II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
1
Módulo
Técnico - Legal
Jose L.R. – V. Salgado – G. Sotelo
UVigo – Bufete Pintos&Salgado – Guardia Civil
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
2
TEMARIO (I)
●
DESCRIPCIÓN DEL CASO
●
DETECCIÓN DE LA INTRUSIÓN
●
DESCRIPCIÓN DEL ATAQUE
●
CONTACTO CON LA GUARDIA CIVIL (DENUNCIA)
●
OBTENCIÓN DE PRUEBAS
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
3
TEMARIO (II)
●
REALIZACIÓN DEL INFORME POR PARTE DEL
ADMINISTRADOR DE LA RED
●
ACTUACIÓN DE LA GUARDIA CIVIL
●
BASE JURÍDICA
●
AGRADECIMIENTOS
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
4
DESCRIPCIÓN DEL CASO
• Acceso no autorizado
a una red universitaria
española
• Copia de archivos
personales o proyectos
de investigación
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
5
DETECCIÓN DE LA INTRUSIÓN
●
AVISO DE USUARIOS
●
IDS
●
ESCANEOS DE PUERTOS
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
6
DESCRIPCIÓN DEL ATAQUE (I)
●
Obtención de la información del equipo
–
Escaners: Retina, hscan, ipcscan
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
7
DESCRIPCIÓN DEL ATAQUE (II)
• Acceso no autorizado al equipo
– Netbios, ISS, SQL, etc.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
8
DESCRIPCIÓN DEL ATAQUE (III)
●
Obtención de la cuenta de Administrador
–
Sniffers, troyanos, etc.
●
Instalación del radmin
●
Mantener la cuenta de Administrador
–
Cuentas traseras
●
●
Netcat: nc –l –p8888 –e cmd.exe
Taladrator
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
9
DESCRIPCIÓN DEL ATAQUE (IV)
●
Borrar las huellas
–
Scripts
echo Seguridad de intrusion de tu ip en progreso.........
echo [Version] >> temp
echo signature="$CHICAGO$" >> temp
echo Revision=1 >> temp
echo [Profile Description] >> temp
echo Description=Default Security Settings. (Windows 2000
Professional) >> temp
……
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
10
CONTACTAR CON LA
GUARDIA CIVIL
●
Forma electrónica:
–
●
●
http://www.guardiacivil.org/00telematicos/index.htm
Teléfono:
–
34 91 514 64 00
–
062
Dirección Postal:
–
C/ Guzmán el Bueno 110, 28003 Madrid - España
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
11
OBTENCIÓN DE PRUEBAS (I)
●
Problemas de Intimidad
●
Utilización Snort
●
–
Ip origen
–
Ip destino
–
Hora y Fecha
Cuando se instale y retire hay que hacerlo conjuntamente con
la GC, así como la grabación de los logs
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
12
OBTENCIÓN DE PRUEBAS (II)
EJEMPLO DE CONFIGURACIÓN
buscados udp $EXTERNAL_NET any -> $HOME_NET
1220 (msg:"[ATENCION-1220] Paquete UDP a puerto
1220";)
buscados tcp $EXTERNAL_NET any -> $HOME_NET
1220 (msg:"[ATENCION-1220] Paquete TCP a puerto
1220";)
buscados tcp $EXTERNAL_NET any -> $HOME_NET
1220 (msg:"[ATENCION-1220] Conexion TCP a
puerto 1220" ; flags:S;)
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
13
OBTENCIÓN DE PRUEBAS (III)
EJEMPLO DEL LOG
Mar 17 07:10:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
80.30.99.7:20374 -> 192.168.12.125:1220
Mar 17 07:11:12 petardo last message repeated 7 times
Mar 17 07:11:51 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
80.30.99.7:20374 -> 192.168.12.125:1220
Mar 17 07:11:52 petardo last message repeated 3 times
Mar 17 07:12:19 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
81.23.179.235:3101 -> 192.168.12.125:1220
Mar 17 07:12:19 petardo last message repeated 3 times
Mar 17 07:12:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
80.30.99.7:20374 -> 192.168.12.125:1220
Mar 17 07:13:52 petardo last message repeated 11 times
Mar 17 07:14:21 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
81.23.179.235:3101 -> 192.168.12.125:1220
Mar 17 07:14:21 petardo last message repeated 3 times
Mar 17 07:14:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP}
80.30.99.7:20374 -> 192.168.12.125:1220
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
14
REALIZACIÓN DEL INFORME (I)
●
Descripción del caso
●
Sistema atacado
●
Descripción del ataque
●
Anexos
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
15
PASOS A SEGUIR POR LA GUARDIA
CIVIL
●
Recepción de la denuncia
- Deberá realizarla el Administrador de la Red.
- Idea clara y concreta del hecho.
