Contacto Profesional: Contacto Profesional: Email Email : : [email protected][email protected]Web : Web : http http :// :// www.javierpages.com www.javierpages.com Blog Blog : : http://www.inforenses.com http://www.inforenses.com Contacto Empresa: Contacto Empresa: Email Email : : javier@informatica javier@informatica - - forense.es forense.es Web: Web: http://www.informatica http://www.informatica - - forense.es forense.es Javier Pag Javier Pag è è s L s L ó ó pez pez Inform Inform á á tica Forense, Peritaje y Seguridad tica Forense, Peritaje y Seguridad Colegiado N Colegiado N º º 110 del CPIICYL 110 del CPIICYL Colegio Profesional de Ingenieros en Inform Colegio Profesional de Ingenieros en Inform á á tica de Castilla y Le tica de Castilla y Le ó ó n n Las Evidencias Digitales en Las Evidencias Digitales en la Inform la Inform á á tica Forense tica Forense
Javier PagJavier Pagèès Ls LóópezpezInformInformáática Forense, Peritaje y Seguridadtica Forense, Peritaje y Seguridad
Colegiado NColegiado Nºº 110 del CPIICYL110 del CPIICYLColegio Profesional de Ingenieros en InformColegio Profesional de Ingenieros en Informáática de Castilla y Letica de Castilla y Leóónn
Las Evidencias Digitales en Las Evidencias Digitales en la Informla Informáática Forensetica Forense
InformInformáática Forense:tica Forense:DefiniciDefinicióón y n y ObjetivoObjetivo
�� La InformLa Informáática Forense es una disciplina tica Forense es una disciplina criminalcriminalíísticastica que tiene como objeto la que tiene como objeto la investigaciinvestigacióónn en sistemas en sistemas informinformááticosticos de de hechos hechos con relevancia jurcon relevancia juríídicadica o para la simple o para la simple investigaciinvestigacióón privada.n privada.
�� Para conseguir sus objetivos, la InformPara conseguir sus objetivos, la Informáática tica Forense desarrolla tForense desarrolla téécnicas idcnicas idóóneas para ubicar, neas para ubicar, reproducir y analizar reproducir y analizar evidencias digitalesevidencias digitales con con fines legalesfines legales..
mayo de 2007 (C) www.informatica-forense.es 4
InformInformáática Forense:tica Forense:ÁÁmbito de actuacimbito de actuacióónn
Todo hecho en el que un sistema informTodo hecho en el que un sistema informáático esttico estééinvolucrado, tanto si es el involucrado, tanto si es el finfin o un o un mediomedio, puede , puede ser objeto de estudio y anser objeto de estudio y anáálisis, y por ello, puede lisis, y por ello, puede llevarse a juicio como medio probatorio.llevarse a juicio como medio probatorio.
mayo de 2007 (C) www.informatica-forense.es 5
�� Adherirse a estAdherirse a estáándares legalesndares legales
�� FormaciFormacióón especn especíífica en tfica en téécnicas forensescnicas forenses
�� InvestigaciInvestigacióón debe ser n debe ser ““Forensically soundForensically sound””
�� RiesgosRiesgos::Corromper evidencias Corromper evidencias �� No admitirse en juicioNo admitirse en juicio
mayo de 2007 (C) www.informatica-forense.es 7
�� IdentificarIdentificar las posibles fuentes disponibleslas posibles fuentes disponibles
�� RecogerRecoger diferentes tipos de evidenciasdiferentes tipos de evidencias
�� AnalizarAnalizar las evidencias encontradaslas evidencias encontradas
�� Confirmar Confirmar por pruebas cruzadaspor pruebas cruzadas
�� AsAsíí se establecen las bases para se establecen las bases para ProbarProbar que se han cometido actos que se han cometido actos deshonestos o ilegalesdeshonestos o ilegales
InformInformáática Forense:tica Forense:Objetivos del ProcesoObjetivos del Proceso
mayo de 2007 (C) www.informatica-forense.es 8
�� Cualquier documento, fichero, registro, dato, etc. Cualquier documento, fichero, registro, dato, etc. contenido en un soporte informcontenido en un soporte informááticotico
�� Susceptible de tratamiento digitalSusceptible de tratamiento digital
�� Ejemplos:Ejemplos:�� Documentos de OfimDocumentos de Ofimáática (Word, tica (Word, ExcellExcell, ...), ...)
