Download Repositorio CISC - Universidad de Guayaquil
Document related concepts
no text concepts found
Transcript
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: CARLOS ALBERTO LUCAS AYORA TUTOR: ING. JUAN SANCHEZ H. GUAYAQUIL – ECUADOR 2010 i UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES CARLOS ALBERTO LUCAS AYORA TUTOR: ING. JUAN SANCHEZ H. GUAYAQUIL – ECUADOR 2010 Guayaquil, ……………… 2010 ii APROBACION DEL TUTOR En mi calidad de Tutor del trabajo de investigación, “Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas“ elaborado por el Sr. CARLOS ALBERTO LUCAS AYORA, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes. Atentamente …………………………………. Ing. JUAN SANCHEZ H. TUTOR iii DEDICATORIA Este trabajo de tesis va dedicado a mi familia, mi madre, mi padre y mi hermano; han sido el soporte, la compañía, la ayuda, el amor, la comprensión, la paciencia, todo aquello que un ser humano necesita rodearse y sentir para poder alcanzar sus objetivos en la vida. iv AGRADECIMIENTO A ti Rossana, sin tu amor, sin tu empuje esto no hubiera sido posible. Quiero agradecer a mis familiares cercanos que siempre estuvieron pendientes de mis avances para la obtención de mis objetivos, a mis amigos siempre con sus palabras de apoyo, a la Universidad de Guayaquil por brindarme las herramientas y el conocimiento para realizar este trabajo, a todas esas personas muchas gracias. v TRIBUNAL DE GRADO Ing. Frenando Abad Montero DECANO DE LA FACULTAD CIENCIAS MATEMATICAS Y FISICAS MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL (TUTOR) Ing. Juan Chanabá Alcócer DIRECTOR MIEMBRO DEL TRIBUNAL SECRETARIO vi UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas Autor: Carlos Lucas Ayora Tutor:Ing. Juan Sanchez H. RESUMEN El presente proyecto de tesis tiene como objetivo dar a conocer a nuestra sociedad tecnológica una herramienta muy nueva, pero por esto no deja de ser importante. Vemos cada vez el creciente número de incidentes, ataques o siniestros ocurridos en los centros de datos, estos en mayor numero ocurren por ataques externos, intrusos que logran vulnerar las seguridades de los mismos accediendo a información delicada y a su vez averiando la estructura física tecnológica. La informática forense es una ciencia que basa su principios científicos en el análisis de los datos en los dispositivos electrónicos, para lograr establecer daños causados y encontrar rastros de quien o quienes fueron los posibles autores de dicha intrusión. Este estudio explica los pasos que los especialistas deben seguir y que herramientas disponibles pueden hacer uso para encontrar evidencia suficiente y precisa para identificar el daño así como los autores. Esta ciencia guarda mucha relación con otras, en especial con la forense, ya que sigue el mismo patrón de procedimientos y también con las ciencias humanísticas, las legales. Esto es, porque toda aquella evidencia que se logre encontrar puede ser utilizada como pruebas para un proceso legal que sea llevado en una corte. Debemos estar a la altura de la situación, los riesgos cada vez son más grandes, por las cantidades de información que manejan los centros de datos, y se debe tener en cuenta todo el abanico de opciones y herramientas que permiten una mejor administración de los mismos. Pero así mismo estas acciones y procesos no pueden llevarse a cabalidad sino existe un respaldo legal eficiente y bien estructurado, sino se diseñan cuerpos legales que consideren este campo muy amplio y que tengan definiciones más apropiadas para afrontar este tipo de hechos. vii UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES ___________________________________________________ Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas ________________________________________ Proyecto de trabajo de grado que se presenta como requisito para optar por el título de INGENIERO en SISTEMAS COMPUTACIONALES Auto/a CARLOS LUCAS AYORA C.I. 0923048102 Tutor: Ing. JUAN SANCHEZ H. Guayaquil, ______de_____ Mes i CERTIFICADO DE ACEPTACIÓN DEL TUTOR En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil, CERTIFICO: Que he analizado el Proyecto de Grado presentado por el/la egresado(a) CARLOS ALBERTO LUCAS AYORA, como requisito previo para optar por el título de Ingeniero cuyo problema es: “Estudio de informática forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas“ considero aprobado el trabajo en su totalidad. Presentado por: LUCAS AYORA CARLOS ALBERTO Apellidos y Nombres completos 0923048102 Cédula de ciudadanía N° Tutor: ING. JUAN SANCHEZ H. Guayaquil, ______de_____ Mes ii INDICE GENERAL CARATULA CARTA DE ACEPTACION DEL TUTOR INDICE GENERAL RESUMEN INTRODUCCION CAPITULO I .- EL PROBLEMA 1.1 Ubicación del problema en un contexto 1.2 Situación, conflictos, nudos críticos 1.3 Causas y consecuencias del problema 1.4 Delimitación del problema 1.5 Formulación del problema 1.6 Objetivos 1.7 Justificación e Importancia CAPITULO II .- MARCO TEORICO 2.1 Antecedentes 2.1.1 Los principios en entrenamiento 2.1.2 El organismo especializado (IOCE) 2.1.3 Finales de los 90's 2.1.4 La primera década del siglo 21 2.2 Fundamentación Legal 2.2.1 Ley de Comercio Electrónico, firmas electrónicas y mensajes de datos 2.3 Fundamentación Teórica 2.3.1 Informática forense 2.3.2 Principios Forenses 2.3.3 Evidencia Digital 2.4 Metodología de trabajo para el análisis de datos 2.4.1 La identificación de la evidencia digital 2.4.2 La extracción y preservación del material informático 2.4.3 Análisis de datos 2.4.4 La presentación del dictamen pericial 2.5 Hipótesis y Variables 2.5.1 Definiciones 2.6 Conceptos y definiciones 2.6.1 Siniestro 2.6.1.1 Clases de Siniestro 2.6.1.1.1 Por el grado de intensidad del daño producido 2.6.1.1.1.1 Siniestro Parcial 2.6.1.1.1.2 Siniestro Total i ii iii iv v 1 1 2 3 4 5 6 8 10 10 10 10 11 11 11 12 15 17 19 20 21 22 23 25 26 28 28 29 29 30 30 30 30 2.6.1.1.2 Por el estado del trámite en que se encuentran 2.6.1.1.2.1 Siniestro Declarado 2.6.1.1.2.1 Siniestro Pendiente 2.6.1.1.2.1 Siniestro Liquidado 2.6.1.1.3 Según lo común del siniestro 2.6.1.1.3.1 Siniestro Ordinario 2.6.1.1.3.1 Siniestro Extraordinario o Catastrófico 2.6.1.1.4 Siniestro Informático 2.6.1.1.4.1 Concepto 2.6.1.1.4.1 Tipos de Siniestro Informático 2.6.1.1.4.1.1 Bomba ilícita o cronológica 2.6.1.1.4.1.2 Piratas informáticos o hackers 30 30 30 30 31 31 31 32 32 32 32 32 CAPITULO III .- METODOLOGIA 3.1 Diseño de la Investigación 3.1.1 Modalidad de la investigación 3.1.2 Tipo de investigación 3.1.3 Población y muestra 3.2 Operacionalizacion de las variables 3.2.1 Variable independiente 3.2.2 Variable dependiente 3.2.3 Técnicas para el procesamiento y análisis de datos 34 34 34 35 38 40 40 41 42 CAPITULO IV .- MARCO ADMINISTRATIVO 4.1 Cronograma 4.2 Presupuesto 44 44 44 CAPITULO V .- MARCO LEGAL 5.1 Conceptos y definiciones 5.1.1 Delito Informático 5.1.2 Criminología 5.1.3 Criminalística 5.1.4 Evidencia Digital 5.1.5 Perito Informático 5.1.6 Informática forense 5.1.7 Auditoria forense 5.2 Leyes y normativas legales sobre derecho informático 5.2.1 Derecho informático en Europa 5.2.2 Derecho informático en Norteamérica 5.2.3 Derecho informático en México 5.2.3 Derecho informático en Latinoamérica 45 45 45 45 46 46 46 46 47 47 48 49 50 51 5.2.3 Derecho informático en Ecuador 5.3 El papel fundamental de la evidencia física dentro de un proceso legal basado en delitos informáticos 5.3.1 Proceso de recuperación de evidencia 5.3 Reconocimiento de la evidencia 5.3 Recomendaciones legales básicas 53 REFERENCIAS BIBLIOGRAFICAS ANEXOS Instalacion y configuración del SLEUTHKIT y ATOPSY BROWSER 67 70 71 56 56 59 63 vi UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA WINDOWS Y SERVIDORES CON PLATAFORMA DE SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS Autor/a: CARLOS LUCAS AYORA Tutor/a: ING: JUAN SANCHEZ H. RESUMEN Las infraestructuras de TI son cada día mucho mejor implementadas en cuanto a costos, elementos y diseños; para obtener el mayor rendimiento posible de las mismas. Es por eso que para su diseño y mantenimiento se deben tener mecanismo de seguridad tanto preventiva como correctiva. Antivirus, Antispyware, Firewalls, restricciones, VPN's, un sin número de métodos que se pueden implementar para la seguridad de TI. Pero en Ocasiones cuando las seguridades fallan, sean estas por descuido de los administradores o por intrusiones malintencionadas, es cuando las medidas correctivas son llevadas a cabo, ahí es donde hace su aparición la informática forense, una ciencia naciente que permite por medio de procesos y métodos científicos la obtención de evidencias que guíen a los autores de un ataque a la estructura de TI, así como de los daños que esto causo y de las correcciones que deben tomarse para restablecer los servicios. La informática forense es una ciencia que recién está comenzando a ser aceptada y utilizada, una gran utilidad de la misma es que se involucra con el ámbito legal, ya que mediante los análisis forenses se podrán identificar a los culpables de hechos dolosos que atenten contra la estructura de los centros de datos, pudiendo poner a estos ante la justicia con evidencias incriminatorias. El objetivo del desarrollo de esta tesis es poner en conocimiento de los administradores de TI una herramienta muy útil, así como de explicar la aplicación de la misma para el mantenimiento de los centros de datos. En nuestro país estos conceptos aun son muy poco conocidos y menos aun utilizados. La informática forense abre un abanico de soluciones ya que puede interactuar con muchos campos del desarrollo tecnológico, telecomunicaciones, hardware, software, obteniendo un rango muy amplio de acción. v UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA WINDOWS Y SERVIDORES CON PLATAFORMA DE SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS ABSTRACT It infraestructures are improving every day, but these implies costs, designing, and very complex devices; in order to keep best perfomance on those estructures. That is the reason of why they have security programs and strutctures as preventive and for repairment. Antivirus, Antiphising, Antispyware, security policies, and others ways that can be developed for IT security structures. Even though of those efforts sometimes this systems can fail, those can be consequences of a security policies not correctly implanted, some administrators are not capable to solve some situations and problems that can be seen in a IT structure, intruders trying to cause damages. This is the right moment when administrators using they policies, in this case to repairs damages and errors caused before. Computer forensics is one of the most powerful tools in this matter, this the base of this document. Computer Forensics is a neraly age science, its based on scientifics process and sizing. Its used to obtain phisic evidence from several electronics devices like computers, pda's, hard disks, etc. This newly science allows the investigators get leads about those who may do the intrusion or damage in that case. INVOLVES procedures to make planing of fixing events that take down the services of IT. Because this procedures, methods and results of these are catalog as evidence, this evidence can be show in a law process sucha as trial, for these reason computer forensics is mixing with so many other sciences. This document of thesis pretend stablish a way of thinking between IT administrators and people involve in technology, nowadays there so many treaths, so many ways to brake securities, and reach very important information as many devices. that's why people who work or develop solutions for theese problems have to be awareness of this matter. We take a look arround and every are technology, and every we bring more solutions to our world. INTRODUCCION Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones utilizan sistemas informáticos para el manejo de sus operaciones o a su vez almacenamiento de datos, sean estos programas, equipos de computación y que a medida que se incrementa esta demanda hacen que estos equipos y programas sean vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos elementos produciendo daños en las plataformas tecnológicas, perjuicios economicos, etc. Por este motivo debe de dársele la importancia necesaria para establecer normas de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de la información. A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal estructuradas, vulnerabilidades en los protocolos, de sistemas operativos aprovechándose además de la deficiencia en la cultura sobre seguridad computacional que existe en la sociedad. Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas, troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros. Para combatir este tipo de delitos, existe la Informática Forense como una herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia involucra aspectos como la preservación, descubrimiento, identificación, extracción, documentación y la interpretación de datos informáticos; analizando a partir de esto, los elementos de la tecnología de información que sean una evidencia digital llevando así a la solución funcional y/o judicial del delito padecido por compañía o persona natural. En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o existe desconocimiento de la misma o no hay la información ni los mecanismos adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios ocasionados. Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o inclusive propias de la tecnología las que son aprovechadas por intrusos para ocasionar daños. La informática forense hace su aparición como una disciplina auxiliar para la justicia en estos tiempos donde los delitos han cambiado y se presentan distintas figuras legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas por los intrusos informáticos, así como para proporcionarnos garantía en lo que a evidencia digital concierne para que esta pueda ser aportada en un proceso judicial. CAUSAS Y CONSECUENCIAS DEL PROBLEMA El fraude, extorsión, robo de información, venganza o simplemente el reto de vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía. Si una compañía no diseña procedimientos, políticas y asigna recursos para la seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la seguridad de sus plataformas ya que comprenden la importancia de estas para el funcionamiento del negocio. Mientras las personas encargadas de administrar los sistemas, los recursos tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos problemas. La informática forense aparte de ser una medida correctiva, también se la puede aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los inconvenientes que un ataque a la plataforma tecnológica pueda causar. En nuestro país estas técnicas y procedimientos de la informática forense son nuevos, por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que las leyes que existen para tipificar lo que es un delito de índole informática son muy escasas, además no son muy explicitas al momento de especificar un hecho de esta naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y situaciones que se van presentando a medida que la tecnología avanza. 