martes, 28 de julio de 2009

Las técnicas antiforense

Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.

Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:
- Las enfocadas a la eliminación de la información.
- Las enfocadas a la ofuscación de la información.
- Las enfocadas a generar la incertidumbre en la investigación.

Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La "clara evidencia" del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia "clara de evidencias", a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.

En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.

La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.

Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.

- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).

- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.

- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.

Este tipo de herrmientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.

miércoles, 22 de julio de 2009

Las leyes y normas en Europa (I)

En España estamos acostumbrados a oír palabras como Ley Orgánica, Ley ordinaria, Real Decreto, etc. Son parte de nuestro ordenamiento jurídico y de una u otra forma pueden saberse a que están sujetos las diferentes figuras jurídicas. Nuestro ordenamiento Nacional, promueve una idea única en lo que concierne a la aplicación legal de las normas, pero ¿qué pasa con Europa? Tantas naciones y un ordenamiento júridico específico para cada uno de ellas. Cuando de vez en cuando surge en la noticias que tal ley europea conmina a los países a cumplir una norma ¿no entrará en conflicto con las leyes de un país? ¿Qué tiene mayor rango y cual prevalece en caso de "conflicto"?

Esto lo vamos a ir abordando poco a poco. Lo primero conocer los tipos de normas que son aplicadas desde Europa y poco a poco se irán desgranando las ideas para conocer porque temas como el de la LOPD se ha hecho extensivo a toda Europa, aunque su aplicación no ha sido de forma uniforme y con las mismas características.

Las diferentes normativas existentes en Europa son las siguientes:
- Leyes constitucionales: Amplían y modifican la propia Constitución europea.

- Leyes orgánicas: Regulan las actividades propias de los órganos constituyentes de la unión europea. Regula entre otras cosas los cometidos facultados para el órgana, así como su constitución y los integrantes.

- Ley Europea: Norma legislatva de carácter general y aplicable directamente a todos los estados miembros de la Unión Europea. Será de aplicación todas los puntos contenidos en la normativa.

- Ley Marco: Es un acto legislativo que obliga al estado miembro destino de la ley a cumplir una legislación en la forma y medios que las autoridades nacionales competentes estimen oportunas.

- Reglamento: Instrumento jurídico del Consejo y el Parlamento europeo que como norma de aplicación directa tiene carácter de obligado cumplimiento.

- Directiva comunitaria: Es una decisión colectiva mutuamente obligatoria aprobada por los Estados miembros. Obliga a todos o parte de los Estados a cumplir unos objetivos, pero permite elegir la fórmula para su cumplimiento.

- Decisión: Tiene carácter de obligado cumplimiento, aunque vincula a unos destinatarios exclusivamente (no necesariamente el estado miembro como institución única), declarados en la decisión específicamente.

- Recomendación y dictamen: No son de obligado cumplimiento y tiene unicamente valor de declaración de hechos.

miércoles, 8 de julio de 2009

¿controlar o espiar el correo electrónico?

Cuando impartimos cursos de seguridad, hay una pregunta que de forma tímida, inicialmente pero que acaba en un debate a veces bastante interesante, suele surgir inevitablemente. Es el efecto correo electrónico de una empresa y el temido ¿control/espionaje? del mismo. En función de quien pregunte y la entonación que de a la misma, se ve claramente su posición con respecto a la misma. Estos son dos de los típicos ejemplos en los cuales algunos de los lectores podrán reflejarse claramente.

- Mira en mi empresa me han pedido abrir el correo electrónico de un usuario ¿podemos hacerlo? ¿no es ilegal? (todo ello de forma habitualmente tímida).

- Mi empresa me quiere abrir el correo, eso no pueden hacerlo ¿no? (de forma enérgica).

La única respuesta que puede darles a ambos es la misma: Sí y no, depende de la empresa y lo estipulado en lo concernierte a su seguridad para con los trabajadores.

Ante la respuesta... momentos de duda, y a continuación... como se come eso.

Bueno la respuesta es bastante compleja puesto que se anteponen dos hechos indiscutibles:

- El derecho a la intimidad individual.
- El derecho de la empresa a ejercer el control para verificar el cumplimiento de obligaciones y deberes laborales.

