miércoles, 21 de mayo de 2008

Formación HOL en Barcelona y Master en Madrid.

Muy buenas a todos.

La verdad, aunque parezca mentira, hacía tiempo que no iba por Barcelona (desde Diciembre del año pasado), y es que he pasado tantas semanas por allí que la puedo considerar casi mi 3ª ciudad, después de Bronxtoles y Madrid, aunque bastante reñida con Valencia. Pues una vez más, visito esa maravillosa ciudad, participando en la campaña de Hand on Lab de Microsoft.

En esta circunstancia no llevaré temas legales, hacking, forense, etc., sino que realizaré una semana de productos de la línea Forefront y System Center. En este sentido ISA Server (un producto de los que más gratos momento me ha facilitado, tanto en los labs, como en implantaciones), Forefront (un nuevo pero a la vez antiguo amigo) e IAG (más nuevo en escenarios Microsoft pero con un largo camino ya recorrido, y por todo lo que ya he probado de él, uno aún mayor para recorrer), se convierte en la línea de productos de seguridad que veremos en las sesiones de la mañana.

Por la tarde realizaremos 2 hol de productos System Center: SCCM2007 y SCOM2007. Aunque muchos me conocéis por el tema de seguridad os tengo que comentar que de los primeros productos que investigué y toqué a fondo en los entorno microsoft, fue un ambicioso sistema llamado SMS 1.2, desde el cual he ido llevando por el camino hasta llegal al actual SCCM 2007, entre escenarios de amor/odio, presentaciones, curso, etc. Aunque MOM es un producto con el que llevo menos tiempo, lo toque menos en su versión 2000, me puse más fuerte en la versión 2005 y ahora a evolucionar con él.

Para más información podéis consultar la página de Microsoft o Informática64.

Por otro lado en Madrid, después de mucho tiempo madurando la idea y esperando el momento adecuado (y por que no decir tener profesionales y un equipo en todos los campos, para dar un Master como a nosotros siempre nos había gustado dar), daremos entre Junio y Julio un curso de formación de Seguridad en los que... bueno para que hablar de mis compañeros, me faltarían palabras para hablar de sus logros, conocimientos, etc. En este sentido recomiendo una lectura de un post que ha hecho mi compañero Juan Garrido en su blogs y que no tiene desperdicio.

Yo por mi parte comentaros que para el curso, cada uno de los Profesores estará con su especialidad, así que el problema, creo, será frenarnos una vez que nos lancemos y solicitamos para ello, un poquito de nivel para el que quiera realizarlo, con objeto de aprovechar al máximo los conocimientos que podamos proporcionar.

Abordaremos la temática de la seguridad, desde varias perspectivas incluida la del Hacking ético y tanto en entornos Windows como Linux. Para más información podéis consultar la página web de Informática64.

MS COFEE, ayudando en la lucha contra el Cibercrimen

Atendiendo a una petición que me hicieron a través de un comentario, hago este post para intentar arrojar algo de luz sobre este conjunto de herramientas que Microsoft ha consolidado en un dispositivo tipo USB y que está siendo proporcionado a diferentes cuerpos de seguridad para la ayuda en casos forenses, en lucha contra el cibercrimen.

En primer lugar decir que esta idea no es nueva y numerosas aplicaciones del mercado, como Windows Forensics Toolchest, incorpora una serie de aplicaciones free, que tienen como objetivo obtener y presentar información importante, extraída de un sistema opertativo Windows. Cofee (Computer Online Forensics Evidence Extractors), agrupa un conjunto de más de 100 aplicaciones que extraerán información de la máquina y presentarán la información, de forma que su análisis pueda ser más rápida, que los procedimientos que a día de hoy siguen los diferentes cuerpos de seguridad del estado.

Uno de los enfoques principales de la herramienta, es la de obtener información de aquellos elementos considerados como volátiles y que de una u otra forma pudieran perderse al trasladar la máquina al laboratorio o simplemente apagarla para realizar el clonado del disco. Siguiendo los protocolos para la recogida de evidencias, se establece la necesidad de obtener en primera instancia todas aquellas evidencias susceptibles de perderse y no poder ser recuperadas. Muchos cuerpos de seguridad del estado en todo el mundo, deshechan la información presente en la memoria principalmente por tres características importantes:
- Falta de tiempo para realizar análisis de toda la información de la máquina.
- Complejidad de las herramientas y procedimientos para el análisis de la memoria.
- Problemática de procedimientos legales.

