Saturday, April 18th 2015 Sábado, 18 de abril 2015

Respuesta a incidentes de seguridad y evidencia digital con fines probatorios Iván Darío Marrugo Jiménez Socio Fundador Abogado 2.0 Auditor 27001 – CHFI v.8. Esp. en Seguridad de la Información y privacidad Marrugo Rivera & Asociados, Estudio Jurídico TwiQer: @imarrugoj Respuesta a incidentes de Seguridad y Evidencia Digital Contenidos: •  Contexto •  La gesWón de los incidentes de Seguridad. •  Manejo de Evidencia digital con fines probatorios. •  Conclusiones Contextualización “Muchos ataques ciberné2cos pueden ser mi2gados con medidas rela2vamente simples. Por desgracia, algunas personas no llegan a tomar lo que serían precauciones básicas, tales como el uso de contraseñas seguras, aplicar parches y ejecutar un aplicación de seguridad. En muchos casos, irrumpir en la red de una empresa es más fácil de lo que suena.” PREVENCION¡? Si una persona que se muestra intranquila por la seguridad de su hogar, pero no instala un sistema de alarma, deja las ventanas abiertas y deja pasar a desconocidos, lo más probable es que se convierta en vícWma de algún incidente. Seguridad InformáWca vs Seguridad de la Información. Y como estamos en Ciberseguridad? •  La Misión de Asistencia técnica en Seguridad CibernéWca de la OEA en Colombia en Abril de 2014 estableció que se debe trabajar en: 1. Fortalecimiento de capacidades: Esfuerzos limitado en Ciberseguridad Enfoque no basado en gesWón de riesgos Vinculos sin desarrollar: Sector privado, acvademia, sociedad Enfoque limitado en proteccion de IC • Desarrollar una visión global para la Ciberseguridad. • Adoptar un enfoque global de gesWón de riesgos. • Proceso de involucramiento de los interesados. • Adoptar políWcas de PIC • CSIRT y un Centro nacional de operaciones de seguridad civil. • Recursos humanos y financieros suficientes. Cooperación internacional y entre partes 3, Generación de capacidades en Ciberseguridad 2. Establecimiento y mejora de marcos legales • Reforma a la legislación para armonizarla con la Convención de Budapest. • Tomar en cuenta legislaciones exitosas. • Cooperación Internacional en asuntos de políWca criminal. • Procedimiento de invesWgación en ciberdelitos. Y.. El Futuro??? Expresado en Hexabytes. Fuente: ESET Un Wp fundamental… El objeWvo de los delincuentes informáWcos ha pasado de la simple necesidad de ocultar sus rastros mediante técnicas anW-­‐forenses, a la aplicación cada vez más automaWzada de técnicas forenses dentro de las organizaciones para evadir los sistemas de protección y conseguir robar información privada llegando incluso a proponer una clasificación para su venta, relacionada con el nivel de privacidad de la misma y los mecanismos uWlizados para obtenerla. Un pequeño test… ¿Tiene su organización un equipo de respuesta a incidentes como parte de su políWca de seguridad? ¿Es capaz de idenWficar los sistemas infectados y proceder a su desconexión y recuperación? ¿Podría informar y jusWficar a sus empleados una anulación temporal de sus cuentas de correo electrónico para su invesWgación? Pero entonces que son los incidentes..? Anteriormente Cualquier evento anómalo que pudiese afectar a la seguridad de la información, como podría ser una pérdida de disponibilidad, su integridad o confidencialidad, etc. Actualmente Una violación o intento de violación de la políWca de seguridad, de la políWca de uso adecuado o de las buenas prácWcas de uWlización de los sistemas informáWcos. Norma ISO 27035 Específica los lineamientos para la GesWón de Incidentes de Seguridad de la Información. Obje2vos •  Tener un enfoque estructurado y bien planificado para la gesWón de incidentes. •  Detectar y administrar con eficiencia los eventos de seguridad. •  Evaluar y atender los incidentes de seguridad de la manera más apropiada y eficiente. •  Minimizar los impactos de los incidentes de seguridad. •  ReuWlizar las lecciones aprendidas en un ciclo de mejora conWnua. Norma ISO 27035 Definiciones: Evento de seguridad de la información: Es una ocurrencia idenWficada de un sistema, servicio o estado del sistema que indica una posible violación a la políWca de seguridad de la información, una falla de las salvaguardas o una situación desconocida que puede ser relevante para la seguridad. Incidente de seguridad de la información: Uno o una serie de eventos de seguridad de la información no deseados o