Seminario Ciberdelincuencia

transcript

Comprendiendo y obteniendo evidencia digital.

S E M I N A R I O

C i b e r d e l i n c u e n c i a

11 de junio de 2014

www.riscco.com

El fraude cibernético a

consumidores alcanza los

US$113,000 millones.

Norton Report, Octubre 2013

Cybercrime is one of the greatest

threats facing our country, and

has enormous implications for

our national security, economic

prosperity, and public safety.

Eric H. Holder, Attorney General

USA Department of Justice,

85% de los Ejecutivos, indicó

que su organización es

susceptible a ser víctima del

Espionaje Digital Corporativo.

Sondeo Espionaje Digita Corporativo

RSCCO, Febrero 2013

Agenda

I. Mitos y realidades sobre la seguridad de información en Panamá.

II. Crimen por computadora.

III. Obtención de evidencia en medios digitales.

IV. Tratamiento y análisis de evidencia digital.

V. Los controles de seguridad informática (eficaces o ineficaces) y su impacto en la prueba pericial.

www.riscco.com

Módulo IMitos y realidades sobre la seguridad de información en Panamá.

Módulo I

1. Diez mitos sobre la seguridad de información en Panamá

2. Estado de la seguridad de información en Panamá

La verdad se

corrompe tanto con la

mentira como con el

silencio.

Marco Tulio Cicerón (106 AC-43 AC) Escritor, orador y político romano.

Diez mitos sobre la seguridad

de información en Panamá

Diez Mitos

10 El producto/solución X resolverá todos nuestros

problemas de seguridad.

9 La seguridad es sólo un tema de tecnología.

8 Tengo personal muy leal, ellos no me robarán datos

sensitivos.

7 Me gasté US$2,000,000 en mi nuevo “core”, entonces

mis sistemas están seguros.

6 Él es el Gerente General, no le debemos poner tantas

restricciones de acceso, ya que no es un objetivo.

Diez Mitos

5 Nuestros sistemas no han sido atacados, por lo tanto, son

seguros.

4 Para qué hacer un BCP o DRP si aquí en Panamá no

pasa nada.

3 Mi información está segura, ya que tenemos que poner

una contraseña para entrar a la aplicación.

2 Dado que tengo un firewall y programas antivirus, estoy

protegido.

1 Los hackers atacan solo a grandes corporaciones.

Estado de la seguridad de

información en Panamá

Estado de la seguridad de información en

Panamá

Frente al aumento de incidentes de seguridad de

información y a que el riesgo tecnológico es mayor,

los esfuerzos para protegerse parecen pocos

Estudio Seguridad de Información en Panamá

RISCCO y UTP - 2012

Estado de la seguridad de información en Panamá:

RISCCO y UTP – 2012

• 61% manifestó que el riesgo tecnológico ha incrementado por amenazas

externas.

• 36% indicó que el riesgo tecnológico ha aumentado, debido al incremento de

vulnerabilidades internas

• 17% indicó que cuenta con los conocimientos para hacer investigaciones

forenses digitales.

• Sufrir incidentes de seguridad de información, ha aumentado durante los tres

últimos años: 29% en 2010; 31% en 2011 y 46% en 2012.

• Sólo el 9% de los participantes manifestó que su estrategia de seguridad de

información, con relación a las amenazas y riesgos tecnológicos, es

adecuada.

• 73% de los participantes no cifra (encripta) los datos en memorias tipo USB y

el 69%, tampoco lo hace para los datos en discos fijos.

www.riscco.com

Antonio Ayala I.

aayala@riscco.com

riscco.com

+507 279-1410

Charles Robison

crobison@intrasoft.com.pa

intrasoftpanama.com

+507 227-6560

Módulo IICrimen por computadora.

Módulo II

1. Definición de crimen por computadora

2. Delitos informáticos comunes y no tan comunes

3. Ejemplos de preguntas técnicas básicas y específicas en diligencias judiciales.

Definición de crimen por

computadora

¿Qué es crimen por computadora ?

Pues la respuesta más simple es

que “es algo muy complicado”

Se utiliza el término "crimen cibernético" para

referirse a delitos que abarcan desde actividades

criminales contra datos hasta las infracciones de

contenidos y de derecho de autor .

Convenio sobre cibercriminalidadConvenio de Budapest

(1) Cualquier conducta ilegal dirigida por medio de

operaciones electrónicas que se dirige a la seguridad de

los sistemas informáticos y los datos elaborados por

ellos.

