Diapositiva 1

1
Módulo Técnico - Legal
Jose L.R. V. Salgado G. Sotelo UVigo Bufete
PintosSalgado Guardia Civil
2
TEMARIO (I)

• DESCRIPCIÓN DEL CASO
• DETECCIÓN DE LA INTRUSIÓN
• DESCRIPCIÓN DEL ATAQUE
• CONTACTO CON LA GUARDIA CIVIL (DENUNCIA)
• OBTENCIÓN DE PRUEBAS

3
TEMARIO (II)

• REALIZACIÓN DEL INFORME POR PARTE DEL
  ADMINISTRADOR DE LA RED
• ACTUACIÓN DE LA GUARDIA CIVIL
• BASE JURÍDICA
• AGRADECIMIENTOS

4
DESCRIPCIÓN DEL CASO

• Acceso no autorizado a una red universitaria
  española
• Copia de archivos personales o proyectos de
  investigación

5
DETECCIÓN DE LA INTRUSIÓN

• AVISO DE USUARIOS
• IDS
• ESCANEOS DE PUERTOS

6
DESCRIPCIÓN DEL ATAQUE (I)

• Obtención de la información del equipo
• Escaners Retina, hscan, ipcscan

7
DESCRIPCIÓN DEL ATAQUE (II)

• Acceso no autorizado al equipo
• Netbios, ISS, SQL, etc.

8
DESCRIPCIÓN DEL ATAQUE (III)

• Obtención de la cuenta de Administrador
• Sniffers, troyanos, etc.
• Instalación del radmin
• Mantener la cuenta de Administrador
• Cuentas traseras
• Netcat nc l p8888 e cmd.exe
• Taladrator

9
DESCRIPCIÓN DEL ATAQUE (IV)

• Borrar las huellas
• Scripts
• echo Seguridad de intrusion de tu ip en
  progreso.........
• echo Version gtgt temp
• echo signature"CHICAGO" gtgt temp
• echo Revision1 gtgt temp
• echo Profile Description gtgt temp
• echo DescriptionDefault Security Settings.
  (Windows 2000 Professional) gtgt temp

10
CONTACTAR CON LA GUARDIA CIVIL

• Forma electrónica
• http//www.guardiacivil.org/00telematicos/index.ht
  m
• Teléfono
• 34 91 514 64 00
• 062
• Dirección Postal
• C/ Guzmán el Bueno 110, 28003 Madrid - España

11
OBTENCIÓN DE PRUEBAS (I)

• Problemas de Intimidad
• Utilización Snort
• Ip origen
• Ip destino
• Hora y Fecha
• Cuando se instale y retire hay que hacerlo
  conjuntamente con la GC, así como la grabación de
  los logs

12
OBTENCIÓN DE PRUEBAS (II)EJEMPLO DE CONFIGURACIÓN

• buscados udp EXTERNAL_NET any -gt HOME_NET 1220
  (msg"ATENCION-1220 Paquete UDP a puerto
  1220")
• buscados tcp EXTERNAL_NET any -gt HOME_NET 1220
  (msg"ATENCION-1220 Paquete TCP a puerto
  1220")
• buscados tcp EXTERNAL_NET any -gt HOME_NET 1220
  (msg"ATENCION-1220 Conexion TCP a puerto 1220"
  flagsS)

13
OBTENCIÓN DE PRUEBAS (III)EJEMPLO DEL LOG

• Mar 17 071031 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 80.30.99.720374 -gt
  192.168.12.1251220
• Mar 17 071112 petardo last message repeated 7
  times
• Mar 17 071151 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 80.30.99.720374 -gt
  192.168.12.1251220
• Mar 17 071152 petardo last message repeated 3
  times
• Mar 17 071219 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 81.23.179.2353101 -gt
  192.168.12.1251220
• Mar 17 071219 petardo last message repeated 3
  times
• Mar 17 071231 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 80.30.99.720374 -gt
  192.168.12.1251220
• Mar 17 071352 petardo last message repeated 11
  times
• Mar 17 071421 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 81.23.179.2353101 -gt
  192.168.12.1251220
• Mar 17 071421 petardo last message repeated 3
  times
• Mar 17 071431 petardo snort ID 702911
  local5.alert 100 ATENCION Paquete TCP a
  puerto 1220 TCP 80.30.99.720374 -gt
  192.168.12.1251220

14
REALIZACIÓN DEL INFORME (I)

• Descripción del caso
• Sistema atacado
• Descripción del ataque
• Anexos

15
PASOS A SEGUIR POR LA GUARDIA CIVIL

• Recepción de la denuncia
• - Deberá realizarla el Administrador de la Red.
• - Idea clara y concreta del hecho.
• - Valoración aproximada de los daños.