Aunque ya hablé de este tema en este blog en el artículo la privacidad en el correo electrónico de la empresa, lo retomo nuevamente porque buscando entre el maremágnum de la documentación en la Agencia de Protección de datos, para otra casuistica, he localizado un informe jurídico, que pudiera ser interesante como apoyo legal para muchas organizaciones.

A través de este informe, el gabinete jurídico responde a una consulta planteada sobre procedimientos que deben seguirse en cuanto al uso del correo electrónico de los trabajadores de una empresa con respecto a la LOPD.

La resolución viene a defir más o menos lo que yo comenté en el articulo sobre privacidad en el correo electrónico.

Bueno pues algunos que me habéis hecho la consulta y que os he dado la misma respuesta, tenéis una base jurídica adicional en la que sentar las bases para el control del correo electrónico.

Un saludo

lunes, 6 de julio de 2009

El incremento de las sanciones en las cámaras de videovigilancia

Uno de los mayores incrementos relativos a las denuncias efectuadas a la Agencia de Protección de Datos, lo constituyen las relacionadas con las cámaras de videovigilancia. Concretamente suponen más de un 15% de todas las denuncias efectuadas y tomando como dato significativo el incremento del 633% que aparece en la memoria de la agencia en el ejercicio del 2008. Ocupa de esta forma el tercer lugar entre las categorías sancionables por la LOPD. Este aumento significativo tiene una relación directa con la preocupación sobre la intimidad y la poca seguridad e importancia que en ocasiones se les da a las cámaras.

Desde hace muchos años llevo explicando en los cursos de seguridad las técnicas de hacking google para acceder a dispositivos físicos que a veces por despreocupación y otras por desconocimiento son accesibles fácilmente a través de un navegador web y una conexión a Internet. Pues bien la Agencia quiere anular estas prácticas permisivas por parte de las empresas y atajar "un gran hermano privado" antes de que sea descontralado. Accesos sin claves o bien con valores por defecto, preocupan bastante en la Agencia y quieren cortarlos desde la raíz.

Para cumplimentar este objetivo han generado una serie de guías de videovigilancia y el incremento de las inspecciones de oficio que puede llevar a cabo. De hecho en la primera de ellas han iniciadoya, siete procedimientos sancionadores relacionados con el incumplimiento de la instrucción sobre la videovigilancia.

Recordad además que las comunidades de vecinos también están obligados a este cumplimiento...

Un saludos a todos y poneros al día en lo referido a la videovigilancia que va a pegar muy fuerte este año.

domingo, 5 de julio de 2009

El delito de una muerte virtual.

A veces los límites de la justicia no tiene ninguna frontera y se extrapolan a cualquier circunstancia de la vida. Los límites donde debe operar y la locura, a veces se conjuga con una realidad "virtual". En estas circunstancias el año pasado japón nos dejo la muerte turbulenta de un avatar en el juego Maple Story. Una sólida relación de pareja en el juego, concluyó de una forma inesperada cuando se recibió a través del juego la notificación del divorcio virtual. La mujer del cabreo que se pilló, hackeo la cuenta de su "marido" y destrozó su avatar, así como los contactos que se mantenían en la misma. Las declaraciones de la mujer no tienen desperdicio: "De pronto me quedé divorciada sin preaviso. Eso me molestó mucho", .

Este hecho no dejaría de ser una mera anécdota, si no fuera porque el "supuesto marido" denunció el citado hecho. El resultado final puede suponer bien 5 años de prisión o multa de más de 5000 $, y con muchos visos de prosperar.

A estas alturas alguno estará con las manos en la cabeza y pensando hasta donde vamos a llegar. Pero la denuncia y el resultado del juicio, tienen cierta justificación, basandose en el acceso ilegal al ordenador de la víctima y la manipulación electrónica de los datos. Considerado como hacking directo este hecho está penado en el ordenamiento jurídico japonés. Noticia curiosa, no exenta de polémica, pero tan real como la vida misma.