1 CAPÍTULO I 1. EL PROBLEMA 1.1 UBICACIÓN DEL PROBLEMA EN UN CONTEXTO Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones utilizan sistemas informáticos para el manejo de sus operaciones o a su vez almacenamiento de datos, sean estos programas, equipos de computación y que a medida que se incrementa esta demanda hacen que estos equipos y programas sean vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos elementos produciendo daños en las plataformas tecnológicas, perjuicios económicos, etc. Por este motivo debe de dársele la importancia necesaria para establecer normas de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de la información. A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal estructuradas, vulnerabilidades en los protocolos, de sistemas operativos aprovechándose además de la deficiencia en la cultura sobre seguridad computacional que existe en la sociedad. Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas, troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros. 2 Para combatir este tipo de delitos, existe la Informática Forense como una herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia involucra aspectos como la preservación, descubrimiento, identificación, extracción, documentación y la interpretación de datos informáticos; analizando a partir de esto, los elementos de la tecnología de información que sean una evidencia digital llevando así a la solución funcional y/o judicial del delito padecido por compañía o persona natural. En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o existe desconocimiento de la misma o no hay la información ni los mecanismos adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios ocasionados. Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o inclusive propias de la tecnología las que son aprovechadas por intrusos para ocasionar daños. La informática forense hace su aparición como una disciplina auxiliar para la justicia en estos tiempos donde los delitos han cambiado y se presentan distintas figuras legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas por los intrusos informáticos, así como para proporcionarnos garantía en lo que a evidencia digital concierne para que esta pueda ser aportada en un proceso judicial. 1.2 SITUACIÓN CONFLICTO NUDOS CRÍTICOS El crecimiento en el uso de plataformas tecnológicas para la administración de los datos de las empresas o gobiernos también produce un mayor número de vulnerabilidades dentro de estos sistemas. Estas vulnerabilidades se encuentran porque existen personas malintencionadas que persiguen causar un perjuicio u 3 obtener información confidencial, utilizando técnicas y procedimientos técnicos para alcanzar este fin. En una compañía, un empleado puede comprometer las seguridades en los sistemas de la compañía, en casos por inexperiencia o también con conocimiento de culpa. Podemos encontrar que un trabajador obtiene una contraseña de seguridad para obtener mayores privilegios dentro de una base de datos, sin conocimiento puede permitir el acceso al sistema de un virus o algún otro programa dañino, obtiene información confidencial para proporcionársela a la competencia. Por la falta de cultura de seguridad informática que existe las empresas pueden ser víctimas de delincuentes especializados en este tipo de acciones. Un banco puede sufrir una pérdida de información por un intruso en sus sistemas. Una empresa comercial que posee un servidor externo para clientes, si no está debidamente configurado y no posee las seguridades necesarias puede ser víctima de un hacker y puede sufrir daños en su infraestructura tecnológica. Ante todas estas situaciones problemáticas se puede hacer uso de la informática forense tanto para la recuperación de los daños sufridos por intrusos o aplicaciones peligrosas, así como la identificación de los posibles culpables que ocasionaron el daño y además la recolección de evidencia confiable para que esta pueda ser tomada en una acusación formal de los supuestos agresores. 1.3 CAUSAS Y CONSECUENCIAS DEL PROBLEMA El fraude, extorsión, robo de información, venganza o simplemente el reto de vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía. 4 Si una compañía no diseña procedimientos, políticas y asigna recursos para la seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la seguridad de sus plataformas ya que comprenden la importancia de estas para el funcionamiento del negocio. Mientras las personas encargadas de administrar los sistemas, los recursos tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos problemas. La informática forense aparte de ser una medida correctiva, también se la puede aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los inconvenientes que un ataque a la plataforma tecnológica pueda causar. En nuestro país estas técnicas y procedimientos de la informática forense son nuevos, por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que las leyes que existen para tipificar lo que es un delito de índole informática son muy escasas, además no son muy explicitas al momento de especificar un hecho de esta naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y situaciones que se van presentando a medida que la tecnología avanza. 1.4 DELIMITACIÓN DEL PROBLEMA El estudio actual se va a centrar en el análisis de hechos acontecidos o que puedan ocurrir en la plataforma cliente, Windows XP en todas sus versiones, ya que es el sistema operativo que más se ha comercializado y más utilizado aun en estos momentos. En esta plataforma es donde más problemas de seguridad ocurren por el hecho de su uso, entre mas se masifica más problemas se encuentran a medida de su utilización. 5 La plataforma de Microsoft, Windows XP, es la que más sufre de atentados de seguridad ya sea en una empresa o en caso de uso personal. Esto sucede por la masificación existente, para ello la informática forense posee herramientas para la detección de estos ataques para su correspondiente camino de acciones posteriores. También se presentara casos de violaciones de seguridad en servidores Linux ya que en mayor parte las empresas están adoptando el uso de estos sistemas operativos para el manejo de sus sistemas. De la misma manera se propondrá soluciones legales para proceder en estos casos, se realizara recomendaciones para asesorar cuando se es víctima de un delito informático. 1.5 FORMULACIÓN DEL PROBLEMA En nuestro país los delitos informáticos ocurren con mucha frecuencia, no son tan difundidos porque en mayor parte de los casos no se logra hallar a los autores de dichos delitos, porque las empresas no dedican recursos a obtener resultados haciendo investigaciones y porque las leyes diseñadas para identificar y sancionar dichos hechos no son acorde a la realidad o son muy pasadas de época, ya que no existe una reforma en ese campo. El objeto de este estudio es identificar problemas de seguridad que se identifiquen en los sistemas operativas tanto de Windows como Linux para proceder con sus correcciones, recuperación y recolección de evidencia digital para evaluación en un litigio. 6 1.6 OBJETIVOS Mediante el análisis informático forense, se rastrean las pruebas en los elementos digitales, discos duros y dispositivos de almacenamiento, componentes de una red, con el fin de reconstruir el escenario de cualquier incidente o ataque informático para recolectar evidencias y que esta sirvan para establecer los daños ocurridos así como la identificación de los posible agresores. El objetivo primordial de la realización de esta tesis, es la elaboración de un estudio acerca de la aplicación de la informática forense en caso de supuestos ataques que puedan ocurrir dentro del ambiente de una empresa u organización, dentro de parámetros debidamente delineados. La informática forense es una ciencia relativamente nueva en la cual aun no existen estándares aceptados por lo cual se pueden hacer uso de varias herramientas conceptuales y procedimentales, así como de herramientas de software que permite la consecución de la meta que es el encontrar la evidencia necesaria para determinar un delito informático. La informática forense en primer lugar se usa como sistema preventivo, ya que permiten analizar las diferentes fallas o inseguridades dentro de los sistemas para poder ser corregidas antes de que ocurra un hecho desfavorable para la actividad de la empresa o negocio. Luego la informática forense se llega a utilizar como una herramienta correctiva, ya que permitirá encontrar las fallas de seguridad para poder elaborar un plan de acción así también obtendremos indicios de los posibles culpables que ocasionaron el daño, además de recopilar evidencia necesaria para encontrar el mecanismo de ataque así como para poder ser tomadas en cuenta en las acusaciones que se puedan emprender en contra de los atacantes. 7 Es por eso que en este estudio realizaremos un caso de prueba en cual mediante una estación de trabajo conectada mediante un ruteador hacia otro equipo que hará de servidor, ejecutaremos una simulación de ataque desde esta, el usuario de este equipo lograra tener acceso al servidor y copiar unos archivos de acceso restringido, así como de eliminar dichos archivos ubicados en el servidor. Luego de realizar dicha simulación se ejecutará un procedimiento de informática forense para determinar los daños causados por dicho intruso, con el cual se evaluara la información obtenida. Se dimensionaran los daños causados, que información se sustrajo o elimino del servidor y desde donde realizo dicho ataque. Se planificara un curso de acción para determinar la manera en que se violo el acceso al servidor, como logro ingresar que fue lo que realizo, que información logro obtener del mismo, así como también de recuperar el daño realizado. Recoger las evidencias del ataque para poder elaborar un informe posterior sobre lo sucedido en este ataque. En el desarrollo de esta tesis se utilizara herramientas de software libre, las cuales se procederá a descargar del internet, con cuales podremos demostrar ciertos casos de ataques dentro de la interoperabilidad que existen entre los sistemas operativos mencionados en el titulo de esta misma. Estas aplicaciones nos permitirán examinar los casos propuestos elaborando un plan de acción para la obtención de la información necesaria que permita demostrar el uso de las herramientas así como demostrar los objetivos para los cuales se estableció la informática forense. Se demostrará con el uso de las aplicaciones de software libre diseñadas para la informática forense el cumplimiento de los objetivos principales de la misma que son la detección del ataque, resarcimiento de los daños sufridos y obtención de evidencia digital para su uso correspondiente. 8 Se propondrá un grupo de lineamientos legales que deberían ser tomados en cuenta en este ámbito, involucrándose un poco en la parte legal de la informática. Ya que hablamos de delitos y estos como tales deben ser sancionados por leyes que los definan y hayan penas para los mismos. En nuestro país esto aun no es un tema de mayor análisis por lo cual este trabajo también se proyectara hacia allá planteando normativas o especificaciones que se pueden hacer uso dentro de la ley de comercio electrónico que es la que regula este campo dentro del sistema legal ecuatoriano. 1.7 JUSTIFICACIÓN E IMPORTANCIA La realización de este estudio tiene como meta principal dar a conocer a la informática forense como una poderosa herramienta dentro del campo de seguridad digital. Este estudio se justifica por el uso que realizan las organizaciones, gobiernos y personas de recursos informáticos, los cuales necesitan ser estructurados con políticas y medidas de seguridad, para garantizar su continuo funcionamiento y desenvolvimiento para el beneficio de los usuarios y de las organizaciones. El conocimiento de herramientas para la informática forense es otra de las metas que se pretende realizando este estudio, ya que en la actualidad existen programas de código libre que ayudan en la consecución de los objetivos planteados. La informática forense es un tema reciente en nuestro país, por lo el cual este trabajo pretende ser una guía y/o plataforma para investigaciones y trabajos en lo posterior. Las empresas, organizaciones y personas podrán hacer uso de este estudio para lograr una optima estructuración es sus políticas de seguridad informática, y favorecer su productividad y desarrollo. 9 Con la ayuda de la informática forense se pueden identificar delitos de índole digital los cuales luego de su análisis, podrán ser clasificados, tipificados y podrán pasar a formar parte de los delitos que la ley enuncia y establecer castigos para los mismos. 10 CAPÍTULO II 2. MARCO TEÓRICO 2.1 ANTECEDENTES El estudio de la informática forense comprende la extracción, análisis y documentación de la evidencia de un sistema informático o de una red. Es usualmente utilizada por agentes de la ley para encontrar evidencia dentro de un juicio criminal. Esta disciplina es relativamente nueva, teniendo su aparición en 1980. En la década de los 80’s, cuando los computadores personales se convirtieron en una muy buena opción para los consumidores ya que les permitía automatizar sus tareas. El FBI creo en 1984, un programa conocido en ese tiempo como Magnetic Media Program, el cual en estos días paso a llamarse Computer Analysis and Response Team (CART). Poco después el hombre conocido como “el padre de la informática forense” comienzo a trabajar en este campo. Este hombre era Michael Anderson, fue un agente especial de la división de investigaciones criminales en el IRS. Anderson trabajo para el gobierno hasta mediados de los 90’s, para luego fundar New Technologies Inc., una firma líder en el ámbito de la informática forense. 2.1.1 Los principios en entrenamiento En Oregon en 1988 se programa una reunión que dio lugar a la formación del IACIS (International Association of Computer Investigative Specialist). Poco tiempo después la primera promoción se entreno en SCERS (Seized Computer Evidence Recovery Especialist). 2.1.2 El organismo especializado (IOCE) El continuo crecimiento de esta disciplina dio lugar en los 90’s a la primera conferencia sobre la recolección de evidencia informática en el año de 11 1993. Dos años más tarde se estableció la International Organization on Computer Evidence (IOCE). 