(2) Ciberdelincuencia en un sentido más amplio (delitos

informáticos): Cualquier conducta ilegal cometida por

medio de, o en relación con, un sistema o red de

computadoras, incluyendo delitos como posesión ilegal

[y] el ofrecimiento o la distribución de la información por

medio de un sistema informático o red

United Nations Office on Drugs and Crime

Delitos informáticos comunes

y no tan comunes

Delitos informáticos comunes

1. Fraude banca en línea

2. Fraude tarjeta de créditos

3. Robo de credenciales de acceso a

sistemas

4. Robo de información sensitiva en

computadores o servidores

5. Ataques denegación de servicio

6. Robo de identidad

7. Acoso (cyberbulling)

8. ATM skimming

Delitos informáticos no tan comunes

Cyber-Jacking

Human Malware

Cyber Assault

Cyber Extortion

Car Sploiting

Brick Attacks

Identity Theft

Squared

Mini-Power Outages

Ejemplos de preguntas técnicas

básicas y específicas en

diligencias judiciales

1. ¿ Qué acciones y prácticas en seguridad de información ha

adoptado y desde cuándo ?

2. ¿ Cuántas bitácoras existen en el flujo del delito, que datos

mantienen dichas bitácoras y qué controles preservan su

integridad ?

3. ¿Están sincronizados los relojes de todos los computadores y

equipos en la compañía ?

Ejemplos Preguntas Comunes

1. ¿Qué programa tipo “P2P” tiene instalado en el computador?

2. ¿ Qué usuarios de tecnología tienen derechos de acceso a “x”

base de datos o la aplicación “y”?

3. ¿Qué controles se tienen sobre las cuentas privilegiadas, en

los sistemas de la compañía?

4. ¿Cumple la organización con el artículo “x” del acuerdo “y” del

ente regulador “z” ?

5. ¿Qué mecanismo de monitoreo proactivo y automático se tiene

para identificar accesos nos autorizados o potenciales fraudes?

Ejemplos Preguntas Específicas

www.riscco.com

Antonio Ayala I.

aayala@riscco.com

riscco.com

+507 279-1410

Charles Robison

intrasoftpanama.com

+507 227-6560

Módulo IIIComprendiendo y obteniendo evidencia digital

Definición de Computadora

Estas son computadoras..

• Documentos

• Emails

• Imágenes

• Transacciones Financieras

• Bitácoras

• Historial de sitios de internet visitados

• Archivos encriptados, con contraseñas

• Archivos temporales

• Archivos borrados u ocultos

• Archivos swap

¿Qué se considera material probatorio?

• Discos Duros

• Usb extraibles

• Ipods

• Celulares

• Cdrom / DVD

* Cualquier medio que pueda grabar data (Archivos digitales)

Evidencia, ¿donde se almacena?

Software

• Accessdata FTK Imager (Gratis)

• ADF Solutions Triage Examiner

• DD de Linux (Gratis)

• Helix (Gratis)

Hardware

• Tableau - Forensic Imager

• ICS Solo Masster

Equipos o software para crear la imagen forense

Importante en una investigación forense de

computadoras

• Tomar los datos del equipo, No. de serie, modelo, marca y foto

del mismo

• La cadena de custodia

• Hacer imagen forense de disco original

• Siempre trabajar sobre la copia del disco (imagen forense)

• Registro de manejo de evidencia

¿Cómo se hace si no es una investigación judicial?

• Tener notario presente para que dé fe de que la creación

de la imagen forense fue hecha sin alteración alguna.

• Disco original es sellado en sobre con tape especial de

evidencia y guardado en caja fuerte o bajo llave.

• El volumen de información se ha incrementado de

forma exponencial

• La extracción de los medios de almacenamiento de las

laptops, requiere de conocimiento extenso del equipo y

algunas veces, se pueden dañar cuando se extrae el

disco duro.

• El tiempo en crear la imagen y procesar la misma se

ha triplicado

Retos…

Módulo IVTratamiento y análisis de evidencia digital

• Encase – Guidance Software

• FTK – Access Data

• Triage Examiner – ADF Solutions

• X-Ways Forensics

• Helix

Herramientas de análisis

• Perfil del individuo que se está investigando, conocimientos

informáticos.

• Qué se busca? Archivo, publicación en internet, un chat, un

email, qué?

• Fechas

• Palabras claves

Importante en un análisis de la imagen forense…

Herramientas de análisis

• Puntos clave de la herramienta:

• Fácil de ver los resultados

• Imagen Lógico / Físicos

• HTML & Plantillas de Word

• Aprendizaje Rápido

• Divide video por foto

• Soporte para Macbook Air

Ventaja - ADF Solutions

Demostración de ADF Triage

Puntos clave de la herramienta:

1. Viene con herramienta para descifrar contraseñas

2. Se puede trabajar en una imagen de forense

3. Informes mas completos

4. Revisión completa de registro de Windows

5. Se pueden busca archivos en espacio libre del disco

6. Soporta revisión de celulares

Ventaja – Accessdata FTK

Demostración de FTK

Con el ADF Triage se puede hacer una imagen forense sin

desarmar el computadora

La imagen creada con el ADF Triage se puede utilizar para

revisar los datos en el FTK de AccessData

Utilizando estas herramientas en conjunto..

