Més informació sobre la ponència

08/11/2013
S.
L
.P
.
INTRUSISME INFORMÄTIC
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
Intrusisme inform€tic
• Activitats de intrusisme il•leg‚tim:
– Hackers
– Crackers
• Tractament penal d'aquestes activitats:
– delictes contra la intimitat
– descobriment de secrets
• Entorn global:
– el correu electrƒnic.
– el cloud
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
2/23
1
08/11/2013
L'intrusisme selecciona sistemes per
a prendre el control
• Les t„cniques de hacking o acc„s remot:
– Hacker: …s una persona amb molts coneixements que quan penetra a
la seguretat d’un sistema inform€tic, no ho fa per fer mal, sin‡ per
xaferdejar o aprendre com evitar aquest tipus d’atacs.
– Cracker: …s una persona que Sˆ actua per danyar sistemes.
– Phreaker: Sol tenir experi„ncies en les telecomunicacions.
– Newbie: Nom que es dona als principiants aprenents de Hackers
S.
L
.P
.
– Script kiddie: Persona que no t‰ coneixments de les tecniques del
Hacking, perƒ que ataca amb programes o sripts creats per
professionals per aquest fi.
3/23
R
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
Proc„s de hacking
1- Fixar una m€quina.
2- Obtenir informaci‡.
3- Detectar les mesures de seguretat i vulnerabilitats.
4- Aprofitar, si n'hi ha, les vulnerabilitats.
5- Fer-se amb un compte d'administrador.
6- Treball prudent, metƒdic i minuci‡s.
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
4/23
2
08/11/2013
Hacker vs. Cracker
5
• White hat hackers = Jedis
Consideren la programaci‡
i els sistemes de seguretat
com un desafiament intel•lectual
• Experts en sistemes inform€tics
S.
L
.P
.
– Entra > Mira > Tanca la porta (avisant?)
– Especialistes en prevenir
• Els atacs cibern„tics poden servir per corregir defectes de seguretat en
els sistemes
5/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
6
TI
C
JU
R
Intrusisme com a: Oci
• DEFCON Kids: Grooming Next
Generation White Hat Hackers
http://www.ibtimes.com/articles/194171/20110808/defcon-kids-grooming-next-generation-white-hat-hackers.htm
Convenci‡ anual a Estats Units de nens de 816 anys que volen aprendre hacking legal i
mostrar les seves habilitats.
• White Hat Hacker Cracks UK ID Card In
12 Minutes
http://www.dailymail.co.uk/news/article-1204641/New-ID-cards-supposed-unforgeable--took-expert-12minutes-clone-programme-false-data.html
El diari angl„s Dailymail va proposar a un
expert que falsifiqu‰s el DNI d’estudiants i
treballadors immigrants.
• White Hat Hackers on NBC Bay Area
http://www.youtube.com/watch?feature=player_detailpage&v=hWohrXQSdRo
Hackers que s’ofereixen per lluitar contra
hackers
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
6/23
3
08/11/2013
Intrusisme com a: CompeticiÄ
7
• Facebook pays out Š25,000 to 'white
hat' hackers
http://www.telegraph.co.uk/technology/facebook/8731490/Facebook-pays-out-25000-to-whitehat-hackers.html
Facebook paga 1.000 lliures al dia a hackers per
trobar errades en el seu software.
• Google ofrece $20,000 a quien rompa
la seguridad de Chrome
http://www.bajaki.com/info/497-hackers-el-mundo-los-necesita.htm
Google busca hackers que trenquin la seguretat del
seu navegador.
• Competici‡ de White Hackers
http://www.youtube.com/watch?v=7M2yyGyg01c
S.
L
.P
.
Competici‡ en que el hacker que controli m‰s
servidors guanya.
7/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
JU
R
Intrusisme com a: Treball
• Cyber security summit agrees white hat hackers
are needed
TI
C
8
http://www.theinquirer.net/inquirer/news/2037338/cyber-security-summit-agrees-white-hat-hackers
EEUU destina 2 mil milions de dƒlars a l’any per
actualitzar les seves defenses inform€tiques i
‘formar’ hackers.
• U.S. Admits Its Cyber Security Sucks and Hopes
White Hat Hackers Will Ride to Its Aid
http://blogs.cio.com/security/16613/us-admits-its-cyber-security-sucks-and-hopes-white-hat-hackers-will-ride-its-aid
Ag„ncia del departament de Defensa de EEUU
contracta hackers per contraespionatge.
• 'White hat' hackers in demand
http://www.usatoday.com/tech/news/computersecurity/hacking/2008-01-07-good-hackers_N.htm
Es pot contractar hackers per detectar
vulnerabilitats.
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
8/23
4
08/11/2013
Delictes inform€tics
Conveni Consell d'Europa de la ciberdelinqŒ„ncia de Budapest, novembre de 2001
• Delictes contra la confidencialitat, la integritat i la disponibilitat de
les dades i sistemes inform€tics
–
–
–
–
Acc„s il•l‚cit a sistemes inform€tics.
