430 likes | 707 Vues
Módulo Técnico - Legal. Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil. TEMARIO (I). DESCRIPCIÓN DEL CASO DETECCIÓN DE LA INTRUSIÓN DESCRIPCIÓN DEL ATAQUE CONTACTO CON LA GUARDIA CIVIL (DENUNCIA) OBTENCIÓN DE PRUEBAS. TEMARIO (II).
E N D
Módulo Técnico - Legal Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil
TEMARIO (I) • DESCRIPCIÓN DEL CASO • DETECCIÓN DE LA INTRUSIÓN • DESCRIPCIÓN DEL ATAQUE • CONTACTO CON LA GUARDIA CIVIL (DENUNCIA) • OBTENCIÓN DE PRUEBAS
TEMARIO (II) • REALIZACIÓN DEL INFORME POR PARTE DEL ADMINISTRADOR DE LA RED • ACTUACIÓN DE LA GUARDIA CIVIL • BASE JURÍDICA • AGRADECIMIENTOS
Acceso no autorizado a una red universitaria española Copia de archivos personales o proyectos de investigación DESCRIPCIÓN DEL CASO
DETECCIÓN DE LA INTRUSIÓN • AVISO DE USUARIOS • IDS • ESCANEOS DE PUERTOS
DESCRIPCIÓN DEL ATAQUE (I) • Obtención de la información del equipo • Escaners: Retina, hscan, ipcscan
DESCRIPCIÓN DEL ATAQUE (II) • Acceso no autorizado al equipo • Netbios, ISS, SQL, etc.
DESCRIPCIÓN DEL ATAQUE (III) • Obtención de la cuenta de Administrador • Sniffers, troyanos, etc. • Instalación del radmin • Mantener la cuenta de Administrador • Cuentas traseras • Netcat: nc –l –p8888 –e cmd.exe • Taladrator
DESCRIPCIÓN DEL ATAQUE (IV) • Borrar las huellas • Scripts echo Seguridad de intrusion de tu ip en progreso......... echo [Version] >> temp echo signature="$CHICAGO$" >> temp echo Revision=1 >> temp echo [Profile Description] >> temp echo Description=Default Security Settings. (Windows 2000 Professional) >> temp ……
CONTACTAR CON LA GUARDIA CIVIL • Forma electrónica: • http://www.guardiacivil.org/00telematicos/index.htm • Teléfono: • 34 91 514 64 00 • 062 • Dirección Postal: • C/ Guzmán el Bueno 110, 28003 Madrid - España
OBTENCIÓN DE PRUEBAS (I) • Problemas de Intimidad • Utilización Snort • Ip origen • Ip destino • Hora y Fecha • Cuando se instale y retire hay que hacerlo conjuntamente con la GC, así como la grabación de los logs
OBTENCIÓN DE PRUEBAS (II)EJEMPLO DE CONFIGURACIÓN buscados udp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Paquete UDP a puerto 1220";) buscados tcp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Paquete TCP a puerto 1220";) buscados tcp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Conexion TCP a puerto 1220" ; flags:S;)
OBTENCIÓN DE PRUEBAS (III)EJEMPLO DEL LOG Mar 17 07:10:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:11:12 petardo last message repeated 7 times Mar 17 07:11:51 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:11:52 petardo last message repeated 3 times Mar 17 07:12:19 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 81.23.179.235:3101 -> 192.168.12.125:1220 Mar 17 07:12:19 petardo last message repeated 3 times Mar 17 07:12:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:13:52 petardo last message repeated 11 times Mar 17 07:14:21 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 81.23.179.235:3101 -> 192.168.12.125:1220 Mar 17 07:14:21 petardo last message repeated 3 times Mar 17 07:14:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220
REALIZACIÓN DEL INFORME (I) • Descripción del caso • Sistema atacado • Descripción del ataque • Anexos
PASOS A SEGUIR POR LA GUARDIA CIVIL • Recepción de la denuncia - Deberá realizarla el Administrador de la Red. - Idea clara y concreta del hecho. - Valoración aproximada de los daños.
PASOS A SEGUIR POR LA GUARDIA CIVIL (II) • Inspección ocular • Reportaje fotográfico • Instalación sniffer conjuntamente Administrador de la Red • Acta
PASOS A SEGUIR POR LA GUARDIA CIVIL (III) • Realización de un informe • Claro y conciso. • Objetividad. • Lo menos técnico posible. • Complementario al realizado por el Administrador de la Red.
PASOS A SEGUIR POR LA GUARDIA CIVIL (IV) • Investigación Documental • Estudio de los “logs” generados • Resoluciones números IP
PASOS A SEGUIR POR LA GUARDIA CIVIL (V) • Investigación Operativa
PASOS A SEGUIR POR LA GUARDIA CIVIL (VI) • Análisis HD • Copias “espejo” • Herramientas Análisis Forense • Conclusiones
PASOS A SEGUIR POR LA GUARDIA CIVIL (VII) • Elaboración Informe Técnico-Pericial Final • Informe Extendido y objetivo • Estructura básica (variable): • Antecedentes (delitos investigados) • Descripción equipo sometido a estudio • S.O. y Software • Anexos • Conclusiones • CdRom o Dvd anexo.