inesperados que Wenen la probabilidad* significaWva de comprometer las operaciones de negocio mediante la amenaza a la seguridad de la información. *Nuevo enfoque ISO 27001:2013 Norma ISO 27035 Definiciones: Equipo de respuesta a incidentes de Seguridad de la información (ERISI): Grupo de personas de la organización confiables y con los conocimientos suficientes y necesarios, quienes serán los encargados de manipular los incidentes de seguridad de la información mientras ellos existan. Este equipo puede ser complementado y/o asesorado por un CERT / CSIRT experto en el manejo de incidentes de seguridad informáWca. Ciclo de manejo de un incidente Manejo de las evidencias digitales en Colombia. Dificultad de las evidencias digitales: •  La evidencia digital es de fácil reproducción y cambio: Esta es una parWcularidad que la convierte en algo maleable, lo cual podría tener un senWdo posiWvo, ya que ayudaría a la duplicación solicitada para su análisis posterior; pero también un senWdo negaWvo, al permiWr que sea fácilmente modificable y por lo tanto, vulnerable. •  La evidencia digital es anónima: Las páginas web y algunos documentos electrónicos no reportan un autor específico o determinado. CaracterísWcas para su admisibilidad •  AutenWcidad Sugiere que dicha evidencia ha sido generada y registrada en los lugares relacionados con el caso, específicamente en la escena del posible ilícito. Es la caracterísWca que resalta la no alterabilidad de los medios originales. •  Confiabilidad Establece si efecWvamente los medios probatorios aportados provienen de fuentes creíbles y verificables. Serviría para responder disWntos cuesWonamientos que pretenden demostrar que los registros electrónicos poseen una forma confiable para ser recolectados, idenWficados y verificados CaracterísWcas para su admisibilidad •  Suficiencia Se refiere a la presencia de toda la evidencia necesaria para adelantar el caso. Al igual que las anteriores caracterísWcas, es un factor determinante de éxito en las invesWgaciones que se siguen en procesos judiciales. El desarrollo de esta caracterísWca implica el afianzamiento y manejo de destrezas de correlación de eventos en registros. Las reglas en Colombia •  Las decisiones judiciales deben fundarse únicamente en las pruebas que sean oportunamente allegadas a un proceso, que adicionalmente éstas se deberán ceñir al asunto materia del mismo y que, el juez rechazará aquellas que sean legalmente prohibidas o ineficaces, imperWnentes y/o superfluas. •  "Sirven como pruebas, la declaración de parte, el juramento, el tesWmonio de terceros, el dictamen pericial, la inspección judicial, los documentos, los indicios y cualesquiera otros medios que sean úWles para la formación del convencimiento del juez". Un aspecto clave… •  Según el principio de libre convencimiento del juez, las partes podrán acompañar documentos electrónicos y el juez no tendrá obstáculos para admiWrlos como medios de prueba, en la medida que no exista norma alguna que lo inhiba para uWlizar los documentos electrónicos como tal, imponiéndoles una determinada eficacia probatoria . Lo que todo invesWgador forense debe tener en cuenta. Son tres los requisitos básicos que deben cumplir los invesWgadores forenses en informáWca, respecto a sus métodos de trabajo: •  UWlizar medios forenses estériles (para copias de información) •  Mantenimiento y control de la integridad del medio original •  EWquetar, controlar y transmiWr adecuadamente las copias de los datos, impresiones y resultado de la invesWgación. Tres principios esenciales en el manejo de la evidencia digital •  Las acciones tomadas para recoger la evidencia digital no deben afectar nunca la integridad de la misma. •  Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin. •  Las acWvidades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión. ISO 27037 Directrices de gesWón de evidencias electrónicas •  La norma ISO / IEC 27037:2012 (InformaCon technology – Security techniques – Guidelines for idenCficaCon, collecCon, acquisiCon, and preservaCon of digital evidence) proporciona orientaciones sobre mejores prácWcas en la idenWficación, adquisición y preservación de evidencias digitales potenciales que permitan aprovechar su valor probatorio. Se orienta a su uso en invesWgaciones forenses digitales, desWnadas al esclarecimiento de hechos en los que interviene de alguna forma