2.1.3 Finales de los 90’s Para 1997, fue ampliamente reconocido el refuerzo de los ejecutantes de la ley alrededor del mundo entero necesitaban estar bien al tanto de cómo adquirir evidencia desde un sistema computacional, un hecho evidente que ocurrió en un comunicado del G8 en ese año. Luego la INTERPOL organizo un simposio sobre informática forense el siguiente año y en 1999 el CART perteneciente al FBI logro resolver 2,000 casos. 2.1.4 La primera década del siglo 21 El CART del FBI continúo en constante crecimiento. Tanto que en 1999, logro analizar 17 Terabytes de datos, siendo para el año 2003 782 Terabytes de datos en tan solo un año. Con los avances tecnológicos, la proliferación del acceso a internet, el rol de la informática forense comenzó a ser de mucha importancia dentro del ámbito legal. Con el advenimiento de los smartphones y PDAs, se convierten en vías para que los criminales tengas más opciones en quebrantar la ley y es en donde la informática forense juega un papel muy importante. 12 2.2 FUNDAMENTACION LEGAL 2.2.1 LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS La actual LEY DE COMERCIO ELECTRONICO, FIRMAS Y MENSAJES DE DATOS fue publicada en R.O. Suplemento 557 de 17 de Abril del 2002 Artículo 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. Artículo 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de datos tendrá igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se someterá al cumplimiento de lo establecido en esta Ley y su reglamento. Artículo 4.- Propiedad Intelectual.- Los mensajes de datos estarán sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual. Artículo 5.- Confidencialidad y reserva.- Se establecen los principios de confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio o intención. Toda violación a estos principios, principalmente aquellas referidas a la intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto profesional, será sancionada conforme a lo dispuesto en esta Ley y demás normas que rigen la materia. Artículo 44.- Cumplimiento de formalidades.- Cualquier actividad, transacción mercantil, financiera o de servicios, que se realice con mensajes de datos, a través de 13 redes electrónicas, se someterá a los requisitos y solemnidades establecidos en la Ley que las rija, en todo lo que fuere aplicable, y tendrá el mismo valor y los mismos efectos jurídicos que los señalados en dicha Ley. Artículo 47.- Jurisdicción.- En caso de controversias las partes se someterán a la jurisdicción estipulada en el contrato; a falta de ésta, se sujetarán a las normas previstas por el Código de Procedimiento Civil Ecuatoriano y esta Ley, siempre que no se trate de un contrato sometido a la Ley Orgánica de Defensa del Consumidor, en cuyo caso se determinará como domicilio el del consumidor o usuario. Para la identificación de la procedencia de un mensaje de datos, se utilizarán los medios tecnológicos disponibles, y se aplicarán las disposiciones señaladas en esta Ley y demás normas legales aplicables. Cuando las partes pacten someter las controversias a un procedimiento arbitral, en la formalización del convenio de arbitraje como en su aplicación, podrán emplearse medios telemáticos y electrónicos, siempre que ello no sea incompatible con las normas reguladoras del arbitraje. Artículo 57.- Infracciones Informáticas.- Se considerarán infracciones informáticas, las de carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente Ley. Artículo 61.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes artículos enumerados: “Art.....- Daños informáticos.- El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con 14 prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica. La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional. Art. .....- Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica.”. Artículo 64.- A continuación del numeral 19 del Art. 606 añádase el siguiente: (VER CODIGO PENAL) 19. Los que causaren cualquier daño o perjuicio en las instalaciones u obras destinadas a la provisión de alumbrado, agua potable, u en los focos, lámparas o faroles, etc., destinados al servicio público, si el acto no fuere delito. “..... Los que violaren el derecho a la intimidad, en los términos establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.”. 15 2.3 FUNDAMENTACION TEORICA “En una sociedad que, cada día, basa más sus dinámicas en sistemas de cómputo, comunicaciones, redes y conectividad, la seguridad debe pasar de ser una tarea más a una prioridad para los gobiernos, instituciones, compañías e individuos, solidificándose así una política clara e integral de seguridad informática”, señaló un informe de ETEK (ETEK es una corporación en soluciones integrales de Seguridad de la Información). A medida que se incrementa y abarca más campos de desarrollo humano se intensifica el uso de sistemas informáticos, de la misma manera aumentan los riesgos de ataques e incidentes a estos equipos utilizados en los sistemas de computo y demás dispositivos electrónicos que ponen en peligro la integridad de los datos que se almacena, procesa, registra o transfieren esos elementos; de aquí nace la necesidad de diseñar e implementar medidas preventivas y correctivas, planes de emergencia y tiempos de respuesta inmediatos para salvaguardar la estructura IT y las aplicaciones, protegiendo la información. Vemos cada vez más en los medios de comunicación, reportes sobre vulnerabilidades encontradas, el aprovechamiento de fallas ya sean estas humanas, tecnológicas o procedimentales sobre estructuras tecnológicas alrededor del mundo, ofreciendo el escenario adecuado para la proliferación de tendencias relacionas con la intrusión dentro de sistemas informáticos. La motivación de los intrusos es de diversa índole, ya que sus alcances y estrategias varían causando desconcierto entre los especialistas, ya sean estos analistas, consultores etc. Ya que las modalidades de ataque se diferencia de un ataque a otro. Por muy difíciles que parezcan los escenarios presentados existe la criminalística que nos ofrece un espacio de análisis y estudio permitiéndonos una reflexión detallada 16 sobre los hechos y las evidencias en el lugar donde ocurrieron las acciones catalogadas como criminales. Justo en ese momento se necesita definir qué conjunto de herramientas así como un curso de acción se procederá a tomar para descubrir en los elementos de un sistema informático las evidencias digitales relevantes que sustente y valide los argumentos que sobre los hechos criminales se han materializado en el caso bajo análisis. Es entonces que la informática forense hace su aparición como una disciplina y herramienta para la justicia moderna, para hacer frente a los mecanismos y técnicas utilizadas por los intrusos informáticos, así también garantizar la verdad alrededor de la evidencia digital que se pudiese obtener y contribuir al proceso. El aumento de infracciones informáticas es causa de preocupación por parte de los responsables de la seguridad de las estructuras tecnológicas alrededor del globo ya que estas están produciendo grandes pérdidas económicas especialmente en los sectores comercial y bancario, en donde por poner un ejemplo las manipulaciones fraudulentas de información ganan terreno. Se estima que las pérdidas ocasionadas por estos siniestros superan con facilidad los dos millones de dólares, además de esto se pierde la credibilidad y fiabilidad institucional, lo cual se traduce en un daño incuantificable. “Una herramienta para encontrar soluciones a estos problemas es la informática forense. Calificada como una ciencia criminalística, que combinada con las tecnologías de información y de la comunicación en todos los diferentes ámbitos en que se desarrolla el hombre, está adquiriendo un lugar privilegiado debido a la globalización de la sociedad de la información” (DR. Santiago Acurio del Pino, Introducción a la Informática Forense página 1 y 2). A pesar de ser catalogada como una ciencia no posee un método estandarizado, motivo por el cual su admisibilidad puede ser cuestionada dentro de un proceso judicial, a pesar de esta dificultad no 17 puede ser menospreciada y debe ser manejada con base a rígidos principios científicos, normas legales y procedimentales. Cabe mencionar que son los operadores de justicia así como los profesionales en informática, los llamados a combatir este tipo de delitos tecnológicos, ya que los mencionados en primer lugar conocen la forma de pensar de un delincuente, mientras que los segundos poseen pleno conocimiento de los equipos y redes informáticas. La fusión de los dos conforma la llave para el éxito en contra de los delitos informáticos. 2.3.1 Informática Forense La parte del proceso de descubrimiento que se centra en la búsqueda de evidencia electrónica, especialmente en un sistema informático, es conocida como “E-discovery” o eletronic discovery (descubrimiento electrónico). El análisis forense se especializa en la recopilación de evidencia dispersa por el sistema para el posterior análisis de la misma; esta evidencia entre más completa y precisa resulte se dará mayor validez al análisis realizado. Un aspecto fundamental dentro de la investigación es la adecuada conservación de la información contenida en el sistema original ya que el procesamiento de esta debería llevarse a cabo en una copia de los datos del sistema original. La disposición de una copia exacta del sistema es el objetivo ideal de la recopilación de evidencia, pero esto en muchas ocasiones es una misión imposible ya que mientras se realiza el proceso de recolección los usuarios u otros programas pueden ocasionar cambios en el sistema, destruyendo así parte de la evidencia. Existen diversas definiciones sobre el concepto de la informática forense, un concepto que abarca bastante lo que esta disciplina contempla es el que detalla el Dr. Santiago Acurio del Pino, Profesor de la Universidad Católica del Ecuador: 18 “Es una ciencia forense que se ocupa de la utilización de los métodos científicos aplicables a la investigación de los delitos, no solo informáticos y donde se utiliza el análisis forense de la evidencias digitales, en fin toda información o datos que se guardan en una computadora o sistema informático, en conclusión, la informática forense es la ciencia forense que se encarga de la preservación, identificación, extracción, documentación, e interpretación de la evidencia digital, para luego esta ser presentada en una Corte de Justicia.” (Introducción a la Informática Forense, pág 7) La informática forense se utiliza como un medio para localizar y canalizar de forma correcta los hechos jurídicos informáticos más relevantes dentro de una investigación. La ciencia forense como la mayoría de las ciencias es sistemática y se base en hechos previamente diseñados para recopilar pruebas para su posterior análisis. La tecnología utilizada en cada fase del análisis forense ocupa un papeo de suma importancia ya que son las aplicaciones que permitirán recaudar la información y los elementos de convicción necesarios. Es así, que se define como la escena del crimen al computador y la red a la cual este está conectado. La informática forense tiene como objetivo principal la recuperación de registros y mensajes de datos existentes dentro de un equipo informático, de tal forma que toda esta evidencia digital pueda ser usada como prueba válida ante un tribunal de justicia. La informática forense, según Ajoy Ghosh, en Guidelines of Management of IT evidence, comprende cuatro elementos claves: 19 I. La identificación de la evidencia digital: Este es el primer paso en el proceso forense. Reconocer donde está presente la evidencia, donde esta almacenada y como esta almacenada, esto es vital para el proceso ya que va a determinar que procesos van a ser empleados para facilitar la recuperación. Además, el examinador de informática forense debe ser capaz de identificar el tipo de información almacenada en los dispositivos así como el formato en cual están para así proceder a la extracción de la misma. II. La preservación de la evidencia digital: Debido al prolijo escrutinio de las cortes jurídicas, es imperativo que cualquier examen de los paquetes de datos almacenados debe ser con el mayor cuidado posible. Habrá circunstancias en que los cambios producidos a los datos serán inevitables, pero es importante controlar que ocurran el mínimo de cambios posibles. En las circunstancias en que los cambios sean imposibles de evitar deben ser explicados estos cambios desde la naturaleza y la razón por la que ocurrieron dichos cambios. III. El análisis de la evidencia digital: una vez extraída, procesada e interpretada la información digital, esta debe ser organizada de la mejor manera para que las personas puedan entenderlas. IV. La presentación de la evidencia digital: involucra en si la presentación en una corte de justicia. Esta incluye la manera de presentación, la pericia y experiencia del presentador y el proceso de credibilidad empleado para producir el efecto propuesto de la evidencia presentada. 2.3.2 Principios Forenses Existen varios principios básicos que son necesarios al momento de examinar un cadáver. Tales principios, los podemos aplicar al analizar un computador. Estos principios han sido descritos en innumerables artículos y/o programas de televisión y los podemos resumir en los siguientes puntos: 20 - Evitar la contaminación: En televisión vemos a los médicos forenses vestidos de batas blancas y guantes, recogiendo las evidencias con pinzas y colocándolas en bolsas de plástico selladas. Todo este procedimiento para evitar la contaminación de la evidencia. En este momento es donde se pueden echar a perder las evidencias. - Actuar metódicamente: Debido al uso de la evidencia que se recopila, esta debe ser justificada en cada una de sus acciones, ya que se pueden utilizar en un juicio. Si se procede de manera científica y metódica, documentando todo cuidadosamente, esta justificación será mucho más fácil. Esto también permite que otras personas pueden retomar el trabajo realizado o a su vez verificar si no se ha cometido algún error que pueda poner en duda la evidencia obtenida. - Cadena de evidencia: Desde el comienzo de la investigación forense hasta la presentación final en el juicio, se debe mantener la cadena de obtención de información, para así poder justificar quienes ya que se tenido acceso. Esto permite eliminar las posibilidades de que alguien haya podido sabotear o falsificar la evidencia recuperada. - Metodología: Debido a que aun no se establecen estándares generalmente aceptados para una metodología a seguir, se debe establecer un curso de acción para de esa forma obtendremos resultados finales fiables. 2.3.3 Evidencia Digital La evidencia digital se puede definir como cualquier información, que ha sido: • Sujeta a manipulación humana u otra semejante, • Extraída de un sistema o elemento informático. 