1 / 43

Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil

Módulo Técnico - Legal. Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil. TEMARIO (I). DESCRIPCIÓN DEL CASO DETECCIÓN DE LA INTRUSIÓN DESCRIPCIÓN DEL ATAQUE CONTACTO CON LA GUARDIA CIVIL (DENUNCIA) OBTENCIÓN DE PRUEBAS. TEMARIO (II).

kovit
Download Presentation

Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Módulo Técnico - Legal Jose L.R. – V. Salgado – G. Sotelo UVigo – Bufete Pintos&Salgado – Guardia Civil

  2. TEMARIO (I) • DESCRIPCIÓN DEL CASO • DETECCIÓN DE LA INTRUSIÓN • DESCRIPCIÓN DEL ATAQUE • CONTACTO CON LA GUARDIA CIVIL (DENUNCIA) • OBTENCIÓN DE PRUEBAS

  3. TEMARIO (II) • REALIZACIÓN DEL INFORME POR PARTE DEL ADMINISTRADOR DE LA RED • ACTUACIÓN DE LA GUARDIA CIVIL • BASE JURÍDICA • AGRADECIMIENTOS

  4. Acceso no autorizado a una red universitaria española Copia de archivos personales o proyectos de investigación DESCRIPCIÓN DEL CASO

  5. DETECCIÓN DE LA INTRUSIÓN • AVISO DE USUARIOS • IDS • ESCANEOS DE PUERTOS

  6. DESCRIPCIÓN DEL ATAQUE (I) • Obtención de la información del equipo • Escaners: Retina, hscan, ipcscan

  7. DESCRIPCIÓN DEL ATAQUE (II) • Acceso no autorizado al equipo • Netbios, ISS, SQL, etc.

  8. DESCRIPCIÓN DEL ATAQUE (III) • Obtención de la cuenta de Administrador • Sniffers, troyanos, etc. • Instalación del radmin • Mantener la cuenta de Administrador • Cuentas traseras • Netcat: nc –l –p8888 –e cmd.exe • Taladrator

  9. DESCRIPCIÓN DEL ATAQUE (IV) • Borrar las huellas • Scripts echo Seguridad de intrusion de tu ip en progreso......... echo [Version] >> temp echo signature="$CHICAGO$" >> temp echo Revision=1 >> temp echo [Profile Description] >> temp echo Description=Default Security Settings. (Windows 2000 Professional) >> temp ……

  10. CONTACTAR CON LA GUARDIA CIVIL • Forma electrónica: • http://www.guardiacivil.org/00telematicos/index.htm • Teléfono: • 34 91 514 64 00 • 062 • Dirección Postal: • C/ Guzmán el Bueno 110, 28003 Madrid - España

  11. OBTENCIÓN DE PRUEBAS (I) • Problemas de Intimidad • Utilización Snort • Ip origen • Ip destino • Hora y Fecha • Cuando se instale y retire hay que hacerlo conjuntamente con la GC, así como la grabación de los logs

  12. OBTENCIÓN DE PRUEBAS (II)EJEMPLO DE CONFIGURACIÓN buscados udp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Paquete UDP a puerto 1220";) buscados tcp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Paquete TCP a puerto 1220";) buscados tcp $EXTERNAL_NET any -> $HOME_NET 1220 (msg:"[ATENCION-1220] Conexion TCP a puerto 1220" ; flags:S;)

  13. OBTENCIÓN DE PRUEBAS (III)EJEMPLO DEL LOG Mar 17 07:10:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:11:12 petardo last message repeated 7 times Mar 17 07:11:51 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:11:52 petardo last message repeated 3 times Mar 17 07:12:19 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 81.23.179.235:3101 -> 192.168.12.125:1220 Mar 17 07:12:19 petardo last message repeated 3 times Mar 17 07:12:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220 Mar 17 07:13:52 petardo last message repeated 11 times Mar 17 07:14:21 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 81.23.179.235:3101 -> 192.168.12.125:1220 Mar 17 07:14:21 petardo last message repeated 3 times Mar 17 07:14:31 petardo snort: [ID 702911 local5.alert] [1:0:0] [ATENCION] Paquete TCP a puerto 1220 {TCP} 80.30.99.7:20374 -> 192.168.12.125:1220