A un ex-empedernido jugador de Ogame como yo, estas prácticas les resultaban cotidianas a través de las noticias que podían leerse en los foros de este juego, pero nunca hubo constancias de denuncia jurídica. Aunque visto lo visto, es posible que hubieran podido prosperar.

Desde luego ni jugando está ya uno tranquilo.

Saludos

sábado, 4 de julio de 2009

De leyes por Europa.

Es bastante curiosa la poca (o ninguna) conciencia que tenemos de las Leyes Europea y sin embargo lo significativamente que nos acaban afectando. Parece que esto de la Unión Europea nos queda bastante lejos (como referencia el índice de participación en las últimas elecciones) pero luego nos ataca tocando en la línea de flotación. Zas, directiva europea, ley al canto. Y desgraciadamente en circunstancias, por ser más papistas que el papa, sacamos la ley más dura de todos los miembros de la Unión Europea, como ha pasado con la LOPD, tal cual revela un estudio de la Cámara de Comercio.

No es objetivo hoy dar a conocer como funciona la aplicación legal desde la Unión Europea (ya lo haré en post futuros), si no indicaros la dirección donde puede seguirse todos los temas que están siendo tratados y evaluar así en que modo nos acabarán afectando. Se aplica para ello el perfecto axioma de cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar, y en este caso ponte además algo de anestesia en la cara, porque a veces la cuchilla viene sin afilar.

A través de url:

http://eur-lex.europa.eu/

tienes acceso a toda la lesgilación de tipo europeo, incluyendo además de las normas, los tratados, acuerdos, trabajos preparatorios y jurisprudencia. Dentro de la legislación que nos compete al sector IT, la relativa a la aplicación de normativas al sector de la sociedad de la información nos implica consecuentemente.

Un ejemplo de información que podemos encontrar aquí lo tenemos a través del texo sobre las perspectivas futuras de las tecnologías de la información y de las comunicaciones (TIC) o los más recientes dictámenes en e-justicia.

Iremos poco a poco desglosando algunas de las directivas y perspectivas fundamentales que nos afectarán a corto plazo.

Saludos a todos.

miércoles, 1 de julio de 2009

La lista Robinson

Muchos, como me pasa a mí, estarán cansados de recibir llamadas telefónicas, ofertando directamente tal artículo, promocionando otro, u ofreciendo gratuitamente algo para enganchar con otra venta. Estas prácticas aunque a veces pesadas, están legalizadas plenamente por la Ley.

Puesto que argumentan como hecho, que nuestros datos han sido recogidos de una fuente pública del cual aunque no son sus poseedores, sirven como fuente de información, legitima tal hecho. Fuentes públicas entre otros pueden ser considerado por ejemplo las páginas blancas u otras BBDD de índole pública y así queda recogido en el Reglamento de Desarrollo de la LOPD.

Con objeto de limitar estas prácticas y en virtud de la defensa de los derechos de los ciudadanos, la AEPD ha hecho extensiva una lista denominada Robinson, para no recibir publicidad dirigida a una dirección de correo electrónico o número de teléfono fijo o móvil, en cualquier modalidad de comunicación. Hasta la fecha esta lista estaba limitada exclusivamente al correo postal, pero ya se ha hecho extensible a los medios citados anteriormente.

Mediante esta lista promovida por la Federación de Comercio Electrónico y Marketing Directo (FECEMD), se genera un tipo de lista de exclusión tal y como establecía el Reglamento de Desarrollo 1720/2007 en su articulado. A través de la lista, los ciudadanos podrán solicitar el no recibir envío de publicidad a través de cualquier mecanismo de comunicación, limitando para ello el canal que podrá o no ser utilizado para tal fin. Tal y como marcaba el Reglamento de Desarrollo, las empresas que deseen hacer una campaña publicitaria, deberán consultar previamente la lista, con objeto de excluir de la misma a las personas que se encontraran en ella.

Solicitar la inclusión en la lista Robinson, puede ser realizado a través de la dirección URL:
http://www.listarobinson.es

A partir de ahora y si te encuentras en la lista, podrás ejercer otro derecho adicional en el caso de que un/a pesado/a te llame a casa.

Saludos a todos