21 Siendo así, la evidencia digital, es el término utilizado para describir de manera amplia a cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como tal en un proceso legal. La evidencia digital posee ciertos elementos que la catalogan como un desafío constante para los que la identifican y analizan: a) Volátil b) Anónima c) Posible duplicarla d) Alterable y modificable e) Susceptible de ser eliminada 2.4 METODOLOGÍA DE TRABAJO PARA EL ANÁLISIS DE DATOS El siguiente cuadro muestra el procedimiento ordenado para evaluar la evidencia digital Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx 22 2.4.1 La identificación de la evidencia digital Identificar la evidencia digital representa una tarea caracterizada por distintos aspectos. Entre ellos podemos mencionar el factor humano, que realiza la recolección de material informático. En muchos casos, la identificación y recolección de potencial evidencia digital es realizada por personal que no cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestión (por ejemplo un allanamiento policial, o un administrador no instruido). La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta información digital. A modo de ejemplo podemos mencionar la incautación de terminales durante un allanamiento omitiendo traer el servidor; o apagar las computadoras eliminando la posibilidad de realizar un análisis sobre ciertos elementos volátiles (registros, procesos, memoria, estado de la red). Por otra parte, el desconocimiento puede llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como la incautación masiva de equipamiento informático o de material irrelevante para la investigación. Otro aspecto crítico relativo a la identificación de la evidencia digital se refiere a la correcta rotulación y detalle de los elementos informáticos. Sucede con frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos secuestrados. Si no se toman ciertos recaudos durante el allanamiento, y se verifica que se dispone en el laboratorio pericial de la tecnología necesaria, el faltante de algún elemento puede retrasar o impedir la realización de la investigación. 23 Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx 2.4.2 La extracción y preservación del material informático Extraer y Preservar el material informático durante las incautaciones implica considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la información. Sobre este aspecto, cabe destacar que existe una gran falencia en lo que se conoce como “Cadena de Custodia”, cuyo objetivo consiste en mantener el registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigación detallados. Si al realizar un análisis de datos se detecta que la información original ha sido alterada, la evidencia pierde su valor probatorio. Las cuestiones inherentes al transporte de la evidencia digital no son menos importantes. Es común que los elementos informáticos a analizar lleguen sin los más mínimos resguardos. Usualmente, la incautación de material informático tiene un tratamiento muy similar al de otros elementos –armas, papeles contables, etc.y no se le da el cuidado que realmente merece, pudiendo algún golpe ocasionar roturas en el equipamiento informático. Debe considerarse además 24 que la información digital es sensible a la temperatura, y en algunos casos a los campos electromagnéticos. Por último, preservar implica los aspectos técnicos relativos a la no alteración (integridad) de la evidencia original. La utilización de algún software que genere un valor hash a partir de un conjunto de datos es de gran ayuda. Existen diferentes algoritmos para calcular un checksum criptográfico seguro o valor resumen hash (SHA-1, MD5), estos algoritmos son muy utilizados por las herramientas forenses. Para realizar copias de la evidencia original debe usarse algún software Forense que realice una imagen a nivel de bit-stream y no una simple copia de archivos, en la que se pierde información que puede ser usada como potencial evidencia. Asimismo, debe quedar claro que aunque por principio general se debe trabajar sobre imágenes de la evidencia original, sólo el perito podrá determinar cuándo debe o no aplicarse este tipo de medida. En muchos casos resulta impracticable realizar copias de la evidencia original por impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis de datos no-invasivas y utilizando todas las herramientas forenses que estén al alcance, a fin de no alterar la evidencia. 25 Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx 2.4.3 El análisis de datos Analizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de almacenamiento. Una de las claves a la hora de analizar es la localización de información específica vinculada con una determinada causa. La experiencia demuestra que en muchos casos, el análisis de datos requerirá un trabajo interdisciplinario entre el perito y el operador judicial juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave (keywords) que son de interés para la investigación. En casi la totalidad de los casos el análisis de datos se realiza sobre sistemas operativos Windows y Unix. En el primero de ellos, se debe profundizar en aspectos técnicos del sistema de archivos NTFS, ya que es utilizado por las últimas versiones. NTFS almacena atributos de archivos y directorios en un archivo del sistema llamado MFT (Master File Table) y escribe los datos en espacios llamados clusters. Los atributos de mayor interés para el investigador forense son: el nombre del archivo, MAC Times (fecha y hora de la última Modificación, Acceso o Cambio de un archivo) y los datos (si el archivo es suficientemente pequeño) o la ubicación de los datos en el disco. Asimismo, el archivo utilizado como memoria virtual del sistema operativo (Swap file), el espacio libre que puede quedar entre un archivo y el cluster en el cual reside (Slack space), la papelera de reciclaje (Recycle bin), clusters que contienen parte que los archivos borrados (Unallocatable space), los accesos directos, los archivos temporarios y los de Internet, son algunos de los elementos sobre los que se realiza habitualmente el análisis de datos. Por otro lado, un examen del registro de Windows permite conocer el hardware y software instalado en un determinado equipo. 26 El análisis sobre sistemas Unix es similar al de Windows, ya que se investiga sobre los elementos citados precedentemente. Unix utiliza el concepto de nodos índices (i-node) para representar archivos. Cada i-node contiene punteros a los datos en el disco, así como también los atributos del archivo. Los datos se escriben en unidades llamadas bloques (blocks) siendo un concepto análogo a los clusters de Windows. En Unix todo es tratado como un archivo, y puede estar almacenado en formato binario o texto. Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx 2.4.4 La presentación del dictamen pericial Presentar consiste en elaborar el dictamen pericial con los resultados obtenidos en las etapas anteriores. La eficacia probatoria de los dictámenes informáticos radica fundamentalmente en la continuidad del aseguramiento de la prueba desde el momento de su secuestro. Realizado ello en debida forma es poco probable que, si la investigación preliminar se dirigió correctamente, el material peritado no arroje elementos contundentes para la prueba del delito. Expuesta la situación actual en materia de pericias informáticas, interesa conocer cómo debe realizarse un dictamen pericial sobre análisis de 27 datos, de manera tal que sea objetivo, preciso y contenga suficientes elementos para repetir el proceso en caso de ser necesario. La estructura básica de cualquier informe atendería al siguiente esquema: · Antecedentes (Solicitante, encargo profesional o tipo de trabajo. Situación. Redactor) · Documentos facilitados, recopilados y examinados (Proyectos, expedientes administrativos, contratos, escrituras, datos registrales, etc.) · Inspecciones realizadas (Pruebas requeridas en función del material a analizar y del tipo de daño a valorar). · Metodología del informe (Criterios para su elaboración). · Dictamen (Conclusiones, que recogerá de modo resumido los aspectos más determinantes del trabajo). · Anexos (Estará compuesto por los diferentes documentos obtenidos en las investigaciones: fotografías, resultados de los análisis, documentación relevante como prueba, normativa infringida, etc.). 28 Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx 2.5 HIPOTESIS y VARIABLES 2.5.1 Definiciones La informática forense es una disciplina emergente, por lo tanto, es una herramienta nueva que aparece a medida del continuo avance de la tecnología, las formas en que se almacenan los datos, políticas de seguridad. Esta herramienta es utilizada para la determinación de siniestros ocurridos dentro de un sistema informático, ósea donde se hayan producido ataques y/o adquisición fraudulenta de información contenida dentro de estos sistemas, la permitirá mediante procedimientos estructurados y herramientas adicionales poder descubrir la forma y autores de aquel delito suscitado. Esta disciplina tiene como objetivo recobrar evidencia digital de los sistemas siniestrados para proceder a evaluarlas analizarlas 29 mediante estándares específicos para estas puedan ser presentadas en un proceso legal y tengan validez objetiva. Debido al acceso de información existente, a la aparición de nuevas técnicas, mecanismos y formas de ejecutar un ataque a los sistemas informáticos, los delincuentes informáticos cada vez son más especializados. Elaboran procedimientos más complejos y efectivos que deriven en una acción delictiva eficaz, haciendo la labor de los especialistas y representantes de la ley mucho más complicada debido a la dificultad con que estos delitos fueron cometidos. 2.6 Conceptos y definiciones 2.6.1 Siniestro Según el italiano Carlos Sarzana: “El siniestro es la destrucción fortuita o pérdida importante que sufren las personas o la propiedad, en especial por muerte, incendio o naufragio.” Según el Ing. Cueto-López: “El siniestro es un hecho súbito, accidental e imprevisto, cuyas consecuencias dañosas estén cubiertas por las garantías dadas.” Según el diccionario Laurrose: “El siniestro es un hecho violento, súbito, externo y ajeno a la intencionalidad del asegurado, cuyas consecuencias pueden estar cubiertas por alguna garantía del seguro. Constituye un solo y único accidente el conjunto de daños derivados de un mismo hecho.” 30 En conclusión, el siniestro es acontecimiento espontaneo o planeado, que es ejecutado por terceros con el objetivo de perjudicar los activos o bienes de una empresa. 2.6.2 Clases de Siniestros Según los Consultores de Javelles S.A las clases de siniestros se clasifican, según: 2.6.2.1 Por el grado de intensidad del daño producido 2.6.2.1.1 Siniestro Total. Es aquél cuyas consecuencias han afectado a la totalidad del objeto asegurado, destruyéndolo completa o casi completamente. 2.6.2.1.2 Siniestro Parcial. Es aquél cuyas consecuencias sólo afectan parte del objeto asegurado, sin destruirlo completamente. 2.6.2.2 Por el estado del trámite en que se encuentran: 2.6.2.2.1 Siniestro Declarado. Aquél que ha sido comunicado por el asegurado a su entidad aseguradora. 2.6.2.2.2 Siniestro Pendiente. Es aquél cuyas consecuencias económicas aún no han sido totalmente indemnizadas por la entidad aseguradora. 31 2.6.2.2.3 Siniestro Liquidado. Aquél cuyas consecuencias económicas han sido completamente indemnizadas o reparadas por la entidad aseguradora. 2.6.2.3 Según lo común del siniestro 2.6.2.3.1 Siniestro Ordinario. Es el que tiene su origen en la ocurrencia de un riesgo ordinario. 2.6.2.3.2 Siniestro Extraordinario o Catastrófico. Es el que esta originado por un riesgo de naturaleza extraordinaria o excepcional. Los siniestros dentro de las organizaciones en algunas ocasiones, están vinculados con los fraudes, ya que pueden ser cometidos de forma intencional y afectar económicamente a la empresa Por ejemplo se mencionan algunos: • Violación de Seguridad • Ocultamiento de documentos • Borrado fraudulento de archivos • Robo de dinero • Competencia desleal • Destrucción de Archivos • Perdida de datos y bienes 32 2.6.3 Siniestro Informático 2.6.3.1 Concepto.-Según Miguel Antonio Cano C: “El siniestro informático implica actividades criminales como robos, hurtos, falsificaciones, estafa, sabotaje, etc. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho. “ 2.6.3.2 Tipos de Siniestros Informáticos El Dr. Julio Téllez Valdez menciona que los siniestros informáticos Incluye los cometidos contra el sistema y los cometidos por medio de sistemas informáticos ligados con Telemática, o a los bienes jurídicos que se han relacionado con la información: datos, documentos electrónicos, dinero electrónico, etc. Predominan: 2.6.3.2.1 Bomba ilícita o cronológica. Exige conocimientos especializados ya que requiere programar la destrucción o modificación de datos en el futuro. Lo contrario de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso entre todos los dispositivos informáticos criminales, la bombas lógicas son las que poseen el máximo potencial de daño. Su activación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. Puede utilizarse como material de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. 2.6.3.2.2 Piratas informáticos o hackers. El acceso se efectúa a menudo desde un lugar exterior, recurriendo a uno de los diversos medios 33 Aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. Los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. En todos estos casos se producen pérdidas de dinero provocadas por las conductas descritas. Robo de información.- En principio, todos los computadores contienen alguna información de interés para alguien. Es cierto que no siempre tendrá el mismo valor, pero siempre puede existir alguien interesado en conseguirla. Por consiguiente, uno de los ataques más comunes está dirigido a extraer información confidencial de un sistema. Destrucción de información.