Interceptaci‡ il•l‚cita de dades inform€tiques.
Interfer„ncia en el funcionament d'un sistema inform€tic.
Ab•s de dispositius que facilitin la comisi‡ de delictes.
• Delictes inform€tics.
– Falsificaci‡ inform€tica
– Frau inform€tic
• Delictes relacionats amb el contingut
– Pornografia infantil
S.
L
.P
.
• Delictes relacionats amb la infracci‡ de la propietat intel•lectual i
drets afins.
9/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
Acc„s il•l‚cit a sistemes inform€tics.
• CP. ARTˆCULO 197:
3. El que por cualquier medio o procedimiento y vulnerando las
medidas de seguridad establecidas para impedirlo, acceda sin
autorizaci‡n a datos o programas informŽticos contenidos en un
sistema informŽtico o en parte del mismo o se mantenga dentro
del mismo en contra de la voluntad de quien tenga el leg‚timo
derecho a excluirlo, serŽ castigado con pena de prisi‡n de seis
meses a dos a•os.
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
10/23
5
08/11/2013
Interceptaci‡ il•l‚cita de dades
inform€tiques
• CP. ARTˆCULO 197.
S.
L
.P
.
1. El que, para descubrir los secretos o vulnerar la intimidad
de otro, sin su consentimiento, se apodere de sus papeles,
cartas, mensajes de correo electr‡nico o cualesquiera otros
documentos o efectos personales o intercepte sus
telecomunicaciones o utilice artificios t‰cnicos de escucha,
transmisi‡n, grabaci‡n o reproducci‡n del sonido o de la
imagen, o de cualquier otra se•al de comunicaci‡n, serŽ
castigado con las penas de prisi‡n de uno a cuatro a•os y
multa de doce a veinticuatro meses.
11/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
Interceptaci‡ il•l‚cita de dades
inform€tiques
• CP. ARTˆCULO 197.
2. Las mismas penas se impondrŽn al que, sin estar autorizado, se
apodere, utilice o modifique, en perjuicio de tercero, datos
reservados de carŽcter personal o familiar de otro que se hallen
registrados en ficheros o soportes informŽticos, electr‡nicos o
telemŽticos, o en cualquier otro tipo de archivo o registro p•blico o
privado. Iguales penas se impondrŽn a quien, sin estar autorizado,
acceda por cualquier medio a los mismos y a quien los altere o utilice
en perjuicio del titular de los datos o de un tercero.
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
12/23
6
08/11/2013
Interfer„ncia en el funcionament d'un
sistema inform€tic
Article 264: Delicte de danys,
“Apto. 1. El que por cualquier medio, sin autorizaci•n y de manera grave BORRASE, DA‚ASE,
DETERIORASE, ALTERASE, SUPRIMIESE, O HICIESE INACCESIBLES DATOS, PROGRAMAS INFORMƒTICOS
o documentos electr•nicos ajenos, cuando el resultado producido fuera grave, ser„ castigado con la
pena de prisi•n de SEIS MESES A DOS A‚OS”.
“Apto. 2. El que por cualquier medio, sin estar autorizado y de manera grave OBSTACULIZARA O
No es fa distinciÄ entre
hackers i crackers
INTERRUMPIERA EL FUNCIONAMIENTO DE UN SISTEMA INFORMƒTICO ajeno, introduciendo,
transmitiendo, da†ando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles
datos inform„ticos, cuando el resultado producido fuera grave, ser„ castigado, con la pena de prisi•n
de SEIS MESES A TRES A‚OS”.
“Apto. 3 Se impondr„n las penas superiores en grado a las respectivamente se†aladas en los dos
.
apartados anteriores si en las conductas descritas concurra alguna de las siguientes circunstancias:
.P
1 .Se hubiese cometido en el marco de una organizaci•n criminal.
S.
L
2. Haya ocasionado da†os de especial gravedad o afectado a los intereses generales.
13/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
Jurisprud„ncia – Primer cas hacker
• Cas Hispahack (1997)
Primera sentÅncia a Espanya contra un grup hacker:
Grup de Hackers espanyols (1997 – 2002)
Van crear la webzone “Mentes Inquietas”
Acc‰s a:
 La NASA
 Oxford University
 Congr‰s dels Diputats
 Altres
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
14/23
7
08/11/2013
Jurisprud„ncia - interrogants
Es va definir per primera vegada en l’€mbit judicial espanyol
el terme “hacking”:
“Intrusismo inform•tico, un conjunto de comportamientos de acceso o
interferencia no autorizados a un sistema inform•tico o red de
comunicaci‚n electr‚nica de datos, y la utilizaci‚n de los mismos sin
autorizaci‚n o m•s all• de lo autorizado”.
S.
L
.P
.
