La semana pasada estuve con la gente de IIR Portugal (aprovecho para saludar tanto a los organizadores como a los asistentes, por la acogida y el discurrir del evento), dando un seminario de Forense Digital. Como suele ocurrir en este tipo de evento, surgen siempre una serie de incertidumbres relativas a la toma de Evidencias que implican evaluar determinados aspectos legales para comprobar su validez.
Uno de los temas más controvertidos, siempre suele surgir cuando se estima, la posible validez de los datos presentados en un Juicio a partir de una evidencia como pudiera ser la RAM. Un correcto análisis de esta puede revelar datos muy relevantes de la información y procesos existentes en un ordenador, pero implica la toma de estos datos en caliente.
El problema por lo tanto surge, cuando tenemos que conseguir dichos datos, sin alterar la información que pudieran llevar (claro sin instalar ninguna aplicación o iniciarla y que esta no quede registrada en la misma RAM). Las disyuntiva en sí no radica en la toma de esta memoria, si no que en un Juicio la otra parte pueda alegar que se ha podido producir una posible alteración o manipulación de todas las evidencias, por haber hecho uso o instalación de una aplicación antes de haberse producido la toma de las evidencias.
En los procedimientos habituales la toma de evidencias se toma de forma off-line, y validándolas mediante la firma digital, asegurando por lo tanto, que no se va a producir una alteración de estas evidencias. Este procedimiento no puede ser utilizado por la RAM, por lo que dudosamente pueda presentarse conclusiones en un juicio partiendo de la RAM como evidencia.
Y si perdemos esa información, donde podemos encontrar información relevante... pues en el Fichero de Paginación.
En el caso de no querer judicializar el caso la información presente en la RAM, puede ser determinante, especialmente en escenarios de Malware. Si queréis conocer como se realizan los procedimientos de análisis en RAM, os recomiendo le echéis un vistazo al Diario de Juanito, donde entre otras cosas y a un gran nivel técnico nos revela procedimientos y metodologías para el análisis de memoria RAM.
lunes, 4 de febrero de 2008
Entrada en vigor del nuevo Reglamento de la LOPD
Curiosamente cuando cree el anterior post "Sobre la entrada en vigor del nuevo Reglamento", me hacía eco de la noticia que indicaba que había sido aprobado en consejo de Ministros, pero que todavía no había sido publicado en el BOE, pues no tuvimos que tardar mucho tiempo para que finalmente apareciera.
Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal.
Aunque la publicación del Real Decreto ya se ha hecho efectiva, disponemos hasta el 19 de Abril, para evaluar y aplicar las medidas correctoras oportunas, fecha en la que se producirá la entrada en vigor del mismo. Este Real Decreto deroga los antiguos 94/14121 y 99/13967.
Como ya comenté en su momento este reglamento, aunque amplía, define y modifica, algunos articulados en cuanto al tratamiento de los Datos de Caráter Personal automatizados, viene a definir también el tratamiento que debe hacerse de los mismos en ficheros no automatizados.
Bueno ya lo sabemos todos y que no nos pille el toro.
Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal.
Aunque la publicación del Real Decreto ya se ha hecho efectiva, disponemos hasta el 19 de Abril, para evaluar y aplicar las medidas correctoras oportunas, fecha en la que se producirá la entrada en vigor del mismo. Este Real Decreto deroga los antiguos 94/14121 y 99/13967.
Como ya comenté en su momento este reglamento, aunque amplía, define y modifica, algunos articulados en cuanto al tratamiento de los Datos de Caráter Personal automatizados, viene a definir también el tratamiento que debe hacerse de los mismos en ficheros no automatizados.
Bueno ya lo sabemos todos y que no nos pille el toro.
Suscribirse a:
Entradas (Atom)