Van den Eynde

Concerteu una Visita:

93 317 06 54
andreu@icab.cat

Passeig de Gràcia 12-14, 4t 2a
08007 Barcelona

Prova Electrònica (III): Cloud, Troians, Eines forenses, etc.

09/04/2014

BotnetReprenc el tema de la prova electrònica per tancar la trilogia de posts amb un batibull d’idees, trucs, problemes, etc., relacionats amb Internet i la prova electrònica sorgits arran de les ponències i debats del Congrés de Prova Electrònica de Milà a què he fet referència en el meu primer i segon posts sobre el tema.

INVESTIGACIÓ PENAL MITJANÇANT TROIANS

He d’admetre que després d’escoltar al Magistrat francès David Benichou va canviar bastant la meva percepció sobre la investigació criminal mitjançant troians. Benichou partia de la necessitat d’afrontar (perquè ho coneix molt bé) la difícil tasca de resoldre crims perpetrats per organitzacions criminals que usen tecnologia complexa i mètodes que van sempre un pas per davant dels investigadors. El magistrat posava com a exemple de com funcionen determinats elements criminals un cas en què es va detenir un sospitós que no disposava de cap telèfon mòbil, circumstància que va desconcertar als investigadors. Algú es va adonar que el detingut, però, portava 2 rellotges de polsera i dins de la maquinària d’un d’ells es va trobar amagada una targeta SIM usada per la xarxa criminal.

El magistrat Benichou és testimoni de les dificultats de la investigació criminal en supòsits en què l’element tecnològic resulta imprescindible, com els casos en què es necessita de la col.laboració de ISPs americans que no ajuden amb la rapidesa necessària o no ajuden de cap manera. Paradoxalment els mateixos ISPs que, no obstant, no han dubtat a col·laborar amb el programa PRISM .

Però l’interessant de les seves reflexions és el punt de vista ofert per justificar la investigació a través de programes troians des d’una perspectiva que no pot descartar-se sempre i quan es respectin escrupolosament els drets fonamentals. Segons el magistrat els troians són precisament l’única forma d’efectuar un bypass als proveïdors d’Internet i per tant garantir investigacions en les que no es depengui d’institucions privades per resoldre un delicte, ja que el troià pot interceptar la connexió sense necessitat de requerir un auxili tècnic dels ISPs.

L’única cosa important seria limitar judicialment l’abast dels troians, definir el seu camp d’actuació i prospecció d’acord a un judici de proporcionalitat, com podria ser una limitació del seu abast a meres funcions de keylogger de pulsacions de teclat o captures de pantalla.

Les previsions del futur Codi Processal Penal apunten al debat sobre la introducció de troians que, des del punt de vista apuntat, serien eines útils per a la investigació criminal sempre que es dissenyessin i s’autoritzessin sota un control judicial estricte.

És clar al meu entendre que el tema crucial no és tant el mètode tècnic d’investigació sinó els límits que a aquest mètode es posin per garantir el respecte als drets fonamentals, en la línia de la recent discussió sobre la retenció de dades de trànsit a què fa referència per exemple un post del company David Maetzu i algunes de les consideracions que ja vaig apuntar en un altre post .

PACKERS, BOTNETS, CLOUD FORENSICS I ALTRES TEMES

Hi ha diferents temes interessants que simplement exposaré en aquest apartat genèric, ja que alguns d’ells no tenen relació entre si però són útils al debat sobre la prova electrònica.

En primer lloc l’advocat anglès Sandip Patel va dir una obvietat però que resulta interessant recordar sobre l’etern debat de l’admissibilitat de la prova electrònica. La novetat de la prova electrònica i el desconeixement de les seves característiques genera sempre una susceptibilitat que de vegades no té cap sentit. Cap jutge denegaria l’admissió com a prova de “mitja carta manuscrita”, és a dir, d’un document que per exemple arribés al Tribunal faltant-li una part, sens perjudici del valor probatori que s’atorgués a aquest document o a les mencions d’aquest tros de paper. Diu llavors Patel amb encert que per què hauria de ser diferent la prova electrònica i per què normalment es plantegen més dubtes d’admissibilitat que respecte a un altre tipus de proves. Si a un tribunal arriba part d’una prova electrònica, això tindrà la seva rellevància durant el moment de valoració probatòria però no hi ha raons per qüestionar la seva admissibilitat sense un principi de prova de contrari de la seva falsificació.

L’expert en seguretat informàtica Bob Burls ens va introduir en el món dels mètodes de ciberdelinqüència més moderns i per tant en una infinitat de neologismes i nous termes. En primer lloc ens va parlar dels Packers com a fórmules d’ocultació d’arxius executables i per tant com a tècnica per evitar l’enginyeria inversa de malware i dificultar la detecció per part dels antivirus. També va parlar de la utilització de màquines virtuals en la comissió del crim que ens allunya per tant de la clàssica finalitat de determinació de l’autor a través de la localització física de l’equip informàtic. Va parlar Burls de la darknet i dels preus actuals de les botnets (pel que sembla es paguen 100 bots a 50 dòlars americans) així com dels bogons. En definitiva, la tradicional intervenció d’algú que ha treballat en investigació de delictes i que genera l’inevitable efecte en l’audiència d’inseguretat total, donant ganes de tirar l’smartphone a la primera paperera que es trobi.