 Criminalitzaci‡ del “hacking”
 Acceptar els “logs” com a prova
 No es va reprovar als cossos de seguretat per haver
obtingut informaci‡ de persones sense autoritzaci‡
judicial
 esCERT va actuar com a denunciant i com a perit
“imparcial”
15/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
JU
R
Sabotatge inform€tic
• Codi Penal 264.3:
TI
C
16
“Una vulnerabilidad de d‡a cero en la versi•n 2.0.7992 del software HyperVM /
Kloxo de la compa†‡a india LxLabs ha podido ser la puerta de entrada para un
ataque inform„tico que ha ocasionado el borrado total de datos de 100,000
servidores web virtuales operados por la empresa Vaserv, con base en el
Reino Unido, y sus subsidiarias CheapVPS y FSCKVP. Las dos ˆltimas fueron
aniquiladas en su totalidad y puestas fuera de l‡nea. La destrucci•n de los
datos se propag• adem„s a sus respaldos, al parecer. Las personas atacantes,
tras conseguir el control total de los servidores, ejecutaron al parecer el
comando “rm -rf” para provocar un borrado recursivo de todos los archivos.
El due„o de la empresa LxLabs, K T Ligesh, de 32 a„os, se suicid‚ horas
despu‰s del suceso.”
Cracker = de 3 a 4,5
anys de presÄ
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
16/23
8
08/11/2013
Falsificaci‡ inform€tica
Article 248.2: Delicte d’estafa:
“Tambi…n se consideran reos de estafa:
a) Los que, con †NIMO DE LUCRO y vali…ndose de alguna MANIPULACI‡N
INFORM†TICA o artificio semejante, consigan una transferencia no
consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren PROGRAMAS
INFORM†TICOS especˆficamente destinados a la comisi‚n de las estafas
previstas en este artˆculo.
c) Los que utilizando tarjetas de cr‰dito o d‰bito, o cheques de viaje, o los datos
obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en
perjuicio de su titular o de un tercero.”
S.
L
.P
.
Penes d’UN A SIS ANYS
17/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
JU
R
Frau inform€tic
TI
C
• Codi Penal 248.2 i 251.1:
18
“An•nimo, quiere comprar un veh‡culo de un modelo concreto por Internet, descubre una
oferta incre‡ble en una supuesta web oficial de la marca, por un veh‡culo de segunda
mano con muy pocos kil•metros. Contacta con un "Agente de Ventas" que le dice que
es cierto, que el veh‡culo est„ en venta a ese precio y que est„ as‡ porque el due†o
tiene mucha necesidad de quit„rselo de encima. Cuando para finalizar el trato
"An•nimo" le pregunta por las condiciones de pago, el "Agente de Ventas" le se†ala
que, como el veh‡culo est„ a 900 Km. de distancia, haga un ingreso en cuenta por
importe de 5.000€ en concepto de reserva y adelanto, y que el resto a la recepci•n del
veh‡culo. Nuestro amigo "An•nimo" se dirige a su entidad bancaria y ordena la
transferencia. En d‡as subsiguientes, el "Agente de Ventas" se mantiene en contacto
con nosotros notific„ndonos con lujo de detalles c•mo va nuestra operaci•n e incluso
donde se encuentra el cami•n con nuestro veh‡culo, hasta que, simplemente,
desaparece, el coche no existe y tampoco los 5000€ en la cuenta corriente de nuestro
amigo "An•nimo"..”
Cracker = de 2 a 4 anys
de presÄ
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
18/23
9
08/11/2013
Empresa i entorn globalitzat
19
• Confiar en professionals externs:
–
–
Seguretat inform€tica
Assegurament legal
• Formar al personal intern:
“s segur de TIC
Protecci‡ de dades
S.
L
.P
.
–
–
19/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
Empresa i entorn globalitzat
20
• Protecci‡ de la privacitat empresarial:
–
–
–
Ciberespai i xarxes inform€tiques
Emissi‡ i recepci‡ d’informaci‡ virtual
Empresa digital
• Harmonitzaci‡ del Dret Penal Europeu:
–
–
Aconseguir efectivitat transnacional
Cooperaci‡ judicial i policial
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
20/23
10
08/11/2013
Empresa i entorn globalitzat
Parlem-ne des de Vic
21
No podem tancar amb total seguretat totes les
portes…
Perƒ s‚ estar preparats per respondre de forma
€gil i efica• als intrusos no desitjats:
Protegint les dades
Tenint sistemes robustos
S.
L
.P
.
–
–
21/23
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
TI
C
JU
R
La prevenci‡
• Les mesures de seguretat f‚siques
• Els protocols interns per al personal.
• La responsabilitat empresarial davant tercers o
perjudicats.
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
22/23
11
08/11/2013
Assessorament jur‚dic en l’€mbit
de les TIC
S.
L
.P
.
• Despatx d’advocats a Vic
– Especialitzat en el Dret de les TIC
– La protecci‡ de les dades personals
– L’adequaci‡ legal dels espais web.
– El comer• electrƒnic.
– La protecci‡ de la propietat
intel•lectual
– La criminalitat inform€tica
23/23
TI
C
JU
R
IS
AD
VO
C
AT
S
Ticjuris Advocats, S.L.P. – esmorzars TICOsona – 07/11/2013
12