un recurso electrónico o digital. •  La norma proporciona orientación para tratar situaciones frecuentes durante todo el proceso de tratamiento de la evidencia digital. Entre otros fines, pretende ayudar a las organizaciones en sus procedimientos de tratamiento de circunstancias excepcionales que involucran datos gesWonados en ellas de forma que se pueda facilitar el intercambio de evidencias digitales potenciales y su presentación como prueba en juicio o arbitraje. Dos roles… Define dos roles especialistas en la gesWón de las evidencias electrónicas: •  Digital Evidence First Responders (DEFR). Experto en primera intervención de evidencias electrónicas •  Digital Evidence Specialists (DES). Experto en gesWón de evidencias electrónicas La norma ISO / IEC 27037:2012 proporciona orientación para los siguientes disposiWvos y circunstancias: •  Medios de almacenamiento digitales uWlizados en ordenadores tales como discos duros, discos flexibles, discos ópWcos y magneto ópWcos, disposiWvos de datos con funciones similares •  Teléfonos móviles, asistentes digitales personales (PDA), disposiWvos electrónicos personales (PED), tarjetas de memoria •  Sistemas de navegación móvil •  Cámaras digitales y de video (incluyendo CCTV) •  Ordenadores de uso generalizado conectados a redes •  Redes basadas en protocolos TCP / IP y otros. •  DisposiWvos con funciones similares a las anteriores CaracterísWcas •  Proporciona orientación sobre el manejo de la evidencia digital. Siguiendo las directrices de esta norma se asegura que la evidencia digital potencial se recoge de manera válida a efectos legales para facilitar su aportación a entornos jurisdiccionales (juicios y arbitrajes). •  Cubre toda una gama de Wpos de disposiWvo y situaciones, por lo que la orientación dentro de la norma es ampliamente aplicable. Algunas otras recomendaciones •  OBSERVE Y ESTABLEZCA LOS PARÁMETROS DE LA ESCENA DEL DELITO El primero en llegar a la escena, debe establecer si el delito está todavía en progreso, luego Wene que tomar nota de las caracterísWcas usicas del área circundante. •  INICIE LAS MEDIDAS DE SEGURIDAD El objeWvo principal en toda invesWgación es la seguridad de los invesWgadores y de la escena. Si uno observa y establece en una condición insegura dentro de una escena del delito, debe tomar las medidas necesarias para miWgar dicha situación. Valor probatorio de las evidencias electrónicas La Prueba La prueba, en Derecho, es la acWvidad necesaria que implica demostrar la verdad de un hecho, su existencia o c o n t e n i d o s e g ú n l o s m e d i o s establecidos por la ley. Pruebas judiciales: es el conjunto de reglas que regulan la admisión, producción, asunción y valoración de los diversos medios que pueden emplearse para llevar al juez la convicción sobre los hechos que interesan al proceso. Los nuevos escenarios… La invesWgación envuelve una serie de minuciosa recolección de pistas y evidencia forense La información contenida en los computadores puede ser crucial y debe ser INVESTIGADA de una forma adecuada Es inevitable que se encuentre al menos una evidencia electrónica en el curso de cualquier invesWgación Puede estar en un computador, una impresora, un Smartphone Elementos claves en la invesWgación forense IdenWficar el equipo a invesWgar Recolectar evidencia preliminar Obtención de permisos (Judicial – CorporaWvo) Realice los pasos de primeros respondientes Incaute las pruebas en la escena del incidente Elementos claves en la invesWgación forense Transporte la evidencia al laboratorio Cree dos copias del flujo binario de datos Genere el algoritmo de comprobación MD5 Mantenga la cadena de custodia Guarde la información original en un lugar seguro Trabaje sobre la copia de imagen forense Algunas breves conclusiones Seguridad es mucho más que tecnología. Apoyo de la alta dirección. Visión y estrategia. Falta de entrenamiento especializado y herramientas tecnológicas. •  InformáWca forense como herramienta prevenWva? •  Conocimiento en seguridad de la información, clave en el desarrollo de una invesWgación. •  Adoptar metodologías en concordancia con la ley. • 
• 
• 
• 
Muchas Gracias!!! Iván Darío Marrugo Jiménez Abogado 2.0 Auditor 27001 – CHFI v.8. Esp. en Seguridad de la Información y privacidad. Marrugo Rivera & Asociados, Estudio Jurídico TwiQer: @imarrugoj [email protected] www.marrugorivera.com Dudas? Inquietudes?