miércoles, 23 de enero de 2008

Los delitos informáticos a nivel internacional

Puesto que la informática ha conseguido la eliminación de las barreras físicas o lógicas de los países, así como las bases legales de cada uno, muchas veces nos planteamos que pasa cuando se comete un delito en el que se ven involucrados varios países.

Uno de los problemas en materia reguladora de Cibercrimen y la aplicación de las leyes, son los diferentes acuerdos y normativas que deberían aplicarse como normativas en los Países. El problema es el descontrol ocasionado y las distintas medidas aplicadas en los mismos. Los diferentes organismos de la Unión Europea tienen precisamente como objetivo regular y establecer los mecanismos de control sobre legislación y relación entre los países miembros, pero claro está estos acuerdos suelen quedarse únicamente en los estados miembros de la Unión Europea.

Pero curiosamente el 23 de Noviembre de 2001 se firma en Budapest un convenio de Ciberdelincuencia del Consejo de Europa al que se suman también EEUU, Canadá y Japón, y que luego es también suscrito posteriormente por otros países en el marco europeo e internacional, y queda abierta la inclusión por invitación o requerimiento de cualquier país al que quiera suscribirse. Aunque este convenio solo definía en esencia unas bases normativas y legales ya ha proporcionado la base de apoyo y acuerdos de Cuerpos de Seguridad del Estado de diferentes países para un esfuerzo común, como la que se ha producido en la lucha contra la Pederastia en distintas operaciones realizadas.

No obstante el hecho de que muchos países no tengan unos mecanismos reguladores en estas materias y no mantengan acuerdos internacionalidad (a veces incluso ni los mecanismos de control necesarios), se convierten en verdaderos paraísos para la comisión de delitos que quedan impunes y del que una buena investigación pueda acabar finalmente en un abismo de imposible resolución.

lunes, 21 de enero de 2008

Con la RFC por delante

Resulta claro que las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa. Muchas veces me han preguntado un código de buenas prácticas para tomar evidencias o una referencia para estas. Evidentemente las circunstancias varían en función de muchas características:

- Los sistemas operativos involucrados.
- Donde se encuentra la información.
- Las consecuencias legales.
- Que herramientas utilizamos para la toma de información.
- …

Aunque al final cada cual establece un mecanismo para la recogida de las evidencias, su almacenamiento y establece sus controles oportunos, fue emitida por la Internet Society y la IETF, una RFC con una Guía para la recolección y almacenamiento de evidencias. Esta guía, la ETF RFC 3227, determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias.

Evidentemente por muy buena RFC que pueda ser, la supeditación a las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas:

“2.1 Order of Volatility

When collecting evidence you should proceed from the volatile to the
less volatile. Here is an example order of volatility for a typical
system.

- registers, cache

- routing table, arp cache, process table, kernel statistics,
memory

- temporary file systems

- disk

- remote logging and monitoring data that is relevant to the
system in question

- physical configuration, network topology

- archival media”

Claro que esto supone un pequeño problema. Algunas de las recogidas de estas evidencias, supone el uso de herramientas in situ, sobre la máquina afectada que podría implicar una modificación del estado de la máquina por muy cuidadoso que quiera ser uno, y claro si la necesidad del caso implica la judicialización del mismo, ¿Quién se arriesga posteriormente a que las pruebas presentadas puedan ser rechazadas por manipulación del entorno?

Este tema siempre ha abierto un debate muy interesante allí donde lo he llevado, puesto que por el hecho de no modificar el escenario puedes perder información relevante, pero si la tomas puedes invalidar el resto, con un astuto abogado por la otra parte o …

Bueno esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe y como me dijeron una vez, ¡ante la duda tira de cable y luego haz la copia!

sábado, 19 de enero de 2008

Webcast

Los próximos días 5 y 7 de febrero realizaré dos Webcast en horario de 17:00 a 18:00horas. Estos Webcast como todos requieren del registro para poder hacer el seguimiento en directo, aunque el que no pueda a esta hora podrá acceder posteriormente a él unos días después.

Estos webcast trataran como no sobre aspectos leglaes y su aplicación sobre entornos Microsoft.

El primero de los Webcast llamado normas y reglamentaciones aplicables a Tecnologías Informáticas, tratará de explicar que leyes se están aplicando acutalmente en España y como deben ser tratadas desde el punto de vista IT. Se analizará también la adecuación de los entornos a dichas leyes.

En el segundo de los Webcast sobre introducción a la LOPD, se tratará sobre la Ley de Protección de datos de Carácter Personal así como su reglamento de seguridad correspondiente (nombraré también el nuevo reglamento de seguridad) y analizaremos algún escenario visto desde el punto de vista de entornos Windows.

