ica

PRIVADOS 



Bancos  Aseguradoras  Asegurad oras



Telecomunicaciones



PYMES



Personales

Ing. Guido Rosales Uriona

 ACCIONES  A CCIONES TOMADA TOMA DAS S

2005 20 05 - Cap apac aciita taci ción ón PTJ La Paz

200 20 05 - Ca Capa paci cittac ació ión n PTJ Sant nta a Cr Cruz uz

21

 

21/11/2008

1. CISO(C CISO(CIS ISSP SP - CIS CISM) M) 15 VER VERSI SIONE ONES S – 150 – 50 CER CERTIF TIFICAD ICADOS OS 2. IS ISSA SA (CI (CISA SA - CI CISM SM)) – 7 VER VERSI SION ONES ES 70 – 20 CER CERTI TIFI FICAD CADOS OS 3. FC FCA A (ENC (ENCE) E)– – 3 VER VERSI SION ONES ES – 30 – 10 CE CERT RTIF IFIC ICADO ADOS S

www.yanapti.com

CONTENIDO FCA

22

 

21/11/2008

FASE 1: INFOFOR 18 y 19 de Septiembre 2008

FASE 2: FCA 

CERTIFICACION NACIONAL 

10 seman semanas as – 60 horas horas

23

 

21/11/2008

FASE 3: CERTI CERTIFICACION FICACION EnCE

• CERT CERTIF IFIC ICAC ACIO ION N INTERNACIONAL

FASE 4: LABO IN INFO FOFO FOR R

24

 

21/11/2008

ESTADO DEL PROYEC PROYECTO TO 

FASE 1: Evento Evento masivo masivo – Com Completa pletado do



FASE 2: Entre Entrenam namiento iento FCA FCA – 80 %



FASE FAS E 3: Cer Certif tifica icacio cion n EnC EnCE E – Sin Co Comen menzar  zar 



FASE 4: Laborator Laboratorio io – Com Completa pletado do



 AVANCE TOTAL 70%

Ing. Guido Rosales Uriona

  Email: [email protected] Dirección: Av. Arce N 2105, Edificio Venus 5a Teléfonos: 2152273 / 2440985

www.yanapti.com

25