-Existen métodos indirectos que permiten explorar los contenidos del disco duro. 34 CAPÍTULO III METODOLOGÍA 3.1 DISEÑO DE LA INVESTIGACIÓN 3.1.1 Modalidad de la investigación Por investigación se entiende: “El proceso mediante el cual a través del cumplimiento de pasos en forma sistemática se obtiene un conocimiento. Es un proceso humano, metódico y su fin es la producción de nuevos conocimientos y solución de problemas prácticos. ( Finol y Navas, 1993, Proceso y Producto de la Investigación Documental)” También citamos: “Para Webster la investigación es un examen cuidadoso o crítico en la búsqueda de hechos o principios; una diligente pesquisa para averiguar algo”. Esta definición se complementa con la presentada por Sánchez (1993), La educación como factor del desarrollo integral socioeconómico, cuando expresa, “toda investigación busca el desarrollo tecnológico y satisfacer necesidades urgentes de la sociedad y los individuos particulares”. La investigación realizada para este trabajo de tesis es de tipo bibliográfica, ya que desde el inicio de la misma me decidí por un tema investigativo teórico. Este tema se ha venido desarrollando en su mayor parte por recopilación de información teórica, alcanzando un 70% de estudio teórico e investigación de literatura directamente relacionada con la Informática forense, tema central del presente estudio para elaborar la tesis de grado. Adicionalmente, el presente trabajo no solo aborda la parte teórica, que involucra la mayor parte de este estudio para la tesis; también comprende una parte que es de campo, completando así el 30% restante del estudio. Esta parte de campo 35 involucra una breve demostración acerca del uso de la informática forense como una herramienta tecnológica para afrontar los nuevos retos de seguridad informática que se presentan en la actualidad. La elaboración de esta tesis, con carácter investigativo y de estudio, su estructura principal se fundamenta en una ciencia en crecimiento como lo es la informática forense. Para el desarrollo de este estudio se recopilo información textual acerca de su origen, fundamentos, primeros lineamientos de acción y de análisis; así como de herramientas utilizadas para complementar esta ciencia en crecimiento. 3.1.2 Tipo de investigación La investigación utilizada para la elaboración de la tesis es de tipo exploratorio, ya que el tema principal de la misma no es ampliamente conocido por el autor del presente estudio. Se describe como exploratoria porque me involucro en un campo poco conocido, en el cual necesito conocer y ampliar mis conocimientos en la parte conceptual de esta ciencia, su aparición, sus precursores y las razones por la cual se convirtió en una herramienta muy utilizada en los últimos tiempos. Dentro de la investigación, entro en un campo de acción o de incidencia de esta ciencia, poco explorado por mi persona, este campo es el ámbito legal. Estos dos conceptos el de la informática forense y las normativas legales se conjugan muy a menudo. Esto es por el impacto que tiene la informática forense dentro del análisis de un delito informático, depende de este análisis, la recopilación de evidencia no contaminada, la que podrá ser utilizada dentro un proceso legal, es por esto que estas dos ciencias tienen una conexión muy especial. La investigación de este tema de estudio tiene la característica de ser descriptivo, ya que menciona algunos conceptos elaborados por expertos en el tema forense, también ciertos lineamientos legales mencionados por conocedores del ámbito legal. El estudio comprende la descripción conceptual de la informática 36 forense, técnicas utilizadas, fundamentos que comprende la informática forense, bases de la misma, así como mecanismos de utilización y aplicación de la informática forense como una herramienta practica y esencial dentro de la administración de seguridad informática. Dentro del estudio de informática forense, se describen herramientas que aplican los fundamentos de esta ciencia. Se muestra el uso y aplicación de dichas herramientas, así como de los resultados que estas concluyan. Al detallar el uso de las herramientas que utilizan los conceptos de informática forense, este estudio de tesis se presenta como explicativa, ya que provee los pasos concernientes a la aplicación de conceptos, así como de guías para el uso de dichas herramientas para lograr un resultado objetivo y valido. En el presente estudio también se analiza la situación en que se encuentra nuestra legislación en lo concerniente a los delitos informáticos, y de qué manera se puede establecer mejoras para canalizarlas en una ley que responda a la actualidad informática en la que se encuentra nuestra sociedad. El estudio de informática forense que elaboro en esta tesis posee la característica de evaluativo. Tiene esta característica porque someto a evaluación y comprobación una de las herramientas que existen para ejecutar un análisis forense, con la cual puedo demostrar los conceptos en los cuales se basa la informática forense. Desarrollar una prueba de laboratorio controlada en la cual se evaluara una muestra, en este caso un ataque, una imagen de un disco que posee un sistema operativo que ha sido atacado. Con esto se procede a realizar una prueba ejecutando varios pasos que se detallan más adelante, para obtener, después del análisis, las evidencias que podrían ser evaluadas en procesos legales. Podemos mencionar que este proyecto de tesis utiliza la investigación aplicada, con el adicional de ser tecnológica. Una definición de este concepto se 37 puede encontrar en siguiente enlace web http://www.google.com.ec/search?client=firefox-a&rls=org.mozilla%3AesES%3Aofficial&channel=s&hl=es&source=hp&q=investigacion+aplicada&meta=&b tnG=Buscar+con+Google, el cual nos detalla este tipo de investigación en los siguientes términos: “La investigación aplicada tecnológica, o simplemente investigación tecnológica, se entendería como aquella que genera conocimientos o métodos dirigidos al sector productivo de bienes y servicios, ya sea con el fin de mejorarlo y hacerlo más eficiente, o con el fin de obtener productos nuevos y competitivos en dicho sector” . Este concepto nos dice muy claramente que el uso de este tipo de investigación es para generar conocimientos que sean útiles para el sector productivo, tanto para mejorarlo así como para ser más eficientes. Esto quiere decir que este estudio de informática forense pretende generar un conocimiento acerca de este campo con el uso de herramientas que permitan fomentar la eficiencia de productos o servicios que permitan la difusión de esta ciencia. Ya que para este estudio realizare una prueba de laboratorio, también podemos describir la investigación como de laboratorio por el lugar en que se realizara dicha prueba. Esta investigación es de naturaleza de acción, ya que el resultado de esta tesis generara una solución para problemas existentes dentro del campo de la seguridad informática, los cuales se suelen presentar de manera concurrente en estos días. Una característica adicional de esta investigación es que es un proyecto factible, ya que propone un modelo práctico aplicable que permite solucionar problemas de seguridad informática así como de índole legal por motivo de que propone mejoras a las contemplaciones legales con respecto a los delitos informáticos. La factibilidad de este proyecto radica en que se provee una herramienta muy útil para afrontar retos modernos dentro del campo informático, así 38 como de presentar opciones para tomarlas en medidas de seguridad así como de manejo de incidentes. Parte de su factibilidad esta también porque se involucra mucho con el ámbito legal ya que propone mejoras para la estructura legal que existe en nuestro país para el reconocimiento y sanción de delitos informáticos. 3.1.3 Población y muestra Debido a que este estudio para desarrollo de tesis, involucra un tema muy extenso, que posee un campo de acción de gran tamaño así como de diversidad dentro de nuestra sociedad se procederá a limitarla tomando en cuenta ciertos parámetros. Este estudio está especialmente dirigido hacia personas involucradas o interesadas en el campo tecnológico, siendo más específicos, para personas que desarrollen sus conocimientos y habilidades en la seguridad de la información, para aquellas personas que se dedican a solucionar problemas y falencias en seguridad dentro de los sistemas informáticos. Para delimitar la muestra nos remitiremos al ambiente de empresas de mediano tamaño. Este tipo de empresas poseen en promedio unos 150 usuarios registrados con diferentes características y jerarquía de acceso a los sistemas de la compañía. Así como también el uso de recursos compartidos, especialmente las unidades almacenamiento. Si analizamos una empresa típica, encontraremos que dentro del departamento de sistemas que posee dicha empresa, se encuentran los equipos servidores, alojados en un cuarto especial, los cuales proporcionan las aplicaciones necesarias para el correcto funcionamiento del negocio. 39 Para nuestro ejemplo, en este departamento se encuentra el jefe de sistemas, al administrador de base datos y un encargado de soporte al usuario. Estos tres personajes son los encargados de manejar la seguridad tanto de los equipos así como de los accesos y de las aplicaciones que se encuentran en el departamento de cómputo. Dentro de la población de individuos que trabajan en el campo de tecnologías de información, delimitamos la muestra a un grupo pequeño de profesionales que están involucrados en el campo de la informática, en un departamento que es esencial dentro de la infraestructura de la compañía, como es el de sistemas. Variables Dimensiones V. D. Medidas Indicadores Técnicas y/o Instrumentos de Un 80% de las Firewalls Modos o seguridad dentro empresas poseen Antivirus mecanismos de de los sistemas mecanismos de Políticas de seguridad defensa contra defensa Contraseñas, jerarquías de agresores usuarios externos o Terminal Server internos hacia los la integridad de los sistemas V.D. Programas Mecanismos de técnicas ataques buscas o Su utilización es Exploits, algoritmos de búsqueda que masiva fallas o falencias en los sistemas de puertos abiertos 40 3.2 OPERACIONALIZACIÓN DE VARIABLES 3.2.1 Variables Independientes 3.2.2 Variables Dependientes Variables Dimensiones V. I. Área informática, que estudiantes, diseña o utiliza personas Indicadores Técnicas y/o Instrumentos Tecnicas de hackeo Atacante Exploits que Rootkits un mecanismo de desean obtener agresión hacia un recursos de forma sistema fraudulenta Virus, keyloggers, backdoors Algoritmos computacional, ocasionando daños, perdidas y disminuyendo los tiempos de Usuarios mal Un 3% de usuarios keyloggers intencionados que causan daños Tecnicas de hackeo de forma respuesta consciente o sin intención V.I. Leyes, normativas y disposiciones generales sobre los delitos informáticos, así como del manejo de información digital Legal Constitución, códigos, leyes de otros países 41 3.2.3 Instrumentos de la investigación Procediendo a enumerar los instrumentos de navegación, podemos decir que son los de más acogida y uso en estos momentos. El más utilizado es la lectura comprensiva, sea esta informativa, investigativa y analítica. El uso de este instrumento es el que más abarca recursos para la investigación, ya que la estructura de la tesis es un estudio, por ende la mayor parte de esta se conforma por la lectura. La lectura comprende documentos tales como, reportes de ataques a sistemas informáticos, análisis de evidencias con el uso de herramientas forenses, tratados y artículos sobre conceptos y fundamentos de la informática forense, manuales de las herramientas forenses. Además de los documentos mencionados, por el hecho de que el estudio también incluye conclusiones legales acerca de este tema, se hace la lectura y análisis de publicaciones de autores conocedores del ámbito legal de la informática, como el derecho informático, leyes y normativas sobre la propiedad de información, leyes de propiedad intelectual, etc. En adición, la procedencia de estos documentos no solo incluyen a nuestro país sino también a varios de Latinoamérica y de habla inglesa que se encuentran en otro nivel respecto a les leyes de este tipo. Actualmente, sin lugar a dudas, el mayor instrumento de investigación es el internet. Basta con decir que de todos los documentos mencionados arriba, el 95% de ellos fue obtenido o encontrado en el internet. Siendo esta la mayor fuente de información recopilada para la conformación de este estudio de tesis. 3.2.4 Técnicas para el procesamiento y análisis de datos 42 La técnica utilizada para el análisis y procesamiento de datos es la revisión de los instrumentos utilizados mediante la información recopilada y revisada para el desarrollo de esta tesis, ya que se procesa la información ordenada para complementar el desarrollo del documento. Luego de la revisión y procesamiento de la información se obtiene las conclusiones necesarias plasmadas en este trabajo de tesis, las cuales serán la materia prima para generar las recomendaciones y conclusiones finales, en este caso de carácter legal que es lo que se presentara al final en el capitulo V, que también abarcara las recomendaciones sobre seguridad informática pertinentes para el uso de las herramientas forenses. 43 CAPITULO IV MARCO ADMINISTRATIVO 4.1 CRONOGRAMA Diagrama de gant realizado en Project 2007 sobre la distribución de tiempo y tareas para el desarrollo del proyecto Venido desde Project 4.2 PRESUPUESTO Detalles de Egresos EGRESOS Suministros de oficina y computación DÓLARES $ 100.00 Fotocopias 10.00 Libros y documentos 10.00 Computadora y servicios de Internet 40.00 Transporte 50.00 Refrigerio 30.00 Impresiones, empastado, anillado de tesis de 50.00 grado TOTAL……………………………………… $ 290.00 44 CAPITULO V MARCO LEGAL 5.1 Conceptos y definiciones 5.1.1 Delito informático Un delito informático es aquel ataque dirigido contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos, redes y datos que estos sistemas involucren, así como el abuso de los mismos. Los ámbitos de acción de estos delitos o ataques son el Hardware y el Software que son los elementos esenciales de los sistemas informáticos. Estos elementos presentan vulnerabilidades que si no son encontradas y eliminadas podrán ser la puerta de entrada para los malintencionados agresores que pretenden causar daño a la integridad de dichos sistemas. 5.1.2 Criminología La criminología resulta en una ciencia que interactúa en muchos campos del desarrollo de la sociedad, se basa en fundamentos tomados de la sociología, psicología y de la antropología social, dando como resultado un marca conceptual para delimitar al derecho penal. Estudia las causas que ocasionan un crimen y patrocina las soluciones a la conducta antisocial del individuo. Las principales aéreas de investigación involucran la incidencia y formas del crimen así como las causas y efectos de los mismos. También suma las reacciones sociales y normas gubernamentales que existen respecto al crimen. 45 5.1.3 Criminalística La criminalística tiene como objetivo el encontrar pruebas y explicaciones de los delitos, así también identificar a sus autores y victimas. Utiliza métodos, procedimientos y técnicas científicas para la reconstrucción de los hechos. El conglomerado de disciplinas que la conforman se denomina ciencias forenses. 