  14. REALIZACIÓN DEL INFORME (I) • Descripción del caso • Sistema atacado • Descripción del ataque • Anexos

  15. PASOS A SEGUIR POR LA GUARDIA CIVIL • Recepción de la denuncia - Deberá realizarla el Administrador de la Red. - Idea clara y concreta del hecho. - Valoración aproximada de los daños.

  16. PASOS A SEGUIR POR LA GUARDIA CIVIL (II) • Inspección ocular • Reportaje fotográfico • Instalación sniffer conjuntamente Administrador de la Red • Acta

  17. PASOS A SEGUIR POR LA GUARDIA CIVIL (III) • Realización de un informe • Claro y conciso. • Objetividad. • Lo menos técnico posible. • Complementario al realizado por el Administrador de la Red.

  18. PASOS A SEGUIR POR LA GUARDIA CIVIL (IV) • Investigación Documental • Estudio de los “logs” generados • Resoluciones números IP

  19. PASOS A SEGUIR POR LA GUARDIA CIVIL (V) • Investigación Operativa

  20. PASOS A SEGUIR POR LA GUARDIA CIVIL (VI) • Análisis HD • Copias “espejo” • Herramientas Análisis Forense • Conclusiones

  21. PASOS A SEGUIR POR LA GUARDIA CIVIL (VII) • Elaboración Informe Técnico-Pericial Final • Informe Extendido y objetivo • Estructura básica (variable): • Antecedentes (delitos investigados) • Descripción equipo sometido a estudio • S.O. y Software • Anexos • Conclusiones • CdRom o Dvd anexo.

  22. PASOS A SEGUIR POR LA GUARDIA CIVIL (VIII)

  23. BASE JURÍDICA (I) CARACTÉRISTICAS TÍPICAS • Rapidez en su comisión y acercamiento en tiempo y espacio. • Especialización técnica de los autores • Facilidad para encubrir el hecho y borrar pruebas

  24. BASE JURÍDICA (II) PROBLEMAS • Determinación del sujeto • Facilidad para ocultar pruebas o indicios • Complejidad técnica • Conexión de causalidad • Lugar de comisión del delito

  25. BASE JURÍDICA (III)DELITOS COMETIDOS • Daños (Art. 264.2 C.P.) • Descubrimiento y revelación de secretos (Art.197 C.P.) • Defraudación en fluido de las telecomunicaciones (Art. 255-256 C.P.)

  26. Ciber-delitos en el Código Penal • Contenidos ilícitos. • Delitos contra el Honor. • Delitos contra la intimidad y el derecho a la propia imagen. • Delitos contra el patrimonio y contra el orden socioeconómico. • Delitos Documentales. • Otras referencias indirectas.

  27. Contenidos Ilícitos en Redes • Corrupción de menores: • Exhibicionismo y provocación sexual (Art. 186 CP) • Prostitución (art. 189.1 CP) • Apología del delito: • Concepto (art. 18.1, párrafo 2º CP) • Apología del genocidio (art. 608.2 CP)

  28. Delitos contra el Honor • Calumnias (art. 205 CP). • Injurias (art. 208 CP). • Art. 211 CP: • "La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante."

  29. Delitos contra la Intimidad • Artículo 197 del Código Penal: • 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

  30. Delitos contra el Patrimonio • De los hurtos y de los robos. • De las defraudaciones. • De los daños. • De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores.

  31. Defraudación Electrónica • Estafa (art. 248.2): • “También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.” • Apropiación indebida (art. 252)

  32. Uso ilegal de terminales • Artículo 256 CP: • “El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses.”

  33. Daños a ficheros (Virus) • Artículo 264.2 CP: • “La misma pena (prisión de uno a tres años y multa) se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.”