BASE JURÍDICA (I) CARACTÉRISTICAS TÍPICAS • Rapidez en su comisión y acercamiento en tiempo y espacio. • Especialización técnica de los autores • Facilidad para encubrir el hecho y borrar pruebas
BASE JURÍDICA (II) PROBLEMAS • Determinación del sujeto • Facilidad para ocultar pruebas o indicios • Complejidad técnica • Conexión de causalidad • Lugar de comisión del delito
BASE JURÍDICA (III)DELITOS COMETIDOS • Daños (Art. 264.2 C.P.) • Descubrimiento y revelación de secretos (Art.197 C.P.) • Defraudación en fluido de las telecomunicaciones (Art. 255-256 C.P.)
Ciber-delitos en el Código Penal • Contenidos ilícitos. • Delitos contra el Honor. • Delitos contra la intimidad y el derecho a la propia imagen. • Delitos contra el patrimonio y contra el orden socioeconómico. • Delitos Documentales. • Otras referencias indirectas.
Contenidos Ilícitos en Redes • Corrupción de menores: • Exhibicionismo y provocación sexual (Art. 186 CP) • Prostitución (art. 189.1 CP) • Apología del delito: • Concepto (art. 18.1, párrafo 2º CP) • Apología del genocidio (art. 608.2 CP)
Delitos contra el Honor • Calumnias (art. 205 CP). • Injurias (art. 208 CP). • Art. 211 CP: • "La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante."
Delitos contra la Intimidad • Artículo 197 del Código Penal: • 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
Delitos contra el Patrimonio • De los hurtos y de los robos. • De las defraudaciones. • De los daños. • De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores.
Defraudación Electrónica • Estafa (art. 248.2): • “También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.” • Apropiación indebida (art. 252)
Uso ilegal de terminales • Artículo 256 CP: • “El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses.”
Daños a ficheros (Virus) • Artículo 264.2 CP: • “La misma pena (prisión de uno a tres años y multa) se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.”
Piratería Informática • Art. 270.3 CP: • “Será castigada también con la misma pena (prisión de seis meses a dos años o de multa) la fabricación, puesta en circulación y tenencia de cualquier medio específicamente destinada a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador.”
Delitos Documentales • Concepto de documento (art. 26 CP): • “A los efectos de este Código se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica.” • Falsedades Documentales (390 a 399). • Infidelidad en la custodia (413 a 416).
Protección del “Password” • Art. 414.2 CP: • “El particular que destruyere o inutilizare los medios a que se refiere el apartado anterior (los puestos para impedir el acceso no autorizado a los documentos), será castigado con la pena de multa de seis a dieciocho meses.”
Otras referencias • Delitos Societarios (art. 290 CP) • Estragos (art. 346 CP) • Desórdenes Públicos (560.1 CP)
AGRADECIMIENTOS • Luis Martín Velasco (Capitán U.O.P.J. PO.) • Chelo Malagón (RedIRIS) • Jesus Sanz (RedIRIS) • Cursos TRANSINTS
BIBLIOGRAFÍA I • Http://www.leydatos.com/ • Http://www.hispasec.com/ • Http://www.rediris.es/ • Http://www.virtualey.com/ • Http://www.pintos-salgado.com/ • Http://www.ipf.uvigo.es/ • Http://www.cert.org/
BIBLIOGRAFÍA II • ALVAREZ-CIENFUEGOS SUÁREZ, José María: “Los delitos de falsedad y los documentos generados electrónicamente. Concepto procesal y material de documento: nuevas técnicas”. Cuadernos de Derecho Judicial. La nueva delincuencia II. Consejo General del Poder Judicial. Madrid, 1993. • ASSOCIATED PRESS: "Hackers: Pentagon archives vulnerables". Mercury Center, 17 de abril de 1998: http://spyglass1.sjmercury.com/breaking/docs/077466.htm • DAVARA RODRÍGUEZ, M. A.: “El documento electrónico, informático y telemático y la firma electrónica”. Actualidad Informática Aranzadi, nº24, Navarra, julio de 1997. • DAVARA RODRÍGUEZ, Miguel Ángel: “Derecho Informático”. Ed. Aranzadi. Navarra, 1993. • DEL PESO, Emilio, PIATTINI, Mario G.: “Auditoría Informática”, 2ª Edición. Ed. RA-MA, 2000
BIBLIOGRAFÍA III • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones de Hackeo [II]: penalización y medidas de seguridad”. Ed. PrensaTécnica. Revista Linux Actual nº15, 2000. • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones de Hackeo [I]: pasos habituales del hacker”. Ed. PrensaTécnica. Revista Linux Actual nº14, 2000. • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A y CONDE RODRIGUEZ, Laura Elena:. “Hackers: Procedimientos frente a sus ataques”. Ed. Virtualibro • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. “Linux: Seguridad técnica y legal”. Ed. Virtualibro
BIBLIOGRAFÍA IV • SANZ LARRUGA, F.J.: El Derecho ante las nuevas tecnologías de la Información, nº1 del Anuario de la Facultad de Derecho da Universidade da Coruña (1997), pp. 499-516. • SHELDON, Tom, COX, Philip: “Windows 2000 Manual de seguridad”. Ed. Osborne McGraw-Hill, 2002. • VARIOS: “Seguridad en Windows 2000 Referencia técnica”. 1ª Edicción. Ed. Microsoft Press, 2001.
CONTACTAR José Luis Rivas López (jlrivas@uvigo.es) Victor Salgado (vsalgado@pintos-salgado.com) Gonzalo Sotelo (gonzasotelo@guardiacivil.es)