Autentificar fotos de fantasmasAutentificar fotos de fantasmas
EscenarioEscenario
�� Programa de TV esotPrograma de TV esotééricorico
�� Recibe fotos de fantasmasRecibe fotos de fantasmas
�� Solicita a perito que determine si son falsasSolicita a perito que determine si son falsas
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 10
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 11
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 12
EstrategiaEstrategia
�� BBúúsqueda de elementos originalessqueda de elementos originales�� Imagen Sin FantasmasImagen Sin Fantasmas
�� Imagen FantasmasImagen Fantasmas
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 13
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 14
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 15
�� AnAnáálisis informacilisis informacióón EXIF de la imagenn EXIF de la imagen�� Fotos editadas con programa fotogrFotos editadas con programa fotográáficofico
�� Calidad muy inferior a la original (72pp)Calidad muy inferior a la original (72pp)�� Fueron enviadas por correo electrFueron enviadas por correo electróóniconico
�� Es mEs méétodo habitual para ocultar retoquestodo habitual para ocultar retoques
�� Fotos Fotos no admisibles en proceso judicialno admisibles en proceso judicial
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 16
Autentificar fotos de fantasmasAutentificar fotos de fantasmas
�� Hallazgos posterioresHallazgos posteriores
Ejemplo: Validez Imagen DigitalEjemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 17
�� Uno de los pilares mUno de los pilares máás importantes de la informs importantes de la informáática forensetica forense�� Valor que se le puede dar a las evidencias informValor que se le puede dar a las evidencias informááticas (ticas (ee--evidencesevidences))�� Para aportar en los procesos judiciales.Para aportar en los procesos judiciales.
�� Actualmente existen grandes debates entre juristas y expertos Actualmente existen grandes debates entre juristas y expertos ttéécnicoscnicos�� a nivel nacional a nivel nacional --> Foro de la Evidencias Electr> Foro de la Evidencias Electróónicas nicas
((www.evidenciaselectronicas.orgwww.evidenciaselectronicas.org))�� a nivel internacionala nivel internacional
Objetivo:Objetivo:�� Alcanzar un compromiso a nivel internacionalAlcanzar un compromiso a nivel internacional�� Definir que hay que exigir a una evidencia informDefinir que hay que exigir a una evidencia informáática para que se tica para que se
pueda aceptar como una pruebapueda aceptar como una prueba
�� Este extremo cada dEste extremo cada díía cobra mayor importancia, dado que cada da cobra mayor importancia, dado que cada díía hay ma hay máás leyes y s leyes y normativas que regulan las actividades relacionadas con la infornormativas que regulan las actividades relacionadas con la informmáática y el uso (o mal tica y el uso (o mal uso) que se haga de ella:uso) que se haga de ella:�� Leyes nacionales:Leyes nacionales:
�� Proyecto de Ley del CProyecto de Ley del Cóódigo Penal digo Penal �������� profunda reforma para penalizar mprofunda reforma para penalizar máás el mal uso informs el mal uso informááticotico�� LOPD LOPD �������� con la con la ¿¿inminente?inminente? aprobaciaprobacióón del tan esperado nuevo n del tan esperado nuevo Reglamento de SeguridadReglamento de Seguridad�� LSSILSSI--CECE�� Ley de Firma ElectrLey de Firma Electróónicanica�� DNIDNI--ee�� Proyecto de Ley de ConservaciProyecto de Ley de Conservacióón de Datosn de Datos
�� Leyes europeas:Leyes europeas:�� ““Data Data RetentionRetention DirectiveDirective”” (Directiva 2006/24/EC)(Directiva 2006/24/EC)�� Documento Marco 2005/222/JAIDocumento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemdel Consejo de Europa, relativo a los ataques contra los sistemas as
�� Muchas de estas leyes obligan a las empresas a Muchas de estas leyes obligan a las empresas a conservar una serie de datos relacionados con el conservar una serie de datos relacionados con el uso que se hace de la informaciuso que se hace de la informacióón contenida en n contenida en los sistemas informlos sistemas informááticos.ticos.
�� InformaciInformacióón que se almacena actualmente en:n que se almacena actualmente en:�� logslogs de actividadde actividad de los sistemas informde los sistemas informááticosticos�� logslogs de actividadde actividad de aplicaciones informde aplicaciones informááticasticas�� que se ejecutan en:que se ejecutan en:
�� cada servidorcada servidor�� en cada ordenador personal.en cada ordenador personal.
