Escrita por Freddy Márquez
Desde principios de año se incremento en Venezuela empresas especializadas en la última corriente dentro de la seguridad informática: el análisis forense. Importado de los EEUU, estas técnicas tienen su mayor aplicación en el marco legal, donde sirven para obtener evidencias informáticas para apoyar casos de delitos informáticos principalmente.
Este campo de la seguridad es tremendamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las técnicas de ataque y los rastros que dejan las mismas, tan presentes están actualmente estas técnicas de análisis en el mundo del cibercrimen, que incluso comienzan a aparecer herramientas anti-forensics, es decir, herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación.
Una aproximación al problema
Nunca antes los inventos habían cambiado las cosas tan rápidamente hace solo 150 años la velocidad de un caballo era la velocidad de la informaciónhace 100 años nuestra capacidad de almacenar información dependía de la cantidad de papel ahora podemos almacenar cualquier cantidad de información y formatos, todo se cataloga y se interrelaciona además es accesible para todo el mundo y desde cualquier lugar, en segundos
Según el FBI la informática forense es la ciencia de adquirir, preservar, atener y presentar datos que han sido procesado electrónicamente y guardados en medios electrónicos.Sin embargo la importancia real de la informática forense proviene de sus objetivos reales. Podemos decir que los objetivos son: la compensación de los daños causados por los criminales o intrusos la persecución y procesamiento judiciales de los criminalesla creación y aplicación de medidas para prevenir casos similares.Actualmente la informática forense esta relacionado con: persecución criminal: evidencias incriminatorias para ser usadas en una amplia variedad de crímenes desde homicidas, fraude, pornografía infantil, etc. litigios civiles: casos tales como fraudes, discriminación, acoso, etc.
Un ejemplo de la utilización forense es que todos los gobiernos de mundo están interesados en saber lo que están haciendo otros países, sus agencias de inteligencia no serían tales si no aprovechan estos medios de acceso en computadores para sus propósitos de obtención de información. son utilizados para estos fines, individuos como los señalados anteriormente, en el año 1.988 la KGB pagó en cocaína a unos hackers alemanes para que accesaran los servidores de los laboratorios livermore de usa y obtuvieran información sobre el sistema antimisiles.
Se puede generar un caos si un grupo terrorista tomase el control de un espacio aéreo, de los servidores de un mercado de valores o el control de algún tipo de armamento puede ser peor que cualquier acción terrorista conocida, esto o saben todos los gobiernos. se han establecido protocolos de protección de este tipo de infraestructuras críticas. en este caso, Internet no sería más que un medio para cometer la acción, ya que ésta se puede ejecutar desde cualquier país contra los intereses de otro sin necesidad de desplazarse.
En los últimos meses en Venezuela el INDECU y los organismos del estado ha observado el crecimiento acelerado de los fraudes cometidos por los hechos de clonación de tarjetas de debito y otros delitos electrónicos, por lo cual es necesario insertar correctivos de control para detener estos delitos, mediante la utilización de la informática forense cátedra que dicto una Universidad relacionada con el area de la Criminalistica y Ciencias Policiales, donde tengo la tan elevada responsabilidad de actualizar y educar en esta área en la utilización de metodos, estrategias y herramientas que demuestren los eventos y riesgos, así como también la identificación de responsables en cada hecho.
En Venezuela es necesario invertir en la instalación de laboratorios forenses que permitan la utilización de todas las herramientas que faciliten en la investigación criminalistica, que por lo general tiene algunas limitaciones:
Ø Lo intrincado de las cuestiones técnicas suelen ser de difícil interpretación a los profesionales abogados .
Ø El autor de la irregularidad, es una persona idónea, realiza la maniobra en un modo de difícil descubrimiento.
Ø El malhechor mantiene para sí algún elemento de extorsión.
Donde están los inconvenientes:
Ø En la dificultad de valorar la prueba.
Ø En la dificultad de probar la responsabilidad del autor.
Ø La presión ejercida por el delincuente por la sustracción de soportes magnéticos, documentación, etc. Con información crítica o sensible de la víctima.
Plan para prevenir fraudes informáticos
Ø Identificar riesgos
Ø Identificar y definir con mas detalle la visión del ambiente
Ø Identificar el proceso de transformación
Ø Considerar tendencias de la organización y tecnológicas.
Ø Desarrollo de plan de control de delitos informáticos
Ø Implantación
Ø Control y seguimiento.
Ø Comprender la existencia de la evidencia en formato digital.