16
PASOS A SEGUIR POR LA GUARDIA CIVIL (II)

• Inspección ocular
• Reportaje fotográfico
• Instalación sniffer conjuntamente Administrador
  de la Red
• Acta

17
PASOS A SEGUIR POR LA GUARDIA CIVIL (III)

• Realización de un informe
• Claro y conciso.
• Objetividad.
• Lo menos técnico posible.
• Complementario al realizado por el Administrador
  de la Red.

18
PASOS A SEGUIR POR LA GUARDIA CIVIL (IV)

• Investigación Documental
• Estudio de los logs generados
• Resoluciones números IP

19
PASOS A SEGUIR POR LA GUARDIA CIVIL (V)

• Investigación Operativa

20
PASOS A SEGUIR POR LA GUARDIA CIVIL (VI)

• Análisis HD
• Copias espejo
• Herramientas Análisis Forense
• Conclusiones

21
PASOS A SEGUIR POR LA GUARDIA CIVIL (VII)

• Elaboración Informe Técnico-Pericial Final
• Informe Extendido y objetivo
• Estructura básica (variable)
• Antecedentes (delitos investigados)
• Descripción equipo sometido a estudio
• S.O. y Software
• Anexos
• Conclusiones
• CdRom o Dvd anexo.

22
PASOS A SEGUIR POR LA GUARDIA CIVIL (VIII)
23
BASE JURÍDICA (I) CARACTÉRISTICAS TÍPICAS

• Rapidez en su comisión y acercamiento en tiempo y
  espacio.
• Especialización técnica de los autores
• Facilidad para encubrir el hecho y borrar pruebas

24
BASE JURÍDICA (II) PROBLEMAS

• Determinación del sujeto
• Facilidad para ocultar pruebas o indicios
• Complejidad técnica
• Conexión de causalidad
• Lugar de comisión del delito

25
BASE JURÍDICA (III)DELITOS COMETIDOS

• Daños (Art. 264.2 C.P.)
• Descubrimiento y revelación de secretos (Art.197
  C.P.)
• Defraudación en fluido de las telecomunicaciones
  (Art. 255-256 C.P.)

26
Ciber-delitos en el Código Penal

• Contenidos ilícitos.
• Delitos contra el Honor.
• Delitos contra la intimidad y el derecho a la
  propia imagen.
• Delitos contra el patrimonio y contra el orden
  socioeconómico.
• Delitos Documentales.
• Otras referencias indirectas.

27
Contenidos Ilícitos en Redes

• Corrupción de menores
• Exhibicionismo y provocación sexual (Art. 186 CP)
• Prostitución (art. 189.1 CP)
• Apología del delito
• Concepto (art. 18.1, párrafo 2º CP)
• Apología del genocidio (art. 608.2 CP)

28
Delitos contra el Honor

• Calumnias (art. 205 CP).
• Injurias (art. 208 CP).
• Art. 211 CP
• "La calumnia y la injuria se reputarán hechas con
  publicidad cuando se propaguen por medio de la
  imprenta, la radiodifusión o por cualquier otro
  medio de eficacia semejante."

29
Delitos contra la Intimidad

• Artículo 197 del Código Penal
• 1. El que, para descubrir los secretos o vulnerar
  la intimidad de otro, sin su consentimiento, se
  apodere de sus papeles, cartas, mensajes de
  correo electrónico o cualesquiera otros
  documentos o efectos personales o intercepte sus
  telecomunicaciones o utilice artificios técnicos
  de escucha, transmisión, grabación o reproducción
  del sonido o de la imagen, o de cualquier otra
  señal de comunicación, será castigado con las
  penas de prisión de uno a cuatro años y multa de
  doce a veinticuatro meses.

30
Delitos contra el Patrimonio

• De los hurtos y de los robos.
• De las defraudaciones.
• De los daños.
• De los delitos relativos a la propiedad
  intelectual e industrial, al mercado y a los
  consumidores.

31
Defraudación Electrónica

• Estafa (art. 248.2)
• También se consideran reos de estafa los que,
  con ánimo de lucro, y valiéndose de alguna
  manipulación informática o artificio semejante
  consigan la transferencia no consentida de
  cualquier activo patrimonial en perjuicio de
  tercero.
• Apropiación indebida (art. 252)

32
Uso ilegal de terminales

• Artículo 256 CP
• El que hiciere uso de cualquier equipo terminal
  de telecomunicación, sin consentimiento de su
  titular, ocasionando a éste un perjuicio superior
  a cincuenta mil pesetas, será castigado con la
  pena de multa de tres a doce meses.