Evidencias Digitales:Evidencias Digitales:Preservar informaciPreservar informacióón de uson de uso
mayo de 2007 (C) www.informatica-forense.es 20
““Logs, logs, logsLogs, logs, logs……
All you need is logs, logs.All you need is logs, logs.
LogsLogs isis allall youyou needneed””
(casi)(casi) todo lo que un perito informtodo lo que un perito informáático tico necesita estnecesita estáá en los en los logslogs
“¿“¿Que valor probatorio tiene un Que valor probatorio tiene un loglog de ordenador?de ordenador?””
Respuestas:Respuestas:��““NingNingúún valor. Se puede alterar muy fn valor. Se puede alterar muy fáácilmentecilmente””
��““ValorValor TotalTotal. . AquAquíí lo tengo impreso, y dice lo que lo tengo impreso, y dice lo que estestáá escritoescrito””..
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 22
Mi opiniMi opinióón:n:��un un loglog, o un correo electr, o un correo electróónico o cualquier otra evidencia nico o cualquier otra evidencia informinformáática:tica:
�� Tiene el valor que le quieran dar las partesTiene el valor que le quieran dar las partes�� Si ninguna lo pone en duda, su valor serSi ninguna lo pone en duda, su valor seráá totaltotal�� Pero si alguno duda de su autenticidad habrPero si alguno duda de su autenticidad habráá que esforzarse (y que esforzarse (y
mucho) para darle valor probatoriomucho) para darle valor probatorio
��Esta ambigEsta ambigüüedad en el valor de las pruebas informedad en el valor de las pruebas informááticas ticas �� es muy interesante y da mucho juego desde el punto de vista es muy interesante y da mucho juego desde el punto de vista
pericialpericial�� provoca una gran incertidumbre a nivel jurprovoca una gran incertidumbre a nivel juríídico.dico.
��Estamos en el Estamos en el GGéénesis de la Informnesis de la Informáática Forensetica Forense, en sus , en sus inicios.inicios.
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 23
Al principio era el caos
““La tierra era caos y confusiLa tierra era caos y confusióón y oscuridad n y oscuridad por encima del abismopor encima del abismo””
((GGéénesis 1:2nesis 1:2))
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 24
Al principio era el caos
��no habno habíía ni siquiera esos a ni siquiera esos logslogs manipulablesmanipulables�� nadie obligaba a conservarlosnadie obligaba a conservarlos
��Las leyes actuales y futuras obligan cada vez mLas leyes actuales y futuras obligan cada vez máás a que s a que en determinados en determinados áámbitos existan esos mbitos existan esos logslogs de actividadde actividad, ,
Es un Es un avance infinitoavance infinito respectorespectoa la situacia la situacióón anterior de n anterior de oscuridadoscuridad
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 25
““Y dijo Dios: Sea la luz; y fue la luz.Y dijo Dios: Sea la luz; y fue la luz.
Y vio Dios que la luz era buena; y separY vio Dios que la luz era buena; y separóóDios la luz de las tinieblasDios la luz de las tinieblas””
((GGéénesis 1:3nesis 1:3))
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 26
Algunas soluciones parciales actuales:��GestiGestióón n LogsLogs CentralizadoCentralizado�� Reduce puntos de accesoReduce puntos de acceso
�� Reduce riesgo de manipulacionesReduce riesgo de manipulaciones
�� No controla el No controla el loglog desde su origendesde su origen
��ConsolidaciConsolidacióón de n de LogsLogs�� Pensados para IDSPensados para IDS
�� Manipulan y/o Destruyen las evidencias originalesManipulan y/o Destruyen las evidencias originales
�� Dudas sobre la validezDudas sobre la validez
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 27
Algunas soluciones parciales actuales:��Almacenamiento seguro de los Almacenamiento seguro de los LogsLogs
�� Soportes no Soportes no reescribiblesreescribibles (WORM)(WORM)
�� Garantiza integridad a nivel fGarantiza integridad a nivel fíísicosico
�� Exige almacenamiento seguro de los soportes (agua, fuego, Exige almacenamiento seguro de los soportes (agua, fuego, emem...)...)