Ø Asegurar la integridad de la evidencia recolectada
Ø Comprensión de los computadores y su operación
Ø Reconocimiento de la evidencia digital
Ø Cómo se modifica, quién la modifica, quién es su dueño
Ø Cantidad de evidencia recolectada
Ø Habilidades técnicas y procedimientos forenses y el manejo y control de los documentos electrónicos.
Cuál es el fin de la prueba?
El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso, al igual que un documento normal, la evidencia electrónica debe cumplir las siguientes condiciones:
Ø Compuesto por un texto, tenor o contenido
Ø Contenido relevante al ámbito jurídico: construido para ser usado
Ø Un autor claramente identificado
Ø Origen y originalidad
Ø Carácter de durabilidad o permanencia superior al objeto que representa
Ø Transportable
Retos legales
Ø Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales.
Ø Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico.
Ø Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección.
Ø Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.
Ø Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.
Retos técnicos
Ø Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware.
Ø Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados.
Ø Conciencitizar sobre las responsabilidades jurídicas de los ingenieros:
Ø Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización.
Ø Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales.
Ø La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.
Aunque depende en gran medida del tipo de organización, se puede mencionar que los Fraudes y sabotajes son los delitos de mayor incidencia en las organizaciones. Además, aquellos que no están claramente definidos y publicados dentro de la organización como un delito (piratería, mala utilización de la información, omisión deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y que en algún momento pueden generar un impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los delitos de difícil detección, se deben situar a aquellos producidos por las personas que trabajan internamente en una organización y que conocen perfectamente la configuración interna de las plataformas; especialmente cuando existe una cooperación entre empleados, cooperación entre empleados y terceros, o incluso el involucramiento de la administración misma.
Conductas dirigidas a causar daños lógicos
El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.
Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el servidor de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo.
Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir:
Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los archivos de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa.
Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.
Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.
Para todo esto y mucho más es necesario utilizar la informática forense, así que invito a todas las empresas Venezolanas que ha sido victimas de delitos informáticos a invertir en controles y herramientas de seguridad a fin de detectar y prevenir los ataques masivos están de moda en Venezuela en los últimos meses,
Saludos cordiales,
Freddy Márquez / freddy_marquez@cantv.net
Desde principios de año se incremento en Venezuela empresas especializadas en la última corriente dentro de la seguridad informática: el análisis forense. Importado de los EEUU, estas técnicas tienen su mayor aplicación en el marco legal, donde sirven para obtener evidencias informáticas para apoyar casos de delitos informáticos principalmente.
Este campo de la seguridad es tremendamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las técnicas de ataque y los rastros que dejan las mismas, tan presentes están actualmente estas técnicas de análisis en el mundo del cibercrimen, que incluso comienzan a aparecer herramientas anti-forensics, es decir, herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación.
Una aproximación al problema
Nunca antes los inventos habían cambiado las cosas tan rápidamente hace solo 150 años la velocidad de un caballo era la velocidad de la informaciónhace 100 años nuestra capacidad de almacenar información dependía de la cantidad de papel ahora podemos almacenar cualquier cantidad de información y formatos, todo se cataloga y se interrelaciona además es accesible para todo el mundo y desde cualquier lugar, en segundos
Según el FBI la informática forense es la ciencia de adquirir, preservar, atener y presentar datos que han sido procesado electrónicamente y guardados en medios electrónicos.Sin embargo la importancia real de la informática forense proviene de sus objetivos reales. Podemos decir que los objetivos son: la compensación de los daños causados por los criminales o intrusos la persecución y procesamiento judiciales de los criminalesla creación y aplicación de medidas para prevenir casos similares.Actualmente la informática forense esta relacionado con: persecución criminal: evidencias incriminatorias para ser usadas en una amplia variedad de crímenes desde homicidas, fraude, pornografía infantil, etc. litigios civiles: casos tales como fraudes, discriminación, acoso, etc.
Un ejemplo de la utilización forense es que todos los gobiernos de mundo están interesados en saber lo que están haciendo otros países, sus agencias de inteligencia no serían tales si no aprovechan estos medios de acceso en computadores para sus propósitos de obtención de información. son utilizados para estos fines, individuos como los señalados anteriormente, en el año 1.988 la KGB pagó en cocaína a unos hackers alemanes para que accesaran los servidores de los laboratorios livermore de usa y obtuvieran información sobre el sistema antimisiles.