La herramienta ha ido madurando poco a poco en Microsoft, la idea surge en el año 2006 y se concretó ya en pruebas desde el año pasado. La herramienta en sí, en contra de diferentes comentarios que he leído a lo largo de estos días, solo revela información que pueda ser accedida mediante otros procedimientos, y no permite el acceso a datos cifrados con sistemas como EFS o Bitlocker en modo offline. Incorpora aplicaciones de Sysinternal, comandos windows, analizadores de registro, etc., pero ninguna herramienta considerada como nueva para investigaciones de tipo forense.

Aunque la herramienta permite la obtención y presentación de evidencias de forma sencilla, nos encontramos que en los procedimientos legales de muchos países para la toma de evidencias, impiden el uso de elementos online (para evitar que usos indebidos puedan modificar o alterar las evidencias), requiriendo siempre partir del estudio de las evidencias, obtenidas a través de la clonación de los sistemas de almacenamiento sujetos a investigación.

Luego por poner un ejemplo nos encontramos casos como los análisis de máquinas en cibercafé que utilizan aplicaciones tipo Diskfreeze, que utilizas este tipo de herramientas o despídete de conseguir alguna evidencia válida. Es en esto entorno donde Cofee puede ser más vital.

Yo desde mi punto de vista y conociendo de primera mano los esfuerzos y problemas a los que se enfrentan habitualmente los diferentes Cuerpos de Seguridad del Estado en este país, considero importantísima esta iniciativa (como otras tantas que se ponen en marcha) por parte de Microsoft, para disminuir los tiempos de análisis en investigación, permitiendo cribar mejor la información importante de la trivial. El problema que se planteará en un futuro no muy lejano es si la herramienta será judicialmente válida en los diferentes países en los que podría utilizarse.

miércoles, 14 de mayo de 2008

Seminario de Legalidad

Este mes de Mayo entre los días 26 y 30 de Mayo, dirigiré un seminario en Microsoft dentro de la campaña Hand On Lab, donde se tratarán aspectos legales aplicables a la informática desde una perspectiva técnica/legal. Dentro del seminario trataremos diferentes leyes aplicables a los Sistemas Informáticos, normativas vinculantes como el Estatuto de los trabajadores y reglamentos y diferentes mecanismos de aplicación de normativas como los estándares 27000 para la gestión de sistemas de la información o la gestión y aplicación de casos forenses en entornos judicializados.

Se elaborarán y desarrollarán diferentes escenarios y laboratorios prácticos, con una resolución técnica de aplicación sobre los aspectos legales que se verán a lo largo del curso.

Los diferentes Hand on Lab, cuentan con la subvención de Microsoft, aunando por un lado laboratorios técnicos de diferentes Productos tales como Windows Server 2008, Windows Vista, Forefront, SQL Server 2008, Exchange 2007, etc., y por otro lado, formaciones de Seguridad o Legales, como el que se impartirá.

Para más información y ver el contenido completo de los diferentes laboratorios podéis dirigiros a la página Web de Informática64 o a la de Microsoft.

Adquiriendo evidencias (I)

Uno de los grandes problemas a los que nos enfretamos a la hora de realizar una toma de evidencias en un escenario de posible judicialización, es la necesidad de realizarlo sin la corrupción de las propias evidencias (por ejemplo modificación de fechas) y que nos faculte para poder realizar un análisis offline de la misma.

Yo en este sentido y puesto que no dispongo de una clonadora física, utilizo como mecanismo el uso de Adepto como sistema para la clonación de discos a través del software de Análisis Forense Helix. Este software es una distribución de Knoppix, que tiene dos formas de funcionalidad:
  • Modo online para windows con el Sistema Operativo activo que permite el análisis de aspectos importantes del sistema, como procesos, memoria, datos coultos, contraseñas, etc. Aunque presenta el problema que modifica datos y podría ser esgrimido como manipulación de pruebas. De las herramientas incluidas destaco Windows Forensic Toolchest: conjunto de herramientas "free" que adquieren datos importantes de la máquina para un forense de procesos. También como característica importante permite mediante el uso de DD de la captura online de una partición, el disco físico o la memoria RAM.
  • Modo offline, mediante LiveCD carga las particiones del disco en modo de solo lectura, impidiendo la manipulación de datos. Presenta herramientas para la adquisición de información de una máquina mediante aplicaciones forense, aunque la funcionalidad principal es un conjunto e paquetes orientado a la captuar de unidades de Disco, USB y otros sistemas de almacenamiento, que no solo realizan copiados binarios y generación de imágenes sino permiten la generación de los hashes de la copia y los ficheros de Cadena de Custodia que pueden ser presentados judicialmente. Destaco de entre estas herramientas Adepto.

