CURSO DE PERITAJE INFORMÁTICO. Valor de las Evidencias Informáticas

Transcripción

1 CURSO DE PERITAJE INFORMÁTICO Valor de las Evidencias Informáticas Javier Pagès López Informática Forense, Peritaje y Seguridad Colegiado Nº 110 del CPIICYL Colegio Profesional de Ingenieros en Informática de Castilla y León Contacto Empresa: javier.pages@informatica-forense.es Web: Contacto Profesional: javier@javierpages.com Web :

2 Qué son? Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informático Susceptible de tratamiento digital Ejemplos: Documentos de Ofimática (Word, Excell,...) Comunicaciones digitales: s, SMSs, Fax,... Imágenes digitales (fotos, videos...) Bases de Datos Ficheros de Registro de Actividad LOGS Curso de Peritaje Informático 2

3 Su Validez Jurídica Uno de los pilares más importantes de la informática forense Valor que se le puede dar a las evidencias informáticas (e-evidences) Para aportar en los procesos judiciales. Actualmente existen grandes debates entre juristas y expertos técnicos a nivel nacional -> Foro de la Evidencias Electrónicas ( a nivel internacional Objetivo: Alcanzar un compromiso a nivel internacional Definir que hay que exigir a una evidencia informática para que se pueda aceptar como una prueba Curso de Peritaje Informático 3

4 Su Validez Jurídica Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas que regulan las actividades relacionadas con la informática y el uso (o mal uso) que se haga de ella: Leyes nacionales: Código Penal reforma DIC-2010 para penalizar el mal uso informático responsabilidad de empresas LOPD, LSSI-CE Ley de Firma Electrónica, DNI-e, efactura Ley de Conservación de Datos Ley Administración Electrónica Leyes europeas: Data Retention Directive (Directiva 2006/24/EC) Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemas informáticos Leyes Inglesas: Anti-Terrorism, Crime and Security Act 2001 Prevention of Terrorist Act 2005 Leyes norteamericanas: SOX (Sarbanex-Oxley Act 2002) HIPAA (Health Insurance Portability and Accountability Act... Curso de Peritaje Informático 4

5 Nueva Legislación Informática (2010) Esquema Nacional de Seguridad (Ene. 2010) Todas las AA.PP. tienen que implantar medidas de seguridad en sus sistemas informáticos Prepararse para combatir los CIBERATAQUES (Ej. Canada o Francia en 2011) Reducir las fugas y robos de información (Ej, WikiLeaks) Curso de Peritaje Informático 5

6 ISO Curso de Peritaje Informático 6

7 Nueva Legislación Informática (2010) Reforma Código Penal (Dic. 2010) Más delitos informáticos (ej, DoS, intrusiones ) Responsabilidad PENAL de las EMPRESAS Por delitos cometidos por sus empleados desde la empresa Por no implantar medidas de seguridad en sus sistemas informáticos Por incumplir la Ley (ej, LOPD) Curso de Peritaje Informático 7

8 Preservar información de uso Muchas de estas leyes obligan a las empresas a conservar una serie de datos relacionados con el uso que se hace de la información contenida en los sistemas informáticos. Información que se almacena actualmente en: logs de actividad de los sistemas informáticos logs de actividad de aplicaciones informáticas que se ejecutan en: cada servidor en cada ordenador personal. Curso de Peritaje Informático 8

9 Validez de los Logs Pregunta: Que valor probatorio tiene un log de ordenador? Respuestas: Ningún valor. Se puede alterar muy fácilmente Valor Total. Aquí lo tengo impreso, y dice lo que está escrito. Curso de Peritaje Informático 9

10 Validez de los Logs Mi opinión: un log, o un correo electrónico o cualquier otra evidencia informática: Tiene el valor que le quieran dar las partes Si ninguna lo pone en duda, su valor será total Pero si alguno duda de su autenticidad habrá que esforzarse (y mucho) para darle valor probatorio Esta ambigüedad en el valor de las pruebas informáticas es muy interesante y da mucho juego desde el punto de vista pericial provoca una gran incertidumbre a nivel jurídico. Estamos en el Génesis de la Informática Forense, en sus inicios. Curso de Peritaje Informático 10

11 Al principio era el caos Evidencias Digitales: Validez de los Logs La tierra era caos y confusión y oscuridad por encima del abismo (Génesis 1:2) Curso de Peritaje Informático 11

12 Al principio era el caos Evidencias Digitales: Validez de los Logs no había ni siquiera esos logs manipulables nadie obligaba a conservarlos Las leyes actuales y futuras obligan cada vez más a que en determinados ámbitos existan esos logs de actividad, Es un avance infinito respecto a la situación anterior de oscuridad Curso de Peritaje Informático 12

13 Validez de los Logs Y dijo Dios: Sea la luz; y fue la luz. Y vio Dios que la luz era buena; y separó Dios la luz de las tinieblas (Génesis 1:3) Curso de Peritaje Informático 13

14 Validez de los Logs Algunas soluciones parciales actuales: Gestión Logs Centralizado Reduce puntos de acceso Reduce riesgo de manipulaciones No controla el log desde su origen Consolidación de Logs Pensados para IDS Ejemplos: isoc, OSSIM, Bitácora... Manipulan y/o Destruyen las evidencias originales CORREGIDO Dudas sobre la validez Curso de Peritaje Informático 14