5.1.4 Evidencia digital La evidencia digital es cualquier es cualquier mensaje de datos almacenado y transmitido por medio de un sistema de información que tenga relación con el cometimiento de un acto que comprometa gravemente dicho sistema y que posteriormente guie a los investigadores al descubrimiento de los posibles infractores. En definitiva son campos magnéticos y pulsos electrónicos que pueden ser recogidos y analizados usando técnicas y herramientas especiales.1 5.1.5 Perito Informático Perito especializado en el área de las tecnologías de la información que de acuerdo con el tema requerido puede ser seleccionado según su competencia y experiencia para una labor de análisis. 5.1.6 Informática Forense Constituye una ciencia que permite adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un medio digital o a su vez magnético. 1 CASEY Eoghan, Handbook of Computer Investigation, Elsevier Academia Press, 2005 46 5.1.7 Auditoria Forense Técnica que es utilizada para la prevención y detección de fraudes de maneras especializadas. En estos procesos intervienen contadores, auditores, abogados, investigadores, informáticos. 5.2 Leyes y normativas sobre derecho informático 5.2.1 Derecho informático en Europa En España desde hace ya varios años se vienen dando, en las Facultades de Derecho, conferencias y simposio importantes sobre el uso que tiene la informática aplicada al campo del derecho; podemos citar como ejemplo que a través del Seminario de Informática y Derecho de la Universidad de Zaragoza, se han organizado y realizado, los 3 primeros Congresos Iberoamericanos de Informática y Derecho: El primero celebrado en Santo Domingo, República Dominicana en 1984; el segundo dado en Guatemala, Guatemala en 1989; y el tercero, celebrado en Mérida, España en 1992; por lo que se puede decir como conclusión que este ámbito del derecho está tomando su autonomía propia para desarrollarse como una nueva rama jurídica. Es de gran importancia mencionar a la legislación que ha desarrollado España, sobre informática y derecho, destaca el proyecto de ley sobre firma electrónica que ha sido aprobado por la Unión Europea (compuesta por doce artículos y dos disposiciones). En la que detalla: Se creara un carnet de identidad para poder navegar con seguridad por Internet, y que surtirá la misma eficacia jurídica que una firma manuscrita sobre papel y será admisible como prueba para efectos procesales, a través de cualesquiera de los medios admitidos en Derecho, dicha firma electrónica tendrá el tamaño y el precio aproximado de una tarjeta de crédito y funcionará con un módem especial, de precio reducido. 47 Dentro del ámbito universitario, España cuenta con un "Máster en Informática y Derecho", ofrecido por el Instituto Español de Informática y Derecho (IEID) y la Facultad de Derecho de la Universidad Complutense de Madrid, en el cual se estudian, tanto a la informática jurídica como al derecho de la informática, y también materias complementarias y prácticas en organizaciones y empresas. Además, el departamento de Derecho Político de la Facultad de Derecho de la Universidad Nacional de Estudios a Distancia (UNED), ofrece un programa de estudios titulado "Derechos constitucionales e informática. Francia cuenta con el DEA de Informática Jurídica y Derecho de la Informática, de la Facultad de Derecho de la Universidad de Montpellier I. La Universidad de Montpellier I, actualmente se encuentra adscrita a la Red CHASQUI2 (perteneciente al Programa Alfa de la Unión Europea). Uno de los países más desarrollados en cuanto a la legislación sobre derecho informático es Italia. Siendo el primer país, en la opinión de Antonio A. Martino3, que dio una solución integral al problema relativo a la autoridad de certificación, sobre la firma digital asimétrica, problema que ha desatado una gran competencia internacional en toda Europa, pues existen grupos y categorías que quisieran tener el monopolio de esta autoridad. Se llevan a cabo cada año, congresos internacionales sobre inteligencia artificial y derecho. Es 2 Es una red académica constituida entre Universidades e Instituciones de la Unión Europea y de América Latina, cuyo objetivo es promover el estudio y la introducción de las tecnologías de la información y la comunicación en el ámbito de la justicia. 3 Abogado graduado en la Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales en 1962. Doctor en Derecho y Ciencias Sociales, Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales, 1974. Universidad del Salvador, Departamento de Investigación y Desarrollo. Vicerrectorado de Investigación y desarrollo. Desde 1994. 48 necesario destacar que la Universidad de Pisa (Universitá degli Studi di Pisa), está constituida como la coordinadora de la ya mencionada Red Chasqui. Japón se encuentra dentro de la quinta generación del desarrollo de la informática en el mundo, la cual considera la comunicación con la computadora en lenguaje natural y la utilización de sistemas expertos. 5.2.2 Derecho informático en Norteamérica En la actualidad Estados Unidos cuenta con la mejor base de datos jurídica a nivel mundial (Lexis-Nexis), y existen proyectos desde hace años sobre el uso de la inteligencia artificial aplicada al derecho (p.e. el Taxman Ii de McCarty y Sheridan y Rand Corporation de Waterman y Peterson), razón por la cual se puede establecer que se encuentra en la tendencia culminante o innovadora del desarrollo de la materia. Mencionamos a los institutos o centros de investigación que poseen programas dedicados a este ámbito de la jurisprudencia: • Instituto para la ley del Ciberespacio. Universidad de Georgetown. • Chicago-Kent Centro para el derecho y la Informática. Universidad de Kent. • Centro para el derecho de las Tecnologías de la información y la Privacidad J.M.F. Escuela de Derecho. • Instituto para el derecho y la Tecnología. Universidad de Dayton. • Centro para la enseñanza del Derecho asistida por Ordenador. • Law and Technology. Stanford Law School. California. • Centro para el Derecho y la tecnología de la Universidad de Stanford. • Asociación para el Derecho Informático y Derecho de internet. Universidad de Florida. • Asociación para el Derecho y la Tecnología. Universidad de Florida. • Asociación de Derecho Informático. 49 5.2.3 Derecho informático en México Es claro destacar que actualmente la mayoría de información se la maneja a través del internet, este se ha convertido en una herramienta muy útil, la cual permite manejo de información importante que son procesadas por entidades bancarias, instituciones gubernamentales, empresas privadas y un sin número de instituciones que procesan información a través de esta herramienta, que se convierte también en una puerta abierta para que personas con conocimiento en la materia puedan cometer hechos ilícitos que afecten al derecho ajeno y que en ciertas ocasiones quedan impunes por el simple hecho de no existir la norma legal que sancione el hecho especifico. Por tales motivos la entes legislativos de México vieron la necesidad de crear cuerpo legales que tomen en cuenta este tipo de acciones ilícitas y que sean penadas de acuerdo a su gravedad, es así, que realizan la forma a la ley penal emitiendo reformas de fecha 17 de mayo de 2000 publicadas en el Diario Oficial de la Federación. Se crearon artículos que en lo principal, tipifican comportamientos de los llamados Hackers o Crackers. En resumen las reformas de este cuerpo legal sanciona a un sujeto que acceda ilegalmente a un sistema y los altere, cause daño y/o modifique provocando pérdidas de información contenida en dichos sistemas. Pero más allá de las reformas realizadas y cambios hechos en las normativas legales y los buenos deseos de los legisladores mexicanos, en todos lados no solo en México el fenómeno de la tecnología trae nuevas formas y métodos de delinquir a través de la misma haciendo casi inútiles los esfuerzos de los colegiados para poder contrarrestar dichas acciones ilegales. Las facultades de derecho en México están creando nuevas materias, nuevas especialidades, así como también nuevos tipos penales para impulsar la creación de normas enfocadas a los delitos informáticos, para poder respaldar el 50 trabajo de las instituciones encargadas de la investigación criminal. Es tanto así que en México existe una Unidad de Policía Cibernética, dependiente de la Policía Federal Preventiva4 5.2.4 Derecho Informático en Latinoamérica La Universidad Externado de Colombia, cuenta con un departamento de informática jurídica, el cual se dedica a la recopilación, clasificación, análisis y sistematización de legislación y jurisprudencia de los altos tribunales judiciales; el departamento ofrece a la comunidad su colección de bases de datos jurídicos. Perú lleva la materia de informática jurídica en la Facultad de Derecho y Ciencias Políticas de la Universidad de Lima. Chile cuenta con el Centro de Informática Jurídica de la Facultad de Derecho de la Universidad de Chile, el cual se encarga del procesamiento y recuperación de información de las principales leyes de ese país. Respecto a la legislación del derecho informático, Chile ha emitido una de las pocas leyes de América Latina, que regulan los llamados delitos informáticos (LEY-19223), la cual cuenta únicamente con 4 artículos, emitida por Enrique Krauss Rusque, Vicepresidente de la República, Santiago de Chile, 28 de mayo de 1993. En el aspecto legislativo sobre el derecho informático, en Costa Rica existe una propuesta de legislación del recurso del Habeas Data -presentada a la asamblea legislativa -, proyecto de ley que pretende reformar la Ley de la Jurisdicción Constitucional, con el fin de incorporar dicho recurso del Habeas 4 El gobierno mexicano ha formado en Grupo de Coordinación Interinstitucional de Combate a Delitos Cibernéticos formado por: la Procuraduría General de la República, la Procuraduría General de Justicia del Distrito Federal, la Policía Federal Preventiva, el Centro de Investigación y Seguridad Nacional, la Asociación Mexicana de Internet, la Secretaría del Trabajo y Previsión Social, la Secretaría de la Defensa y de la Marina, la Presidencia de la República, E-México, la Universidad Nacional Autónoma de México, Teléfonos de México, Avantel, Alestra y la Alianza Mexicana de Cybercafés 51 Data en Costa Rica, el cual resulta interesante debido a que intenta recoger una necesidad sentida de proteger la intimidad, dignidad y autodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos personales. Argentina cuenta con uno de los mejores bancos de datos legislativos de América Latina, el Sistema Argentino de Informática Jurídica (SAIJ), en el aspecto académico, se imparte en la Facultad de Derecho y Ciencias Políticas de la Universidad Católica de Buenos Aires, un "Postgrado de Derecho de la Alta Tecnología", también en la Facultad de Derecho y Ciencias Sociales de la Universidad de Buenos Aires, se ofrece un "Curso de Actualización en Informática Jurídica". Por otro lado, en la Universidad del Salvador, se imparte la "Maestría en Ciencia de la Legislación", en forma conjunta con la Universitá degli Studi di Pisa, Dipartimento di Sienze della Politica de Italia, también existe en la Universidad Nacional de Lánus, la maestría denominada "Nuevas Tecnologías para la Justicia", la cual cuenta con profesores de Italia, Inglaterra, Francia, Argentina, Chile, Paraguay y Uruguay, así como funcionarios de justicia de Italia y Argentina. Esta Universidad se encuentra adscrita también a la Red Universitaria Internacional CHASQUI. En cuanto a la legislación sobre el derecho informático, la Corte Suprema de Justicia, había ratificado los fallos de instancias inferiores que declaraban que no correspondía perseguir penalmente a quienes reproducían programas sin el permiso del autor, en virtud de existir un vacío legal, el cual ha sido subsanado al emitirse la ley que pena la piratería del software. Los diputados de este país (comisiones de legislación penal, de comunicaciones, de ciencia y tecnología y de legislación general), se encontraban trabajando sobre un nuevo proyecto de ley sobre delitos informáticos, en dicho proyecto se toman en cuenta el acceso ilegítimo a datos, el daño y el fraude informático, entre otros temas. 52 Uruguay cuenta con el CINADE (Centro de Informática Aplicada al Derecho), en dicho centro se desarrollan importantes proyectos de la materia, tuvieron a su encargo el desarrollo del VI Congreso Iberoamericano de Informática y Derecho, celebrado en el mes de mayo del 1998. 5.2.5 Derecho Informático en Ecuador El Congreso Nacional ahora Asamblea Nacional, debatió la Ley de Protección contra las conductas ilícitas relacionadas con la informática, adecuando la normativa legal a la era moderna, ya que existe una ausencia considerable la tipificación de estos delitos, permitiendo así la impunidad. Uno de los asuntos más preocupantes es que mediante el uso del internet cualquier persona puede ser víctima de un delito cuyo autor se puede encontrar en cualquier parte del mundo, lo que lleva a la necesidad de acuerdos internacionales de extradición. Dentro del proyecto de ley mencionado se establece entre otras cosas lo siguiente: En el Art. 1 algunos términos como: abuso de confianza, atentado contra la seguridad nacional, contrato informático, divulgación de datos privados, documento electrónico, espionaje, fraude,, negligencia informática, tarjeta de crédito, virus, etc. En el Art.2 menciona los delitos y las formas de cómo serán reprimidos, con prisión de seis meses a cinco años y multa de 500 dólares. Los delitos contra la seguridad nacional se penalizan con reclusión mayor de 12 años a 16 años y multa de 1000 a 2000 dólares. 53 La legislación en el Ecuador posee varias leyes y códigos que hacen referencia al derecho informático ya sea esta especificando las normas que rigen dicho ámbito o también determinando los delitos y castigos que esta impone si se comete un acto ilícito. Entre las cuales mencionamos Ley Orgánica de transparencia y Acceso a la Información Pública Ley de Comercio electrónico Firmas Electrónicas y Mensajes de Datos Ley de Propiedad Intelectual Ley Especial de Telecomunicaciones Ley de Control Institucional (Habeas Data) Además de las leyes mencionadas se debe incluir al Código de Procedimiento Penal (CPP) y a su vez el Código de Procedimiento Civil (CPC). En el cuadro siguiente destacamos algunas de las infracciones contempladas en ciertos artículos del Código de Procedimiento Penal que se refieren a las infracciones informáticas, con sus respectivas sanciones: 54 INFRACCIONES INFORMATICAS REPRESION MULTAS Delitos contra la información protegida (CPP Art. 202) 1. Violentando claves o sistemas 6 m - 1 año 2. Seg. Nacional o secretos comerciales o industriales $500 a $100 $1000 a 3 años $1500 $2000 a 3. Divulgación o utilización fraudulenta 3 a 6 años 4. Divulgación o utilización fraudulenta por custodios $10000 $2000 a 9 años $10000 $1000 a 5. obtención y uso no autorizados 2 m a 2 años $2000 Destrucción maliciosa de documentos (CPP Art. 262) 6 años Falsificación Electrónica (CPP Art. 353) 6 años Daños Informáticos (CPP Art. 415) 1. Daño dolosamente 6 m a 3 años $60 a $150 5 años $200 a $600 2. Serv. Publico o vinculado con la defensa nacional 3. No delito mayor 8 m a 4 años $200 a $2000 Apropiación ilícita (CPP Art. 553) 1. Uso fraudulento 6 m a 5 años $500 a $1000 $1000 a $ 2. uso de medios (claves, tarjetas magnéticas, etc.) 5 años 2000 Estafa(CPP Art. 563) 5 años $500 a $2000 55 5.3 El papel fundamental de la evidencia física dentro de un proceso legal basado en delitos informáticos. 