  34. Piratería Informática • Art. 270.3 CP: • “Será castigada también con la misma pena (prisión de seis meses a dos años o de multa) la fabricación, puesta en circulación y tenencia de cualquier medio específicamente destinada a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador.”

  35. Delitos Documentales • Concepto de documento (art. 26 CP): • “A los efectos de este Código se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica.” • Falsedades Documentales (390 a 399). • Infidelidad en la custodia (413 a 416).

  36. Protección del “Password” • Art. 414.2 CP: • “El particular que destruyere o inutilizare los medios a que se refiere el apartado anterior (los puestos para impedir el acceso no autorizado a los documentos), será castigado con la pena de multa de seis a dieciocho meses.”

  37. Otras referencias • Delitos Societarios (art. 290 CP) • Estragos (art. 346 CP) • Desórdenes Públicos (560.1 CP)

  38. AGRADECIMIENTOS • Luis Martín Velasco (Capitán U.O.P.J. PO.) • Chelo Malagón (RedIRIS) • Jesus Sanz (RedIRIS) • Cursos TRANSINTS

  39. BIBLIOGRAFÍA I • Http://www.leydatos.com/ • Http://www.hispasec.com/ • Http://www.rediris.es/ • Http://www.virtualey.com/ • Http://www.pintos-salgado.com/ • Http://www.ipf.uvigo.es/ • Http://www.cert.org/

  40. BIBLIOGRAFÍA II • ALVAREZ-CIENFUEGOS SUÁREZ, José María: “Los delitos de falsedad y los documentos generados electrónicamente. Concepto procesal y material de documento: nuevas técnicas”. Cuadernos de Derecho Judicial. La nueva delincuencia II. Consejo General del Poder Judicial. Madrid, 1993. • ASSOCIATED PRESS: "Hackers: Pentagon archives vulnerables". Mercury Center, 17 de abril de 1998: http://spyglass1.sjmercury.com/breaking/docs/077466.htm • DAVARA RODRÍGUEZ, M. A.: “El documento electrónico, informático y telemático y la firma electrónica”. Actualidad Informática Aranzadi, nº24, Navarra, julio de 1997. • DAVARA RODRÍGUEZ, Miguel Ángel: “Derecho Informático”. Ed. Aranzadi. Navarra, 1993. • DEL PESO, Emilio, PIATTINI, Mario G.: “Auditoría Informática”, 2ª Edición. Ed. RA-MA, 2000

  41. BIBLIOGRAFÍA III • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones de Hackeo [II]: penalización y medidas de seguridad”. Ed. PrensaTécnica. Revista Linux Actual nº15, 2000. • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ, Laura Elena: “Situaciones de Hackeo [I]: pasos habituales del hacker”. Ed. PrensaTécnica. Revista Linux Actual nº14, 2000. • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A y CONDE RODRIGUEZ, Laura Elena:. “Hackers: Procedimientos frente a sus ataques”. Ed. Virtualibro • RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique, SALGADO SEGUÍN, Victor A. “Linux: Seguridad técnica y legal”. Ed. Virtualibro

  42. BIBLIOGRAFÍA IV • SANZ LARRUGA, F.J.: El Derecho ante las nuevas tecnologías de la Información, nº1 del Anuario de la Facultad de Derecho da Universidade da Coruña (1997), pp. 499-516. • SHELDON, Tom, COX, Philip: “Windows 2000 Manual de seguridad”. Ed. Osborne McGraw-Hill, 2002. • VARIOS: “Seguridad en Windows 2000 Referencia técnica”. 1ª Edicción. Ed. Microsoft Press, 2001.

  43. CONTACTAR José Luis Rivas López (jlrivas@uvigo.es) Victor Salgado (vsalgado@pintos-salgado.com) Gonzalo Sotelo (gonzasotelo@guardiacivil.es)

More Related