33
Daños a ficheros (Virus)

• Artículo 264.2 CP
• La misma pena (prisión de uno a tres años y
  multa) se impondrá al que por cualquier medio
  destruya, altere, inutilice o de cualquier otro
  modo dañe los datos, programas o documentos
  electrónicos ajenos contenidos en redes, soportes
  o sistemas informáticos.

34
Piratería Informática

• Art. 270.3 CP
• Será castigada también con la misma pena
  (prisión de seis meses a dos años o de multa) la
  fabricación, puesta en circulación y tenencia de
  cualquier medio específicamente destinada a
  facilitar la supresión no autorizada o la
  neutralización de cualquier dispositivo técnico
  que se haya utilizado para proteger programas de
  ordenador.

35
Delitos Documentales

• Concepto de documento (art. 26 CP)
• A los efectos de este Código se considera
  documento todo soporte material que exprese o
  incorpore datos, hechos o narraciones con
  eficacia probatoria o cualquier otro tipo de
  relevancia jurídica.
• Falsedades Documentales (390 a 399).
• Infidelidad en la custodia (413 a 416).

36
Protección del Password

• Art. 414.2 CP
• El particular que destruyere o inutilizare los
  medios a que se refiere el apartado anterior (los
  puestos para impedir el acceso no autorizado a
  los documentos), será castigado con la pena de
  multa de seis a dieciocho meses.

37
Otras referencias

• Delitos Societarios (art. 290 CP)
• Estragos (art. 346 CP)
• Desórdenes Públicos (560.1 CP)

38
AGRADECIMIENTOS

• Luis Martín Velasco (Capitán U.O.P.J. PO.)
• Chelo Malagón (RedIRIS)
• Jesus Sanz (RedIRIS)
• Cursos TRANSINTS

39
BIBLIOGRAFÍA I

• Http//www.leydatos.com/
• Http//www.hispasec.com/
• Http//www.rediris.es/
• Http//www.virtualey.com/
• Http//www.pintos-salgado.com/
• Http//www.ipf.uvigo.es/
• Http//www.cert.org/

40
BIBLIOGRAFÍA II

• ALVAREZ-CIENFUEGOS SUÁREZ, José María Los
  delitos de falsedad y los documentos generados
  electrónicamente. Concepto procesal y material de
  documento nuevas técnicas. Cuadernos de Derecho
  Judicial. La nueva delincuencia II. Consejo
  General del Poder Judicial. Madrid, 1993.
• ASSOCIATED PRESS "Hackers Pentagon archives
  vulnerables". Mercury Center, 17 de abril de
  1998 http//spyglass1.sjmercury.com/breaking/docs
  /077466.htm
• DAVARA RODRÍGUEZ, M. A. El documento
  electrónico, informático y telemático y la firma
  electrónica. Actualidad Informática Aranzadi,
  nº24, Navarra, julio de 1997.
• DAVARA RODRÍGUEZ, Miguel Ángel Derecho
  Informático. Ed. Aranzadi. Navarra, 1993.
• DEL PESO, Emilio, PIATTINI, Mario G. Auditoría
  Informática, 2ª Edición. Ed. RA-MA, 2000

41
BIBLIOGRAFÍA III

• RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique,
  SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ,
  Laura Elena Situaciones de Hackeo II
  penalización y medidas de seguridad. Ed.
  PrensaTécnica. Revista Linux Actual nº15, 2000.
• RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique,
  SALGADO SEGUÍN, Victor A. y CONDE RODRÍGUEZ,
  Laura Elena Situaciones de Hackeo I pasos
  habituales del hacker. Ed. PrensaTécnica.
  Revista Linux Actual nº14, 2000.
• RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique,
  SALGADO SEGUÍN, Victor A y CONDE RODRIGUEZ, Laura
  Elena. Hackers Procedimientos frente a sus
  ataques. Ed. Virtualibro
• RIVAS LÓPEZ, José Luis, ARES GÓMEZ, José Enrique,
  SALGADO SEGUÍN, Victor A. Linux Seguridad
  técnica y legal. Ed. Virtualibro

42
BIBLIOGRAFÍA IV

• SANZ LARRUGA, F.J. El Derecho ante las nuevas
  tecnologías de la Información, nº1 del Anuario de
  la Facultad de Derecho da Universidade da Coruña
  (1997), pp. 499-516.
• SHELDON, Tom, COX, Philip Windows 2000 Manual
  de seguridad. Ed. Osborne McGraw-Hill, 2002.
• VARIOS Seguridad en Windows 2000 Referencia
  técnica. 1ª Edicción. Ed. Microsoft Press, 2001.

43
CONTACTAR

• José Luis Rivas López (jlrivas_at_uvigo.es)
• Victor Salgado (vsalgado_at_pintos-salgado.com)
• Gonzalo Sotelo (gonzasotelo_at_guardiacivil.es)