El policia finlandès Jari Janavanien introduir també temes interessants sobre cloud forensics explicant les dificultats d’investigació d’evidències en el núvol ja que el seu rastre desapareix més ràpidament i per la necessitat d’investigar adaptant-se a cada cas concret (per investigar a Gmail s’ha de treballar des de l’entorn Gmail). Es va parlar d’uns estàndards d’investigació forense digital molt interessants, en concret els de l’Associació de Caps de Policia d’Anglaterra, Gal·les i Irlanda del Nord publicat al protocol ACPO (com es troba a faltar a Espanya l’existència de protocols tècnics d’investigació criminal!).

Una de les coses més interessants explicades per Janavanien van ser les reflexions sobre l’ús del Hash criptogràfic com a tècnica de recerca d’arxius i els problemes que això pot comportar. Si l’investigador utilitza el valor Hash com a dada per a localitzar arxius ha de tenir en compte que hi ha operacions o ordres que modifiquen el Hash i altres que no i va posar els exemples següents:

  • Modificar la mida d’un arxiu MODIFICA el seu valor Hash.
  • Imprimir un arxiu MODIFICA el seu valor Hash.
  • Moure un fitxer a una memòria USB o dins de l’equip NO MODIFICA el valor Hash.
  • Canviar el nom d’un arxiu NO MODIFICA seu valor Hash.
  • Obrir un fitxer (per exemple un Excel) MODIFICA el Hash si el desem (encara que no hàgim efectuat canvis) però NO el MODIFICA si cancel·lem sense desar.

PROVA INFORMÀTICA I ADVOCATS PENALISTES

Sempre és interessant escoltar la perspectiva del penalista i alguns temes que va proposar el company italià Giuseppe Vaciago van ser de molt interès. Només els enumeraré perquè donaria per molt la seva discussió profunda.

En primer lloc distingeix Vaciago entre la recerca digital de proves irrepetibles (per fugaces) i la post-mortem. Evidentment no és el mateix estudiar un fet informàtic que s’està desenvolupant que analitzar un equip informàtic desconnectat. Això té una importància pràctica molt habitual en supòsits d’investigacions efectuades per la policia sobre equips informàtics en funcionament en els quals la defensa intenta de vegades qüestionar la prova en no poder-se practicar pericial contradictòria, quan això resulta tècnicament impossible si algunes evidències tenen a veure amb processos que la policia analitza in situ en accedir a un equip informàtic en funcionament.

Vaciago advoca per l’ús de programari forense de codi obert ja que per a ell és l’únic que podria permetre una admissibilitat plena de la prova d’acord amb els estàndards d’admissibilitat que s’usen, per exemple, en la jurisdicció americana (el test de Daubert). Evidentment això s’allunya dels usos actuals on fins i tot la policia utilitza programari propietari com ENCASE. En principi tota prova informàtica post-mortem sobre equips informàtics hauria de ser tècnicament repetible i, per tant, controlable.

Què ha de fer l’advocat penalista durant la fase d’investigació d’un delicte informàtic i en relació a la prova informàtica?

  1. Controlar que la prova obtinguda per la policia no excedeixi de l’autoritzada pel jutge i compleixi amb la legalitat en la seva obtenció.
  2. Que la policia especialitzada treballi sota estàndards d’investigació forense informàtica vàlids.
  3. Contractar un pèrit informàtic immediatament.
  4. Obtenir una còpia-mirall (bit a bit) de la prova per sotmetre-la a una anàlisi contradictòria si fos convenient.

Vaciago ens informa d’eines molt útils de recerca, com els sistemes per efectuar una validació amb petjada de temps d’una pàgina web de forma gratuïta com Hashbot o paquets més complexos d’investigació forense digital com X1 Discovery.

I finalment s’introdueix un tema molt suggerent: el de l’afectació de la informació a Internet a l’opinió dels jurats en judicis amb Tribunal del Jurat, citant un cas anglès en el qual una jurat va entrar en contacte a través de Facebook amb una acusada del judici en què va participar, determinant no només l’anul·lació del judici sinó la seva pròpia condemna per delicte contra l’Administració de Justícia.

ADN cadena de custòdia contrasenya Delicte informàtic Dret Penal econòmic error judicial forense Hacking internet investigació Menors nul·litat prova Psicologia del testimoni Roda de reconeixement testimoni troià True Crypt Xarxes Socials xifrat

Cercar

Sobre mi

Andreu Van Den Eynde Em dedico des de fa 18 anys a la defensa i assessorament especialitzats en matèria penal, exercint com advocat davant els jutjats i tribunals espanyols en la defensa dels interessos dels meus clients en tot tipus de conflictes.

Contacte

Passeig de Gràcia 12-14, 4t 2a
08007 Barcelona

93 317 06 54 | Fax 93 412 07 39
andreu@icab.cat


Mostra un mapa més gran