Módulo VLos controles de seguridad informática (eficaces o ineficaces) y su

impacto en la prueba pericial.

Módulo V

1. Controles de seguridad de información

2. Ejemplos sobre cómo controles de seguridad de información impactan un informe pericial informático.

Controles de seguridad de

información

ISO 27001:2013 y 20 Security Controls SANS

Regulaciones locales e internacionales

Algunos controles efectivos:

Inventario de dispositivos y software autorizados

Configuraciones seguras en todos los dispositivos

Integridad de pistas de auditoría

Uso limitado de cuentas privilegiadas

Sistemas de defensa preventivos

Modelos de seguridad efectivos

Personal con experiencia en seguridad y gestión de riesgo

Gestión de cuentas de accesos efectivo

Modelos de monitoreo permanentes

Confidencialidad y protección de datos

Controles efectivos seguridad de información

Ejemplos sobre cómo controles de

seguridad de información, impactan

un informe pericial informático.

Ejemplo 1:

Fraude banca por Internet

Cliente demanda al banco porque se realizaron

transferencias internacionales de fondos por la suma de

B/.350,000, por alguien distinto al dueño de la cuenta.

El banco indica que las transferencias fueron hechas con

las credenciales de acceso del cliente, por lo cual, no puede

hacer nada.

Ejemplo 1: Fraude banca por Internet

Demandante (cliente) Demandado (banco)

Copia bitácora de acceso usuario

Certificación fondos transferidos

Revisión forense del computador del

cliente

Revisión de las bitácoras de acceso

del cliente, al servicio de banca por

internet

• Programas P2P

• Antivirus

• Actualizaciones / parches de seguridad

• Uso de redes WIFI públicas

• Integridad de las bitácoras

• Acceso a cuentas privilegiadas

• Acceso a base de datos

• Cumplimiento de acuerdos SBP

• Sistemas anti-fraude y monitoreo

• Modelo de seguridad de información

Ejemplo 2:

Fraude tarjeta de crédito

El Comercio A, con más de 30,000 clientes otorgó tarjeta de

crédito a sus clientes, para comprar en sus tiendas en todo el

país. La tarjeta no era respaldada por un banco. El Comercio

se dio cuenta de un gran fraude al ver que un mismo cliente

realizó una compra de B/.550 en una tienda en Colón y 15

minutos después en otra tienda de la cadena en Chiriquí, se

hizo otra compra por B/.500. El dueño de las tarjetas nunca

hizo pagos reales al saldo de la cuenta y al inicio del ciclo de

facturación, su saldo siempre estaba en cero.

El Comercio A, entabló una demanda al colaborador

responsable del manejo de las tarjetas, por la creación de

tarjetas, supuestamente, fraudulentas.

Ejemplo 2:

Fraude tarjetas de crédito

Demandante (Comercio A) Demandado (Colaborador)

Bitácora de la aplicación que

maneja las tarjetas de crédito.

Informes de caja de las sucursales

donde se hicieron las compras.

Informe de transacciones incluidas

en los estados de cuenta de las

tarjetas de crédito.

Bitácora de la aplicación que maneja

las tarjetas de crédito.

Política de otorgamiento de accesos

al sistema de tarjetas de crédito.

Auditoria de accesos sobre la

aplicación que maneja las tarjetas de

crédito.

• Políticas de expedición de tarjetas de

crédito

• Accesos realizados al sistema de

tarjetas de crédito

• Política de segregación de funciones

• Acceso cuentas privilegiadas

• Creación / eliminación de usuarios

Ejemplo 3:

Créditos otorgados con referencias

crediticias falsas

Banco A demanda a XYZ Holding, poseedor del 100% de

acciones de Banco W y Comercio S, ya que, Banco A

otorgó a 36 clientes, créditos por la suma de B/. 748,000

debido a referencias de créditos falsas que dichos 36

clientes tuvieron en Banco W y Comercio S.

Banco A advirtió el problema ante el cese de pagos de los

clientes.

Ejemplo 3:

Créditos otorgados con referencias crediticias falsas

Demandante (Banco A) Demandado (XYZ Holding)

Certificación de la relación

comercial de las 36 personas

Bitácora de accesos de usuarios a

la aplicación de referencias de

crédito (ARC)

Análisis de seguridad de la

aplicación y base de datos

Certificación de que los créditos

fueron otorgados

Políticas y procedimientos de

otorgamiento de créditos

Análisis realizado a los 36 clientes

• Políticas de otorgamiento de crédito

• Accesos a la ARC realizados

• Política de segregación de funciones

• Acceso a cuentas privilegiadas

• Creación / eliminación de usuarios

• Modelo de seguridad de información

• Monitoreo de accesos a la ARC

www.riscco.com

Antonio Ayala I.

aayala@riscco.com

riscco.com

+507 279-1410

Charles Robison

intrasoftpanama.com

+507 227-6560

Seminario Ciberdelincuencia

Documents