Un saludo

viernes, 18 de enero de 2008

Drogas, alcohol, velocidad y ... Hacking ético

Con ese titular, solo puede ser … cachondeo … pues no también la reforma del código penal. A pesar de que una de las repercusiones mayores que ha tenido el código penal corresponde al hecho de que en cualquier momento cualquiera será un criminal por beber, drogarse, o hacer de Fernando Alonso, resulta que una modificación en el Código Penal incide también en la figura del Hacking Directo (entre nosotros Hacking Ético).

Hasta ahora un pequeño tirón de orejas o soltar la calderilla del bolsillo (unos 600€), constituía el hecho de haber hecho unos pequeños pinitos en el mundo de Internet.

Pues ahora tendremos que andar con un poco más de cuidado si no queremos dar con nuestros huesos en un juzgado y pasar por… bueno como Carabanchel cerró pues ahora por Navalcarnero, si cometéis más de una pifia.

La reforma corresponde a la modificación del artículo 197 de la Ley Orgánica 10/1995 del Código Penal, por el que se añade un epígrafe 3 donde se expone:

“3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.”

… Y esto significa ¡premio para el Hacking Ético! Ya no solo está penado la substracción, eliminación o alteración de datos, si no también el acceso que vulnere las medidas de seguridad. Algunos aunque se afanen en hacer uso de Proxy o demás intentando burlar la legalidad internacional, hay que tener cuidado porque nunca sabremos si existen acuerdos internacionales en materias de delitos informáticos (ya iré hablando de ellos) o si pueden rastrear nuestra conexión de forma inversa.

Y puesto que decimos que las pruebas mejor con Gaseosa y alguno quiere hacer sus pinitos en esto del mundo de la seguridad o mejorar y conocer nuevas técnicas, os recomiendo que probéis los Retos Hacking de El Lado del Mal, de los cuales podréis acceder a través del blog www.elladodelmal.com
Suerte a los que queráis probar los retos y cuidado con lo que hacéis…

jueves, 17 de enero de 2008

¡Cuidado con las evidencias!

Cuando en las presentaciones, seminarios o cursos que doy sobre Forense Digital, refiero la importancia no solo tomar tanto correctamente aquellas evidencias que puedan ofrecernos resultados, sino que sean judicialmente válidas, no sea que por un uso indebido o simplemente no puedan recogerse, podamos invalidarlas o incluso volverse en nuestra contra.

Pongo como ejemplo un caso bastante peculiar, que aunque no tiene relación con casos forenses y ya tiene algunos años, si nos muestra que una incorrecta recogida de determinada información y presentada inoportunamente pueden dar con nuestros huesos en la cárcel. Aunque tenéis toda la información en este artículo del País, os detallo la noticia y sus consecuencias visto también desde la perspectiva de un Peritaje Forense.

En este caso un hombre instala un software de recogida de información en su ordenador personal doméstico, para conocer el uso que se le está dando al mismo, porque sospecha que la asistenta lo utiliza, debido al incremento de la tarifa telefónica. Su sorpresa, cuando empieza a recibir los reportes, es que no es su asistenta, sino su mujer quien hace uso del equipo para contactar con otra persona con la que contenía contactos sexuales y de las que se desprendía además que iba a iniciar un proceso de separación.

Ante el miedo de que la hija en común quedara desatendida por su madre, en base a ciertas conversaciones que había recogido, se elabora por parte de una detective un informe que es entregado en el Juzgado de familia tras iniciarse el proceso de separación. Tras la revisión del informe por parte de la magistratura, el marido obtiene la custodia de la hija.

El problema se presenta cuando la ex-mujer denuncia a su marido y a la detective por descubrimiento y revelación de secreto alegando que se ha violado la intimidad, cuestión que es España está considerada como antijurídico y que ocasiona que aunque la detective quede absuelta, por limitarse a elaborar un informe, el ex-marido es acusado a pena de seis meses de cárcel por vulnerar la intimidad y todas las consecuencias que este pudiera llevar.

Desde el punto de vista Forense Pericial, esta misma circunstancia implicaría la malversación de las pruebas por haberse obtenido mediante un mecanismo no lícito, sin la debida judicialización del caso, que sí permitiría tomar unas evidencias bajo el amparo de la justicia, respetando no obstante las normativas derivadas.