5.3.1 Procesos de recuperación de evidencia El hardware comprende todos componentes físicos de un sistema informático, mientras que la información, se refiere a todos los datos, mensajes de datos y programas almacenados procesados, transmitidos y usados por un sistema informático. Así podemos definir que el hardware usado fraudulentamente no está autorizado por la ley; Por ejemplo podemos citar los decodificadores de señal por cable, la manipulación y el uso de estos representa una violación a los derechos de propiedad intelectual, especificado como un delito. De la misma forma el hardware obtenido mediante hurto, robo, fraude u otra clase de infracción también corresponde a un delito. Cuando el hardware es usado para cometer un delito, se dice que es usado como un arma o una herramienta, tal como un cuchillo o arma de fuego. Se puede tomar como ejemplo los sniffers y otros dispositivos que interceptan tráfico en la red o comunicaciones. Cuando se comete un delito usando un elemento físico, como en este caso, el hardware se constituye en una prueba dentro del proceso que va a probar el delito. De la misma forma la información se considera ilegal cuando su tenencia no es permitida por la ley, se cita como ejemplo la pornografía infantil. También cuando es el fruto de cometer un delito como una copia pirata de un programa. 56 Cuando la información es usada para cometer un delito como sería el caso del uso de programas para romper contraseñas o dan acceso no autorizado. La información es evidencia, esta característica es la más importante dentro del ámbito legal para la comprobación de un delito y en la que se basa este estudio de tesis. Se puede conseguir mucha información de evidencia, por ejemplo la información de los proveedores de internet de servicios bancarios, etc. Dentro del proceso de recolección de evidencia se deben tomar en consideración muchos pasos y procesos los cuales serán muy útiles para la validez de la misma. El investigador debe obtener la correspondiente autorización judicial para incautar elementos de hardware o software para poder acceder al contenido de dichos elementos. Antes de realizar la incautación de equipos un investigador debe tomar en cuenta estos siguientes pasos5: 1. ¿a qué hora debe realizarse? Para minimizar destrucción de equipos, datos El sospechoso tal vez estará en línea Seguridad de investigadores 2. Entrar sin previo aviso 5 Manual de Manejo de Evidencias Digitales y entornos informáticos, año 2009. Dr. Manuel Acurio del Pino 57 Utilizar seguridad Evitar destrucción y alteración de los equipos, o la evidencia contenida en esta. 3. Materiales Previamente preparados (Cadena de custodia) Embalajes de papel Etiquetas Discos vacios Herramientas Cámara fotográfica 4. Realizar simultáneamente los allanamientos e incautación en sitios diferentes Datos pueden estar en más de un lugar 5. Examen de equipos 6. Aparatos no especificados en la orden de allanamiento 7. Creación de respaldos en el lugar , creación de imágenes de datos Autorización para duplicar, reproducir datos encontrados 8. Fijar/grabar escena Cámaras, videos etiquetas 9. Códigos, claves de acceso, contraseñas 10. Busca documentos que contienen información de acceso, conexiones de redes, etc. 58 11. Cualquier otro tipo de consideración especial (consideraciones de la persona involucrada: médicos, abogados, información privilegiada, etc.) 5.4 Reconocimiento de la evidencia para el proceso legal El incorporar la tecnología a la vida cotidiana, a procesos de administración, de gestión, de producción, incluso de telecomunicaciones. Se ha visto la necesidad de incluir a los dispositivos informáticos como elementos de carácter probatorio, ya que estos pueden formar parte de pruebas de manifestaciones o hechos de relevación legal o jurídica. La gran problemática existente al tratar de incorporar este clase de hechos dentro de un proceso legal, es que se piensa que dichas pruebas han sido creadas, modificadas o en su caso destruidas y que por estas razones sea difícil el ser utilizadas en un proceso judicial. El término “evidencia digital” está relacionado con el término digital y a su vez se ha asimilado al término “virtual” lo que quiere decir como no real o casi real, convirtiéndose en un total contraste con la evidencia física. A pesar de esto cabe mencionar que dicha evidencia digital siempre estará almacenada en un soporte real, que vienen a ser los dispositivos de almacenamiento sean estos magnéticos, de algún otro tipo, convirtiendo este tipo de evidencia en física. Debido a los avances tecnológicos se modifican las formas de perpetuar un delito, lo que conlleva también al cambio de las legislaciones, tipificando como un delito un gran grupo de hechos en los que intervienen los computadores. Podemos citar como analogía los cambios que se producen en el establecimiento de delitos como por ejemplo la violación de la 59 correspondencia electrónica, así como el acceso no autorizado a información o programas contenidos en sistemas informáticos. Así también existe la falsificación de documentos que ya no solo es a nivel físico, sino que de manera electrónica se falsifican registros así también como documentos electrónicos. Debido a todos estos factores y a que el comercio global se ve en la necesidad del uso de internet hace que los elementos que aplican la lean sean estos abogados, jueces o policías se involucren mas en este vasto universo. La evidencia digital se cataloga como un tipo de evidencia física, y posee la característica de ser menos tangible que otros tipos. Una de las grandes ventajas de la evidencia digital es que esta puede ser reproducida o duplicada de forma exacta, lo que permite realizar numerosos análisis y pruebas sin tener presente el riesgo de alterar o dañar dicha evidencia. En adición, a pesar de lo que se piensa es fácil encontrar que la evidencia digital ha sido alterada ya que se puede hacer comparaciones con la original y analizando sus metadatos se pueden hallar las diferencias. El hardware en conjunto con los sistemas operativos realizan la ubicación de archivos y programas, para poder ser visualizados o ejecutados, dando acceso a archivos. Aquí intervienen los meta archivos que cumplen la función de índices, que contienen toda la información necesaria para localizar datos específicos encontrados en los discos duros. Es por eso que la evidencia digital no puede ser destruida fácilmente ya que si se ejecuta una acción de borrado lo que se pierde es la información de ubicación de dicho archivo mas no el archivo en si, por lo que con las herramientas adecuadas se puede recuperar esa información sin que el usuario este consciente de aquello. 60 Así como en criminalística es manejada la evidencia, para el caso de la evidencia digital se aplica los mismos procesos y criterios de recolección los cuales se pueden resumir en varias fases: Reconocimiento: Se debe aislar los equipos o hardware, en el caso de que se tenga acceso, y hacer una descripción completa de los sistemas operativos y aplicaciones que se encuentran instaladas. Así como la identificación de datos relevantes al caso, dependiendo de qué fue lo que se utilizo para cometer el hecho. Aquí los peritos deben tener mucho cuidado ya que por sobrepasarse en el análisis pericial este pude convertirse en un delito electrónico. Para la recolección de evidencia en un caso penal debe realizarse en su estado original. Justamente para lograr la integridad y conservación precisa de estos datos. El proceso para lograr esto es la copia bit a bit, con el cual se garantiza que los datos contenidos en un medio de almacenamiento, sean copiados exactamente como están desde su origen. Los archivos temporales que manejan los sistemas operativos, la memoria virtual, que es la que contiene trazas de procesos realizados, imágenes, y otros tipos de datos, el perito debe hacer uso de herramientas especializadas para recuperar esta información a pesar de que haya intentos de borrado. Un aspecto importante es la garantía que el perito debe ofrecer a las partes y al juez, debido a que los análisis se realizan sobre copias fieles y exactas, es la correspondencia entre los originales y las copias. 61 Esto se lo realiza a través de la tabla de valores matemáticos de comprobación llamado “Hash”6. El valor Hash debe ser idéntico entre los archivos originales y los copiados. Clasificación: El perito debe ubicar según las características generales de los archivos y de los datos para individualizar la evidencia para poder establecer los tipos de archivos. Esta clasificación se logra analizando los metadatos, en otras palabras los datos sobre los datos. Esta información contiene datos como títulos, autores, tamaños, fechas de creación, modificación, etc. Algunos programas añaden a los metadatos información del hardware o de los equipos en que se encuentran, lo que sirve para algunos casos como prueba inequívoca de que un archivo fue generado o procesado en un equipo de computación determinado. Reconstrucción: La reconstrucción incluye los pasos que se siguieron o procesos que se realizaron en un computador o también en las redes, la recuperación de evidencia averiada también se incluye en este paso. Una parte importante de la investigación forense digital es el registro de cada una de las acciones, la reconstrucción de los hechos informáticos. Elaborar una línea en el tiempo para evaluar los hechos. Los hechos informáticos tienen su base en procesos matemáticos es por eso que le son aplicables leyes científicas que no pueden ser cuestionadas, pese a esto no significa que toda análisis 6 Una tabla hash o mapa hash es una estructura de datos que asocia llaves o claves con valores. Funciona transformando la clave con una función hash en un hash, un número que la tabla hash utiliza para localizar el valor deseado. (Fuente Wikipedia) 62 forense informático sea totalmente cierto o en su caso adecuado para el proceso judicial. El análisis forense con la debida aplicación de las fases de preservación y manejo de evidencia, además del uso de juicios correctos para la aplicación de otros métodos científicos es lo que va existir como verdadero garante de aquella evidencia presentada. Además de esto el perito debe tomar en cuenta que al presentar dicha información debe hacerlo en el lenguaje entendible para los jueces ya que estos poseen criterios humanísticos y en los cuales pueden existir renuencia a la informática o desconfianza sobre los resultados que se obtengan de estos métodos nuevos de análisis de peritos informáticos. 5.5 Recomendaciones legales básicas Nuestro país aun está en pleno desarrollo tecnológico, estamos viendo nuevos mercados que se abren aquí debido a la exigencia del medio. Se están mejorando procesos, adquiriendo estándares, las empresas cada vez son más competitivas. Todos estos elementos de evolución promueven el uso de tecnologías ya probadas o en su caso nacientes, y el uso de estas nuevas herramientas también involucran nuevas reglas del juego. En el campo de tecnología no se pueden dar las cosas por sentadas porque es un mundo en constante renovación, se crean nuevos estándares en telecomunicaciones, en diseños de redes, nuevos componentes de hardware y así van apareciendo nuevas herramientas para solucionar problemas que van apareciendo en la mejora de procesos. La leyes de nuestro país por el contrario no han ido a la par con el desarrollo tecnológico por el que estamos pasando. Recién en el año 2002 el 63 Congreso Nacional de ese entonces emitió en el Registro Oficial La Ley de comercio electrónico, firmas y mensajes de datos. En la nombrada ley detalla que los mensajes de datos tienen igual valor que los físicos o escritos y que serán valorados de acuerdo al sometimiento que le da esta misma ley y el reglamento, así como de la propiedad intelectual, de los contratos electrónicos y de cómo estos son tratados en la ley. En gran parte la Ley de Comercio Electrónico detalla que documentos, objetos y demás son validos ante los representantes judiciales que existen en el Ecuador, así como también de la jurisdicción que estos poseen. El Código Penal vigente, en ciertas reformas realizada a partir de la promulgación de esta ley se refiere al tipo de daño informático que puede causarse y de las sanciones que estas pueden acarrear. Como lo son el daño intencional de equipos de computación que contengan información importante, el daño de bases de datos, el robo de información y cualquier tipo de acción que limite o detenga el funcionamiento de un sistema o red. Las sanciones van desde 3 a 6 años y con multas económicas, pero realmente esta sanciones no suelen ser aplicadas o no son lo suficientemente fuertes para que sean un castigo verdadero acorde con la magnitud que estos actos con dolo suelen ocurrir. Las leyes actuales que poseemos son muy limitadas acorde con el abanico de elementos tecnológicos que existen en nuestro medio, la ley de comercio electrónico refiere a los documentos que se pueden generar en una transacción electrónica y todo el respaldo que existe para esto. También habla de la propiedad intelectual y de las firmas electrónicas y su validez ante la ley. 64 Dentro de los cuerpos legales existentes en nuestro país no están especificadas muchas acciones de delitos informáticos, como la de un hacker que mediante el uso de internet puede acceder a una red interna de una compañía, comenzando a utilizar algoritmos de prueba de puertos abiertos o programas que se implanten cuando son abiertos ciertos correos como los conocidos rootkits. Estas actividades delictivas son muy comunes existen algunas de mucha mayor complejidad, pero el punto a denotar es que este tipo de actividades delictivas, porque un hacker actúa de manera dolosa, no son identificadas en la ley. La propiedad intelectual es algo que prácticamente no se aplica en nuestro medio, somos actores directos de este delito. Utilizamos copias de programas infringiendo leyes internacionales de derecho de autoría y así como las propias. Esto trae consecuencias de diversa índole, podemos poner como ejemplo que en una empresa se esté utilizando una copia pirata de un sistema operativo, al hacer esto elimina todo soporte, actualizaciones y beneficIos que conlleva una licencia original. El gerente dirá que se ahorra ese gasto en dicha licencia, pero al no existir soporte alguno se vuelve totalmente vulnerable a ataques externos por no mencionar los internos. Un intruso fácilmente puede acceder a dicho equipo con esa copia no autorizada instalada y pude causar grandes perjuicios a dicha empresa sobrepasando el valor de los daños al de que pudo costar la licencia. En bueno recalcar que en estos momentos los representantes de la ley como son la policía esta diseñando y ejecutando operativos en donde se evita este tipo de usos no permitidos de programas de software, pero a pesar de aquello estos esfuerzos pueden parecer minúsculos, porque no se cuenta con un respaldo real como lo sería una buena ley focalizada y determinada a tipificar este tipo de actos indebidos y a su respectivos castigos. 