Se puede generar un caos si un grupo terrorista tomase el control de un espacio aéreo, de los servidores de un mercado de valores o el control de algún tipo de armamento puede ser peor que cualquier acción terrorista conocida, esto o saben todos los gobiernos. se han establecido protocolos de protección de este tipo de infraestructuras críticas. en este caso, Internet no sería más que un medio para cometer la acción, ya que ésta se puede ejecutar desde cualquier país contra los intereses de otro sin necesidad de desplazarse.
En los últimos meses en Venezuela el INDECU y los organismos del estado ha observado el crecimiento acelerado de los fraudes cometidos por los hechos de clonación de tarjetas de debito y otros delitos electrónicos, por lo cual es necesario insertar correctivos de control para detener estos delitos, mediante la utilización de la informática forense cátedra que dicto una Universidad relacionada con el area de la Criminalistica y Ciencias Policiales, donde tengo la tan elevada responsabilidad de actualizar y educar en esta área en la utilización de metodos, estrategias y herramientas que demuestren los eventos y riesgos, así como también la identificación de responsables en cada hecho.
En Venezuela es necesario invertir en la instalación de laboratorios forenses que permitan la utilización de todas las herramientas que faciliten en la investigación criminalistica, que por lo general tiene algunas limitaciones:
Ø Lo intrincado de las cuestiones técnicas suelen ser de difícil interpretación a los profesionales abogados .
Ø El autor de la irregularidad, es una persona idónea, realiza la maniobra en un modo de difícil descubrimiento.
Ø El malhechor mantiene para sí algún elemento de extorsión.
Donde están los inconvenientes:
Ø En la dificultad de valorar la prueba.
Ø En la dificultad de probar la responsabilidad del autor.
Ø La presión ejercida por el delincuente por la sustracción de soportes magnéticos, documentación, etc. Con información crítica o sensible de la víctima.
Plan para prevenir fraudes informáticos
Ø Identificar riesgos
Ø Identificar y definir con mas detalle la visión del ambiente
Ø Identificar el proceso de transformación
Ø Considerar tendencias de la organización y tecnológicas.
Ø Desarrollo de plan de control de delitos informáticos
Ø Implantación
Ø Control y seguimiento.
Ø Comprender la existencia de la evidencia en formato digital.
Ø Asegurar la integridad de la evidencia recolectada
Ø Comprensión de los computadores y su operación
Ø Reconocimiento de la evidencia digital
Ø Cómo se modifica, quién la modifica, quién es su dueño
Ø Cantidad de evidencia recolectada
Ø Habilidades técnicas y procedimientos forenses y el manejo y control de los documentos electrónicos.
Cuál es el fin de la prueba?
El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso, al igual que un documento normal, la evidencia electrónica debe cumplir las siguientes condiciones:
Ø Compuesto por un texto, tenor o contenido
Ø Contenido relevante al ámbito jurídico: construido para ser usado
Ø Un autor claramente identificado
Ø Origen y originalidad
Ø Carácter de durabilidad o permanencia superior al objeto que representa
Ø Transportable
Retos legales
Ø Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales.
Ø Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico.
Ø Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección.
Ø Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.
Ø Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.
Retos técnicos
Ø Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware.
Ø Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados.
Ø Conciencitizar sobre las responsabilidades jurídicas de los ingenieros:
Ø Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización.
Ø Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales.
Ø La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.
Aunque depende en gran medida del tipo de organización, se puede mencionar que los Fraudes y sabotajes son los delitos de mayor incidencia en las organizaciones. Además, aquellos que no están claramente definidos y publicados dentro de la organización como un delito (piratería, mala utilización de la información, omisión deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y que en algún momento pueden generar un impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los delitos de difícil detección, se deben situar a aquellos producidos por las personas que trabajan internamente en una organización y que conocen perfectamente la configuración interna de las plataformas; especialmente cuando existe una cooperación entre empleados, cooperación entre empleados y terceros, o incluso el involucramiento de la administración misma.
Conductas dirigidas a causar daños lógicos
El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.
Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el servidor de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo.
Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir:
Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los archivos de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa.
Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.
Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.
Para todo esto y mucho más es necesario utilizar la informática forense, así que invito a todas las empresas Venezolanas que ha sido victimas de delitos informáticos a invertir en controles y herramientas de seguridad a fin de detectar y prevenir los ataques masivos están de moda en Venezuela en los últimos meses,
Saludos cordiales,
Freddy Márquez / freddy_marquez@cantv.net
2 comentarios:
Excelente lugar para aprender
Hola Freddy, te felicito por tan interesante iniciativa pues la misma permite a profesionales y aficionados acceder a tan interesante y necesario mundo de la seguridad. Colocaré en http://indiocaricuao.blogspot.com un enlace con tu página.
Publicar un comentario