Por ello cuando hablamos de la debida y correcta manipulación de pruebas y evidencias debemos tener en cuenta que por divulgación de la información, aunque estas puedan ser constitutivas de delito, existe una máxima que nos dice que un delito no exime a otro delito y que la omisión del conocimiento de una ley (o una infracción) tampoco exime de haber cometido el delito.

miércoles, 16 de enero de 2008

Entrada en vigor del nuevo reglamento de la LOPD

Bueno aunque con retraso y como respuesta al post que ya había puesto sobre el "Reglamento que viene", el pasado 21 de Diciembre de 2007 fue aprobado en Congreso de Ministros el nuevo reglamento de desarrollo de la LOPD y establece la entrada en vigor 3 meses después de la publicación en el BOE (Cosa que a fecha de hoy no se ha realizado).

Como ya comenté (y ya he empezado a desgranar con el Post anterior) iremos viendo en que medida nos puede afectar a todos esta nueva entrada en vigor. Ya de entrada como necesidad importante (aunque parece que no nos afecta inicialmente para el personal IT), la aplicación de los mecanimos de protección de datos en soporte no informatizado, por lo que se deben ir haciendo ya los ajustes necesarios.

La información podéis seguirla a través del siguiente enlace:
http://www.la-moncloa.es/ConsejodeMinistros/Referencias/_2007/refc20071221.htm#Datos

Aunque iremos tratando el tema, tendremos una cita el día que se publique dicho reglamento en el BOE y analizaremos si este reglamento ha sufrido alguna modificación con respecto al último borrador existente y del que ya había puesto el enlace en el Post anteriormente mencionado.

Legaliz@IT

Para esta nueva campaña de Hand On Lab que comienza en Enero hemos incorporado una nueva serie de laboratorios y componentes que han sido demandados por los asistentes de anteriores ediciones. Uno de los temas que más ha preocupado en general, ha sido todo aquello lo tocante en aspectos legales que pudieran afectar a todo el entorno IT, y del que desgraciadamente se desconoce bastante pero que nos influye significativamente.

Ya iniciamos una andadura en este campo, con los Hand On Lab basados en la LOPD, con una gran aceptación y que llevados tanto a sus aspectos legales como su posible aplicación técnica en entornos Windows, han conseguido llegar esta normativa a informáticos, estableciendo esa vinculación técnica-legal necesaria. Evidentemente y ante la acogida recibida entre el personal IT y la demanda para la ampliación de la misma a otras Leyes, Reglamentos e Instrucciones existentes, lanzamos un nuevo HOL con duración de 30 horas con el nombre de LEGALIZ@IT y que recoge estas demandas en un escenario nuevamente técnico-legal. En este nuevo laboratorio nos vamos a encontrar además de la LOPD visto desde nuevos escenarios y con la base de aplicación del nuevo Reglamente de Seguridad, que amplía y ofrece una nueva perspectiva a los HOL sobre LOPD impartidos anteriormente, normativas sobre el Código Penal referente a los delitos informáticos, Ley de Acceso electrónico, Ley de Propiedad, LSSI, los reglamentos correspondientes a estas leyes y otras normativas tales como la PCI-DSS y la ISO 27000. Además de los aspectos legales, se realizarán laboratorios con resolución de escenarios planteables para las normativas en vigor, basados en arquitecturas y productos de Microsoft.

La fecha de impartición del Hand On Lab LIT-01 Legaliz@IT será del 4 al 8 de Febrero en horario 8:30-14:30

Si quieres más información de la campaña puedes obtenerla a través de la web:
http://www.microsoft.com/spain/seminarios/hol.mspx

El factor usuario en el nuevo reglamento de la LOPD.

Uno de los temas más controvertidos en el nuevo reglamento de LOPD, representa el hecho de que para los documentos de nivel Básico establece con respecto a la autentificación

"Artículo 91. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios. Para ello
podrán utilizarse entre otros, mecanismos basados en certificados digitales
electrónicos o en el reconocimiento de datos biométricos.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible."

Como comprobaréis el epígrafe 2 establece la necesidad de crear objetos únicos relacionados para cada usuario que accedan a datos de carácter personal de tipo básico, en contra de lo establecido hasta ahora en el reglamento existente, que era de requerimiento solo para datos de nivel medio. Claro ¿qué empresa no tiene datos de caracter básico? ¿ todas cumplen estos requisitos?

Si analizamos la problemática, veremos que muchas aplicaciones de gestión o acceso a datos utilizan una única cuenta compartida por varios usuarios que evidentemente este artículo invalidaría por considerarlas genéricas. Este pequeño ajuste podría suponer cambios en las aplicaciones que posiblemente algunas empresas no puedan llevar a cabo o a generar nuevas versiones de aplicaciones de gestión muy comunes en las PYMES.

Si hacemos una última reflexión, que sentido tiene forzar a utilizar una cuenta para usuario si luego no tengo porque hacer un registro de las acciones; un sinsentido...