- Valoración aproximada de los daños.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
16
PASOS A SEGUIR POR LA GUARDIA
CIVIL (II)
●
Inspección ocular
–
Reportaje fotográfico
–
Instalación sniffer conjuntamente Administrador de la Red
–
Acta
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
17
PASOS A SEGUIR POR LA GUARDIA
CIVIL (III)
●
Realización de un informe
–
Claro y conciso.
–
Objetividad.
–
Lo menos técnico posible.
–
Complementario al realizado por el Administrador de la
Red.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
18
PASOS A SEGUIR POR LA GUARDIA
CIVIL (IV)
• Investigación
Documental
– Estudio de los “logs”
generados
– Resoluciones números
IP
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
19
PASOS A SEGUIR POR LA GUARDIA
CIVIL (V)
• Investigación Operativa
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
20
PASOS A SEGUIR POR LA GUARDIA
CIVIL (VI)
• Análisis HD
– Copias “espejo”
– Herramientas Análisis
Forense
– Conclusiones
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
21
PASOS A SEGUIR POR LA GUARDIA
CIVIL (VII)
●
Elaboración Informe Técnico-Pericial Final
–
Informe Extendido y objetivo
–
Estructura básica (variable):
●
●
●
●
●
●
Antecedentes (delitos investigados)
Descripción equipo sometido a estudio
S.O. y Software
Anexos
Conclusiones
CdRom o Dvd anexo.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
22
PASOS A SEGUIR POR LA GUARDIA
CIVIL (VIII)
VISTA ORAL
TESTIGO
PERITO
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
23
BASE JURÍDICA (I)
CARACTÉRISTICAS TÍPICAS
●
Rapidez en su comisión y acercamiento en tiempo y
espacio.
●
Especialización técnica de los autores
●
Facilidad para encubrir el hecho y borrar pruebas
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
24
BASE JURÍDICA (II)
PROBLEMAS
●
Determinación del sujeto
●
Facilidad para ocultar pruebas o indicios
●
Complejidad técnica
●
Conexión de causalidad
●
Lugar de comisión del delito
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
25
BASE JURÍDICA (III)
DELITOS COMETIDOS
●
●
●
Daños (Art. 264.2 C.P.)
Descubrimiento y revelación de secretos (Art.197
C.P.)
Defraudación en fluido de las telecomunicaciones
(Art. 255-256 C.P.)
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
26
Ciber-delitos en el Código Penal
●
●
●
●
●
●
Contenidos ilícitos.
Delitos contra el Honor.
Delitos contra la intimidad y el derecho a la propia
imagen.
Delitos contra el patrimonio y contra el orden
socioeconómico.
Delitos Documentales.
Otras referencias indirectas.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
27
Contenidos Ilícitos en Redes
●
●
Corrupción de menores:
–
Exhibicionismo y provocación sexual (Art. 186 CP)
–
Prostitución (art. 189.1 CP)
Apología del delito:
–
Concepto (art. 18.1, párrafo 2º CP)
–
Apología del genocidio (art. 608.2 CP)
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
28
Delitos contra el Honor
●
Calumnias (art. 205 CP).
●
Injurias (art. 208 CP).
–
Art. 211 CP:
–
"La calumnia y la injuria se reputarán hechas con
publicidad cuando se propaguen por medio de la
imprenta, la radiodifusión o por cualquier otro medio de
eficacia semejante."
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
29
Delitos contra la Intimidad
●
Artículo 197 del Código Penal:
–
1. El que, para descubrir los secretos o vulnerar la intimidad de
otro, sin su consentimiento, se apodere de sus papeles, cartas,
mensajes de correo electrónico o cualesquiera otros documentos o
efectos personales o intercepte sus telecomunicaciones o utilice
artificios técnicos de escucha, transmisión, grabación o
reproducción del sonido o de la imagen, o de cualquier otra señal
de comunicación, será castigado con las penas de prisión de uno a
cuatro años y multa de doce a veinticuatro meses.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
30
Delitos contra el Patrimonio
●
●
●
●
De los hurtos y de los robos.
De las defraudaciones.
De los daños.
De los delitos relativos a la propiedad intelectual e
industrial, al mercado y a los consumidores.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
31
Defraudación Electrónica
●
Estafa (art. 248.2):
–
●
“También se consideran reos de estafa los que, con ánimo de lucro,
y valiéndose de alguna manipulación informática o artificio
semejante consigan la transferencia no consentida de cualquier
activo patrimonial en perjuicio de tercero.”
Apropiación indebida (art. 252)
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
32
Uso ilegal de terminales
●
Artículo 256 CP:
–
“El que hiciere uso de cualquier equipo terminal de
telecomunicación, sin consentimiento de su titular,
ocasionando a éste un perjuicio superior a cincuenta mil
pesetas, será castigado con la pena de multa de tres a
doce meses.”