65 Tenemos muchos ejemplos cercanos en la región, Colombia posee reformas legales que permiten llevar a un tribunal de justicia a una persona natural o jurídica que realice un acto de delito informático, posee policía especializada en este tipo de asuntos. A si mismo Perú, Bolivia poseen peritos informáticos que son los investigadores para este tipo de delitos. Tienen modificaciones en los pensum universitarios, dictando cursos, materias en los cuales se trata esta problemática de la cual ya somos víctimas, no podemos negar aquello. Se deben pensar pronto en reformas a las leyes, los llamados a esto son los miembros de la Asamblea Nacional que deben incluir proyectos de ley respecto a este tema en sus debates. Estamos en la era tecnológica donde prácticamente todos nuestros aspectos de la vida los manejamos a través de un computador, nuestro dinero en el banco, nuestro trabajo, nuestra salud, nuestro estilo de vida está prácticamente basado en la tecnología, es por eso que no podemos dejar de lado el ámbito legal del mismo, estamos desprotegidos en ese sentido, nuestras leyes son muy débiles al momento de contemplar un delito informático. Seguro es ver que existen organizaciones que invierten en seguridad tecnológica, diseñan métodos de protección, instalan plataformas de seguridad y terminan invirtiendo mucho dinero en esto y les resulta pero si se analiza a fondo el tema este tipo de inversiones son el resultado del temor que es causado por un débil sistema legal en materia tecnológico. Es verdad que también es parte de un proyecto de seguridad para la organización que es parte de un todo cuando se implementa un centro de datos, pero a pesar de ello estos serian más seguros con el espaldarazo que representa un cuerpo legal debidamente estructurado. 66 BIBLIOGRAFIA CONCEPTOS E INFORMACIÓN TEORICA http://www.acis.org.co/fileadmin/Revista_96/ http://www.areino.com/forensics-1/ http://gecti.uniandes.edu.co/docs/NasTecnologias3.pdf http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20digita... http://gecti.uniandes.edu.co/docs/Evidencia%20digital%20Rueda%20&%20Cano... http://gecti.uniandes.edu.co/docs/NasTecnologias4.pdf http://www.nobosti.com/spip.php?article47 http://www.yanapti.com/fca/ http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx http://www.ausejo.net/seguridad/forense.htm http://www.criptored.upm.es/guiateoria/gt_m180b.htm http://www.seguridad.unam.mx/eventos/reto/--casos practicos http://fraudit.blogspot.com/2008/09/laboratorio-e-forense.html http://www.forensics-intl.com/ev-info.html http://pdf.rincondelvago.com/informatica-forense.html http://www.geronet.com.ar/?p=228 http://www.conectronica.com/seguridad/seguridad-forense-tecnicas-antiforensesrespuesta-a-incidentes-y-gestion-de-evidencias-digitales http://www.virusprot.com/Eintrues.html http://www.sleuthkit.org/informer/ 67 http://www.digital-detective.co.uk/testimonials.asp http://www.monografias.com/trabajos6/delin/delin.shtml http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20%20G3.pdf http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.sy mantec.com/connect/articles/windows-forensics-case-study-part-1 http://www.amazon.co.uk/gp/reader/0072131829/ref=sib_dp_pt#reader-page http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan016411.pdf http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20%20G3.pdf http://www.isecauditors.com/downloads/present/hm2k4.pdf http://www.pc-history.org/forensics.htm http://www.computer-forensics-recruiter.com/home/computer_forensics_history.html http://www.google.com.ec/url?sa=t&source=web&cd=3&ved=0CCkQFjAC&url=htt p%3A%2F%2Fwww.middlesexcc.edu%2Ffaculty%2Fsteven_zale%2FComputer_%2 520Forensics.ppt&rct=j&q=history+of+computer+forensics&ei=bQ4NTLa4D8aqlAe Kw-CLDg&usg=AFQjCNF0b4_GaZSnyI6llsS09BQ1NPvsfA http://www.ehow.com/about_5813564_history-computer-forensics.html http://www.google.com.ec/url?sa=t&source=web&cd=9&ved=0CE4QFjAI&url=http %3A%2F%2Fwww.isaca-atlanta.org%2Fdocs%2F03-2708%2520Computer%2520Forensics.ppt&rct=j&q=history+of+computer+forensics&e i=bQ4NTLa4D8aqlAeKw-CLDg&usg=AFQjCNEaozE0_HzuQj1tr_Qfjv03PY4BqA http://www.computer-forensic.com/old_site/presentations/ASIS_Presentation.pdf http://www2.tech.purdue.edu/cpt/courses/TECH581A/meyersrogers_ijde.pdf 68 HERRAMIENTAS http://www.sleuthkit.org/ http://www.porcupine.org/forensics/ CASOS PRACTICOS http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.ne wyorkcomputerforensics.com/learn/resources.php http://www.forensics-intl.com/thetools.html http://sourceforge.net/projects/dftt/files/Test%20Images/9_%20FAT%20Volume%20 Label%20%231/9-fat-label.zip/download http://old.honeynet.org/ INFORMACIÓN LEGAL http://www.bibliojuridica.org/libros/1/313/4.pdf http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitosinformaticos-en-colombia Rios Estavillo Juan Jose, 1997 Derecho en informática en Mexico, Universidad autónoma de Mexico Primera Edición Tellez Valdes Julio, 1991-Mexico Derecho informático Universidad autónoma de Mexico Primera Edición LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS MENSAJES DE DATOS R.O. Suplemento 557 de 17 de Abril del 2002 Y 69 ANEXO I 70 1. Instalacion de la Herramienta Sleuthkit 1.1. Instalacion de Sleuthkit The Sleuth Kit conforma una serie de herramientas de línea de comandos basada en el original The Coroner´s Toolkit. El primer paso es proceder a la descarga del instalador o su código fuente, ya que es opensource desde el siguiente link mostrado a continuación: http://www.sleuthkit.org/sleuthkit/download.php Una vez descargada la aplicación nos dirigimos al directorio escogido para la instalación y se procede a desempaquetar todo el contenido del tarball: Cd /usr/local Tar xvzf ~/sleuthkit-x.xx.tar.gz Regresamos al root y se procede con la instalación, para eso no desplazamos al directorio que definimos , no sin antes crear el enlace simbolico de forma que siempre apunte al directorio con los fuentes del sleuthkit: Su – Cd /usr/local Ln –s sleuthkit-x.xx/ sleuthkit Sleuthkit Make Si se desee tener disponibles las paginas del manual, asi como tambien los binarios desde cualqier ubicacion en la que nos encontremos deberemos añadir dichos directorios anteriores a las variables de entorno PATH y MANPATH: Vi /etc/enviroment LANG=”es_ES.UTF-8” PATH=/usr/local/sleuthkit/bin:$PATH MANPATH=/usr/local/sleuthkit/man:$MANPATH 71 Se procede a cargar las variables de entorno ya modificadas : Source /etc/enviroment 1.2. Instalacion de Autopsy Procederemos a la instalación de Autopsy que es un frontend el cual permite utilizar sleuthkit mediante un navegador web, el cual se descarga de la dirección a continuación: http://www.sleuthkit.org/autopsy/download.php Prodedemos de igual manera accedemos al directorio donde se lo desea instalar y descomprimimos el tarball: Cd /usr/local Tar xvzf ~/autopsy-x.xx.tar.gz Se ingresa al directorio recién obtenido después de la descompresión del archivo anterior y se ejecuta el proceso de instalación. Durante la ejecución de la misma nos preguntara la ubicación de sleuthkit asi como donde esta instalada la librería NSRL, la cual no es indispensable. El directorio donde se almacenaran las imágenes utilizadas durante las investigaciones. No sin antes crear un enlace simbolico apuntando al directorio que contiene el código fuente: /usr/local/autopsy# ln –s autopsy-x.xx/ autopsy /usr/local/autopsy# cd autopsy /usr/local/autopsy# make En este momento empieza a ejecutarse la instalacion del Autopsy Forensic Browser. 72 1.3. Iniciando el programa Una vez instalado y configurado solo bastara con llamarlo a ejecución. Asi se podrá llamar la interfaz grafica del Autopsy: 73 Una vez trabajado con Autopsy, para porceder a cerrarlo simplemente se regresa a la consola de ejecución y se presiona la combinación de teclas Ctrl + C 2. Abriendo un caso de estudio 2.1. Los primeros pasos en Sleuthkit y Autopsy Browser Se crean los directorios en donde se almacenaran las imágenes proporcionadas para el análisis . Mkdir /usr/local/imágenes Cd usr/local/imágenes Tar –xvf ~/challenge-images.tar Se ejecuta Autopsy normalmente y en el navegador pondremos la siguiente dirección: 74 http://localhost:9999/autopsy una gran ventaja de Sleuthkit/Autopsy es que trabaja dividiendo por casos cada investigación. Asi cada caso investigado puede ser contenido en uno o mas host y estos a su ves pueden contener una o varias imágenes de un sistema de ficheros. Se empieza dando clic en “Nuevo Caso” y asi aparecerá la pantalla que se presenta a continuación: Los campos mostrados son opcionales, una vez completa la acción le damos clic en “Nuevo Caso” , se creara una carpeta con el nombre de PrimerCaso en el directorio que se selecciono durante la instalación de autopsy en este caso /usr/local/evidence. 75 Se crea un host para el análisis donde se albergaran las imagenes que se analizaran: 76 77 Procedemos a cargar las imagenes de las unidades que se desea analizar. Se debe utilizar la particion / donde se almacena el directorio raiz y, por ende el fichero que contiene el nombre del host y que se almacena en /etc Se utilizan algunos comandos para prepara las imagenes que han sido cargadas para el analisis, debemos montarlas para poder examinarlas: /usr/local/images# file honeypot.hda8.dd /uss/local/images# mount -o loop,ro -t ext2 honeypot.hda8.dd /mnt/imagen Luego debemos averiguar que sistema operativo esta instalado en la imagen del equipo que fue vulnerado. Usualmente nos encontraremos con sistemas como Red Hat ya que son os mas utilizados para servidores: /usr/local/imagenes# cat /mnt/imagen/etc/redhat-release 78 79 - La primera opcion necesita una ruta absoluta de la ubicacion del fichero de la imagen de disco completo - La segunda opcion permite espeficicar si se trata de una imagen de disco completo o solo una partición. - La tercera opción afecta el tratamiento de la imagen . Con symlink se creara un enlance simbolico en el directorio del caso y que apuntara a la ubicacion original para la imagen. Las otras opciones permiten mover allí el fichero o tan solo copiarlo. Le damos clic en siguiente y procedemos a registrar mas informacion sobre la imagen que se desea analizar: - El contenido para los campos suma md5 y punto de omntaje los podremos obtener del fichero readme que viene con las imagenes. 80 - Indicando las opciones "Add the following MD5 hash value for this image:" y "Verify hash after importing" provocaremos la comprobacion de la suma md5 para el fichero de imagen Autopsy posee esta apariencia una vez agregados los servidores que se desean analizar : 81 Se muestra el listado de todas las imagenes que se quieren analizar: 82 3. Analisis de las imagenes del sistema Se carga el Autopsy Browser y procedemos abrir el caso creado anteriormente pulsando sobre "Abrir Caso", le damos en OK y luego en OK otra vez. Se puede comenzar analizando lso ficheros log, asi seleccionaremos /var como punto de montaje y pulsaremos "Analizar" En la parte superior aparecen los diferentes tipos de analisis que se pueden aplicar sobre el sistema de ficheros que estemos analizando. Aqui pulsaremos en "File Analysis", luego en log para revisra los ficheros del registro de la maquina. Revisamos el contenido del fichero /var/log/secure, el que contiene la informacion sobre accesos a la maquina y cuestiones relacionadas con la seguridad del sistema. 83 Cabe destacar las opciones en el frame izquierdo de la interfaz del Autopsy - La primera permite buscar un directorio determinado - El segundo campo de texto ermite buscar un fechero/directorio por su nombre con la posibilidad de utilizar expresiones regulares en los terminos de busqueda - El siguiente boton mostrara unicamente los ficheros que hayan sido eleiminados de la particion que esta siendo analizada. - Por ultimo "Expand Directories"mostrara una estructura en arbol con todo el contenido de la particion. 84 Procederemos en este momento con el análisis de la partición /, para lo que mostraremos todos los ficheros/directorios eliminados. Pulsaremos pues sobre “All deleted files” y veremos omo aparecen diferentes ficheros interesantes: varios temporales eliminados y dos ficheros con la terminación RPMDELETE, que parecen indicar que existe una librería compartida utilizada por varios procesos y que parece haber sido eliminada. Ahora les llega el turno a los ficheros temporales que han sido eliminados. Observando el contenido del fichero /tmp/ccbvMzZr.i notaremos como aparecen mencionadas varias librerías interesantes: tclegg.h, eggdrop.h, modvals.h, tandem.h y cmdt.h. Todo lo anterior unido a las terminaciones de los ficheros temporales encontrados (.i, .ld, .c) nos llevan a la conclusión de que se realizó la compilación e instalación de un bot de IRC, en concreto eggdrop. El proceso debió tener lugar a las 15:58:57 del 8 de noviembre de 2000. También es de destacar el UID y GID asociados a los ficheros, el 500:500, el cual debió pertenecer a un usuario eliminado del sistema. Por el momento hemos terminado de examinar el directorio raíz, por lo que lo cerraremos pulsando sobre “Close”. Aquí destacaremos otra característica de autopsy, el “Event Sequencer”, que permite incluir notas sobre los eventos que consideremos más destacables y que aparecerán ordenados en el tiempo. Dado que no se nos ocurren muchas opciones por las que continuar echaremos mano de las líneas de tiempo. Si accedemos a dicha característica pulsando sobre el botón “File Activity Timelines”, y siguiendo los pasos que se mencionan a continuación podremos generar una lista de sucesos relacionados con la actividad sobre ficheros que aparecerán organizados en el tiempo. Para ello primero pulsaremos sobre “Create Data File” y marcaremos todas las imágenes. Seleccionaremos también todas las opciones del segundo apartado, es decir, “Allocated Files, Unallocated Files y Unallocated Meta Data Structures”. Por último dejaremos el nombre que se le asignará por defecto y marcaremos la opción de 85 eneración de la suma MD5 de comprobación del fichero. Una vez pulsado sobre el botón “OK” comenzará el proceso.