En el siguiente Post enseñaré a realizar una captura de un disco con Adepto y a la obtención de los hash de la copia y los ficheros de custodia.

jueves, 8 de mayo de 2008

Jornada LOPD sobre el Nuevo Reglamento

Con fecha 5 de Junio de 2008 y acompañando a Germán Díaz, Product Manager de Microsoft Ibérica, mi compañero Chema Alonso y yo, participaremos en la Jornada Gratuita que organiza Borrmart sobre la Puesta en marcha del Nuevo Reglamento de la LOPD.



Fig.- Agenda del Evento

En dicho evento nosotros hablaremos de las nuevas funcionalidad que aportan los Nuevos sistemas Microsoft, de cara a la implementación del nuevo Reglamento. La jornada parece muy interesante además puesto que participarán otros ponentes destacados y entre ellos por parte de la Agencia Española de Protección de Datos, María Jose Blanco Antón, Subdirectora General del Registro General de Protección de Datos de la AEPD. Este encuentro permitirá además la resolución de dudas que serán tratadas por parte de los diferentes ponentes.

La Jornada se realizará en una jornada de mañana en el Hotel Meliá Castilla (C/ Capitán Haya nº 43) de Madrid y hay que tener en cuenta que la asistencia es gratuita pero las Plazas limitadas. La inscripción a la jornada puede hacerse a través de este contacto: Carmen Granados(eventos@borrmart.es o en el teléfono 914029607).

Un saludo a todos y para el que asista al evento, allí nos vemos.

miércoles, 7 de mayo de 2008

La privacidad en el Correo Electrónico de la Empresa.

Uno de los asuntos que más controversia suele surgir en los cursos técnicos/legales es el relativo a la privacidad de los buzones y el correo electrónico que la empresa proporciona a los empleados. En este sentido unos esgrimen que puesto que es un medio proporcionado por la empresa, ellos pueden controlarlo, mientras que otros articulan que deben garantizarse una serie de derechos fundamentales con respecto a la intimidad y por lo tanto no debe ser controlado por la empresa.

En este sentido y en el sentido estrictos hay dos condiciones legales que pueden contraponerse:

  • Estatuto de los trabajadores. Que concede a la empresa las garantías para poder velar por el patrimonio empresarial y la productividad de los empleados:

    20.3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

  • Constitución. En el Artículo 18 se establece las garantías para el honor y la intimidad donde se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial" , y además "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Adicionalmente en el Código Penal se recoge en su articulado la siguiente información:

Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

La última norma a tener en cuenta es la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece la necesidad de que los estados miembro garanticen la privacidad de datos en comunicaciones, incluidas las del correo electrónico.

Aunque en estos sentidos las normas fundamentales sobre el derecho a la intimidad son las garantías fundamentales y las que deben prevalecer, es bueno conocer en este sentido como se aplica la justicia. En este sentido los jueces declaran despido improcedente en aquellos casos en los que se había producido un despido donde la empresa había accedido al contenido de los correos electrónicos enviados por los empleados, salvo en los casos en los la empresa había notificado y recogido por parte de los trabajadores de una serie de conductas y normativas de uso de los sistemas informáticos en la empresa, donde sean notificadas que malos usos de las Tecnologías Informáticas pueden incurrir en despido, así como la ejecución de controles tal y como queda previsto en el Estatuto de los Trabajadores.

Así pues como condición, mientras no haya una notificación, puesto en conocimiento y aceptación por parte del empleado de los controles sobre el correo y los mecanismos sancionadores en caso del incumplimiento de las normativas, el correo se puede considerar a todos los efectos privados y no controlables.