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
33
Daños a ficheros (Virus)
●
Artículo 264.2 CP:
–
“La misma pena (prisión de uno a tres años y multa) se
impondrá al que por cualquier medio destruya, altere,
inutilice o de cualquier otro modo dañe los datos,
programas o documentos electrónicos ajenos contenidos
en redes, soportes o sistemas informáticos.”
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
34
Piratería Informática
●
Art. 270.3 CP:
–
“Será castigada también con la misma pena (prisión de
seis meses a dos años o de multa) la fabricación, puesta
en circulación y tenencia de cualquier medio
específicamente destinada a facilitar la supresión no
autorizada o la neutralización de cualquier dispositivo
técnico que se haya utilizado para proteger programas de
ordenador.”
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
35
Delitos Documentales
●
Concepto de documento (art. 26 CP):
–
●
●
“A los efectos de este Código se considera documento
todo soporte material que exprese o incorpore datos,
hechos o narraciones con eficacia probatoria o cualquier
otro tipo de relevancia jurídica.”
Falsedades Documentales (390 a 399).
Infidelidad en la custodia (413 a 416).
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
36
Protección del “Password”
●
Art. 414.2 CP:
–
“El particular que destruyere o inutilizare los medios a que
se refiere el apartado anterior (los puestos para impedir el
acceso no autorizado a los documentos), será castigado
con la pena de multa de seis a dieciocho meses.”
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
37
Otras referencias
●
Delitos Societarios (art. 290 CP)
●
Estragos (art. 346 CP)
●
Desórdenes Públicos (560.1 CP)
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
38
AGRADECIMIENTOS
●
Luis Martín Velasco (Capitán U.O.P.J. PO.)
●
Chelo Malagón (RedIRIS)
●
Jesus Sanz (RedIRIS)
●
Cursos TRANSINTS
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
39
BIBLIOGRAFÍA I
●
Http://www.leydatos.com/
●
Http://www.hispasec.com/
●
Http://www.rediris.es/
●
Http://www.virtualey.com/
●
Http://www.pintos-salgado.com/
●
Http://www.ipf.uvigo.es/
●
Http://www.cert.org/
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
40
BIBLIOGRAFÍA II
●
●
●
●
●
ALVAREZ-CIENFUEGOS SUÁREZ, José María: “Los delitos de
falsedad y los documentos generados electrónicamente. Concepto
procesal y material de documento: nuevas técnicas”. Cuadernos de
Derecho Judicial. La nueva delincuencia II. Consejo General del Poder
Judicial. Madrid, 1993.
ASSOCIATED PRESS: "Hackers: Pentagon archives vulnerables".
Mercury Center, 17 de abril de 1998:
http://spyglass1.sjmercury.com/breaking/docs/077466.htm
DAVARA RODRÍGUEZ, M. A.: “El documento electrónico, informático y
telemático y la firma electrónica”. Actualidad Informática Aranzadi, nº24,
Navarra, julio de 1997.
DAVARA RODRÍGUEZ, Miguel Ángel: “Derecho Informático”. Ed.
Aranzadi. Navarra, 1993.
DEL PESO, Emilio, PIATTINI, Mario G.: “Auditoría Informática”, 2ª
Edición. Ed. RA-MA, 2000
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
41
BIBLIOGRAFÍA III
●
●
●
●
RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO
SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones
de Hackeo [II]: penalización y medidas de seguridad”. Ed.
PrensaTécnica. Revista Linux Actual nº15, 2000.
RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO
SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones
de Hackeo [I]: pasos habituales del hacker”. Ed. PrensaTécnica.
Revista Linux Actual nº14, 2000.
RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO
SEGUÍN, Victor A y CONDE RODRIGUEZ, Laura Elena:. “Hackers:
Procedimientos frente a sus ataques”. Ed. Virtualibro
RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO
SEGUÍN, Victor A. “Linux: Seguridad técnica y legal”. Ed. Virtualibro
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
42
BIBLIOGRAFÍA IV
●
●
●
SANZ LARRUGA, F.J.: El Derecho ante las nuevas
tecnologías de la Información, nº1 del Anuario de la
Facultad de Derecho da Universidade da Coruña
(1997), pp. 499-516.
SHELDON, Tom, COX, Philip: “Windows 2000 Manual
de seguridad”. Ed. Osborne McGraw-Hill, 2002.
VARIOS: “Seguridad en Windows 2000 Referencia
técnica”. 1ª Edicción. Ed. Microsoft Press, 2001.
II Foro de Seguridad de RedIRIS
Módulo Técnico - Legal
43
CONTACTAR
José Luis Rivas López ([email protected])
Victor Salgado ([email protected])
Gonzalo Sotelo ([email protected])
Descargar

Diapositiva 1 - RedIRIS