15 Validez de los Logs Algunas soluciones parciales actuales: Almacenamiento seguro de los Logs Soportes no reescribibles (WORM) Garantiza integridad a nivel físico Exige almacenamiento seguro de los soportes (agua, fuego, em...) Depósito y Custodia de Logs Ante Notario / Terceras Partes Privadas Mantenimiento Cadena de Custodia Garantiza la alteración desde el Depósito hasta la Retirada Curso de Peritaje Informático 15

16 Validez de los Logs Soluciones actuales: Servicio de Depósito y Custodia de Soportes Informáticos Almacenamiento Seguro de Discos Duros, Cintas de Backup, Memorias USB, CD/DVD Tercera Parte Privada Mantenimiento Cadena de Custodia Garantiza la no alteración desde el Depósito hasta la Retirada Servicio Certificado bajo la norma ISO Curso de Peritaje Informático 16

17 Validez de los Logs Y vi en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, sellado con siete sellos. Y vi a un ángel fuerte que pregonaba a gran voz: Quién es digno de abrir el libro y desatar sus sellos? Y ninguno, ni en el cielo ni en la tierra ni debajo de la tierra, podía abrir el libro, ni aun mirarlo. (Apocalipsis 5:1-3) Curso de Peritaje Informático 17

18 Validez de los Logs Del Génesis al Apocalipsis (sin pasar por la casilla de salida) Cifrado y firma hash Aporta integridad del log a nivel lógico Impiden la alteración de los logs Impiden la apertura y el acceso no autorizados Impiden siquiera mirarlo sin permiso Problema de colisiones Usar dos o mas firmas distintas Los siete sellos del Apocalipsis Curso de Peritaje Informático 18

19 Validez de los Logs Del Génesis al Apocalipsis (sin pasar por la casilla de salida) Serialización del log Baja el nivel de granularidad de fichero a registro Permite determinar: que registros siguen siendo válidos Que registros han sido alterados / borrados / añadidos / cambiados de orden Garantizar el no repudio de las transacciones en ambos extremos NRO (Non Repudiation of Origin) NRD (Non Repudiation of Delivery) Curso de Peritaje Informático 19

20 Validez de los Logs Soluciones actuales: Proyecto Integridad y Seguridad de la Historia Clínica Plan Avanza I+D 2008 (TSI ) KINAMIC + Informática Forense + Hospital de Fuenlabrada Serialización del log con knotary Asegurar el 100% de las Historias Clínicas del 1er Hospital sin papeles de Europa Curso de Peritaje Informático 20

21 Curso de Peritaje Informático 21

22 Validez de los Logs - Conclusión Secure Audit Trail (I): Generación masiva de logs, para poder disponer de todas las evidencias posibles Gestión correcta de logs, centralizándolos en un lugar seguro, preservando su integridad, controlando su acceso, garantizando la integridad de los datos y procesos de auditoría, y evitando el no repudio en ambos extremos Múltiple firma hash, para garantizar la integridad lógica del fichero Cifrado, para evitar la consulta no autorizada de su información Serialización al máximo nivel de granularidad posible, la línea de registro, para poder diferenciar la parte alterada de la parte inalterada Curso de Peritaje Informático 22

23 Validez de los Logs - Conclusión Secure Audit Trail (II): Grabación en soportes físicos no modificables, para garantizar la integridad física del fichero Cadena de custodia de los soportes, para evitar su sustitución por otros soportes Almacenamiento seguro de los soportes, para evitar su destrucción accidental o intencionada Custodia por tercera parte de confianza de los soportes físicos de los logs de sus firmas completas de la serialización de las firmas. Curso de Peritaje Informático 23

24 Ejemplo: Validez de Problemas Actuales: Ausencia de evidencias Alguien tiene una copia del correo? políticas de retención/custodia de ? Repudio de emisión / recepción: Se ha enviado un ? Se ha recibido un ? Autenticidad de evidencia Se ha alterado un recibido? (casi) Nadie usa FIRMA ELECTRÓNICA Curso de Peritaje Informático 24

25 Ejemplo: Validez de Situación actual: Acumulación de evidencias más es mejor emisor Acuses de recibo/lectura de los destinatarios Log de Servidor de del emisor destinatario Log de Servidor de del destinatario otros destinatarios (CC:, CCO:) Log de Servidor de de otros destinatarios Curso de Peritaje Informático 25

26 Ejemplo: Validez de Débil emisor (ORIGINAL) Log Servidor Correo Emisor Fuerte destinatario (PARA:) Log Servidor Correo Destinatario Acuses de Recibo/Lectura Muy Fuerte Terceros (CC:, CCO:) Log Servidor Correo Terceros Curso de Peritaje Informático 26

27 Validez de Soluciones actuales: Servicio de Archivo y Custodia Segura de Correo Electrónico Tercera Parte de Confianza Almacenamiento Seguro por 10 años de todos los correos enviados y recibidos por las partes de una conversación Políticas de Correo electrónico corporativo Recepción Garantizada Cumplimiento Legal, apto para ediscovery Cifrado Curso de Peritaje Informático 27