��DepDepóósito y Custodia de sito y Custodia de LogsLogs�� Ante Notario / Terceras Partes PrivadasAnte Notario / Terceras Partes Privadas
�� Mantenimiento Cadena de CustodiaMantenimiento Cadena de Custodia
�� Garantiza la alteraciGarantiza la alteracióón desde el Depn desde el Depóósito hasta la Retiradasito hasta la Retirada
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 28
““Y Y vivi en la mano derecha del que estaba sentado en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, en el trono un libro escrito por dentro y por fuera,
sellado con siete sellos.sellado con siete sellos.Y Y vivi a un a un áángel fuerte que pregonaba a gran voz: ngel fuerte que pregonaba a gran voz: ¿¿QuiQuiéén es digno de abrir el libro y desatar sus n es digno de abrir el libro y desatar sus
sellos?sellos?Y ninguno, ni en el cielo ni en la tierra ni debajo de Y ninguno, ni en el cielo ni en la tierra ni debajo de
la tierra, podla tierra, podíía abrir el libro, ni aun mirarlo.a abrir el libro, ni aun mirarlo.””(Apocalipsis 5:1(Apocalipsis 5:1--3)3)
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 29
Del Génesis al Apocalipsis (sin pasar por la casilla (sin pasar por la casilla de salida)de salida)
��Cifrado y firma Cifrado y firma hashhash�� Aporta integridad del Aporta integridad del loglog a nivel la nivel lóógicogico�� Impiden la alteraciImpiden la alteracióón de los n de los logslogs�� Impiden la apertura y el acceso no autorizadosImpiden la apertura y el acceso no autorizados�� Impiden siquiera mirarlo sin permisoImpiden siquiera mirarlo sin permiso�� Problema de colisionesProblema de colisiones
�� Usar dos o mas firmas distintasUsar dos o mas firmas distintas
�� Los Los siete sellossiete sellos del Apocalipsisdel Apocalipsis
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 30
Del Génesis al Apocalipsis (sin pasar por la casilla de salida)(sin pasar por la casilla de salida)
��SerializaciSerializacióónn del del loglog�� Baja el nivel de Baja el nivel de granularidadgranularidad de fichero a registrode fichero a registro
�� Permite determinar:Permite determinar:�� que registros siguen siendo vque registros siguen siendo váálidoslidos
�� Que registros han sidoQue registros han sido�� alterados / borrados / aalterados / borrados / aññadidos / cambiados de ordenadidos / cambiados de orden
�� Garantizar el no repudio de las transacciones en ambos extremosGarantizar el no repudio de las transacciones en ambos extremos�� NRO (NRO (Non Non RepudiationRepudiation ofof OriginOrigin))�� NRD (NRD (Non Non RepudiationRepudiation ofof DeliveryDelivery))
�� Ejemplo: Ejemplo: kNotarykNotary
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs
mayo de 2007 (C) www.informatica-forense.es 31
Secure Audit Trail (I):�Generación masiva de logs, para poder disponer de todas las evidencias posibles
�Gestión correcta de logs, centralizándolos en un lugar seguro, preservando su integridad, controlando su acceso, garantizando la integridad de los datos y procesos de auditoría, y evitando el no repudio en ambos extremos
�Múltiple firma hash, para garantizar la integridad lógica del fichero
�Cifrado, para evitar la consulta no autorizada de su información
�Serialización al máximo nivel de granularidad posible, la línea de registro, para poder diferenciar la parte alterada de la parte inalterada
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs -- ConclusiConclusióónn
mayo de 2007 (C) www.informatica-forense.es 32
Secure Audit Trail (II):�Grabación en soportes físicos no modificables, para garantizar la integridad física del fichero
�Cadena de custodia de los soportes, para evitar su sustitución por otros soportes
�Almacenamiento seguro de los soportes, para evitar su destrucción accidental o intencionada
�Custodia por tercera parte de confianza� de los soportes físicos de los logs� de sus firmas completas� de la serialización de las firmas.
Evidencias Digitales:Evidencias Digitales:Validez de los Validez de los LogsLogs -- ConclusiConclusióónn
Internet Internet SocietySociety (ISOC)(ISOC)��ISOC ISOC MemberMember ID: 1.350.480ID: 1.350.480
www.isoc.orgwww.isoc.org
AsociaciAsociacióón Espan Españñola para la Seguridad de los ola para la Seguridad de los Sistemas de InformaciSistemas de Informacióón (ISSAn (ISSA--EspaEspañña)a)��Fundador y actual Secretario del CapFundador y actual Secretario del Capíítulo Espatulo Españñol de ISSAol de ISSA
