[HACK] Localizacisn por IP

[Cástor Muñoz]

On Mon, Jan 22, 2001 at 10:05:31AM +0000, Antonio Sanz wrote:
> En un principio es posible utilizar un log como prueba ante un
> jurado, siempre que se garantice la
> "integridad de la evidencia".

> Nuestra misión en estos casos es proteger la evidencia (en este
> caso el registro de logs, pero puede
> ser cualquier otro fichero informático) para que llegue totalmente
> intacta, y que ningún pelagatos
> leguleyo pueda echarla por tierra (porque sería bastante frustrante
> que dos semanas de trabajo se
> echaran a perder por una tontería legal).
>
> El conseguir tener un log "legalmente" válido se consigue teniendo
> una máquina que pueda considerarse
> segura, y poniendo por escrito la veracidad de dichos logs por
> personal legalmente cualificado -> los
> susodichos notarios. La máquina segura puede conseguirse mediante
> técnicas de logging remoto (el cable
> serie conectado a la impresora y/o PC sin dirección IP, etc...). El
> notario lo tienes a mano siempre
> que pongas dinero encima de la mesa...

 Símplemente con eso no se garantiza la "integridad de la evidencia".
Quizás, a día de hoy y dependiendo del caso, no exista forma alguna de
hacerlo o resulte inviable en la práctica.

 Comenzemos por el final, tienes que garantizar que la máquina
considerada segura realmente lo era en el momento en que se produjo el
log, ten en cuenta que cabe la posibilidad de que cualquier parte del
software pueda haber sido modificada en algún momento.

 Además esto habría que garantizarlo para todas las máquinas (nodos)
por las que circula el paquete, desde su origen hasta su destino.
Que a tu router lleguen paquetes conteniendo una determinada dirección
ip no significa que necesariamente estos provengan de dicha ip real.

 En definitiva: tienes que garantizar la integridad de la conexión,
de lo contrario no existe evidencia.


> Y, si presentas una prueba de estas características con un respaldo
> legal trabajado y consistente, por
> una parte vas a poner las cosas muy difíciles a la parte contraria,
> y por la otra vas a tener al juez
> de tu parte (si logras dar la impresión de que has cumplido la ley a
> rajatabla, y le explicas todo de
> forma que pueda entenderlo, lo tienes en el bote, y hay que tener en
> cuenta que él es el que decide...).

 Condenar a alguien apoyándose tan sólo en una prueba de este tipo
podría llevar a la condena de un inocente, uno más. No sería nada
complicado diseñar un ataque donde el último eslabón es el ordenador
personal de cualquier [todavía] feliz internauta ignorante de lo que
sucede. Tendría todas las de perder, su máquina fué realmente la
atacante y nunca podrá probar lo que estaba haciendo, o mejor dicho:
lo que no estaba haciendo.

 La única forma, que yo sepa, de estar absolutamente seguros de que
hemos dado con el culpable (y no con un culpable) es pillarle 'in
fraganti'. Como prueba se debería presentar al menos una grabación de
la sessión analizada y contrastada con el vídeo de la 'intervención'
por expertos de ambas partes. Si no es así, a falta de otras prubas y
mientras el acusado lo niege todo, tanto juez como acusación deben
presuponer su inocencia, y si no lo hacen allá ellos y su conciencia.



Un saludo,
Cástor.

-- 
PGP fingerprint = 0C 61 B5 3D AE 8D 38 AE  AF 97 9C 93 F2 6E 63 C9