60
Comprendiendo y obteniendo evidencia digital. SEMINARIO Ciberdelincuencia 11 de junio de 2014
Comprendiendo y obteniendo evidencia digital.
S E M I N A R I O
C i b e r d e l i n c u e n c i a
11 de junio de 2014
www.riscco.com
El fraude cibernético a
consumidores alcanza los
US$113,000 millones.
Norton Report, Octubre 2013
Página 3
Cybercrime is one of the greatest
threats facing our country, and
has enormous implications for
our national security, economic
prosperity, and public safety.
Eric H. Holder, Attorney General
USA Department of Justice,
Página 4
85% de los Ejecutivos, indicó
que su organización es
susceptible a ser víctima del
Espionaje Digital Corporativo.
Sondeo Espionaje Digita Corporativo
RSCCO, Febrero 2013
Página 5
Agenda
I. Mitos y realidades sobre la seguridad de información en Panamá.
II. Crimen por computadora.
III. Obtención de evidencia en medios digitales.
IV. Tratamiento y análisis de evidencia digital.
V. Los controles de seguridad informática (eficaces o ineficaces) y su impacto en la prueba pericial.
Página 6
www.riscco.com
Módulo IMitos y realidades sobre la seguridad de información en Panamá.
Módulo I
1. Diez mitos sobre la seguridad de información en Panamá
2. Estado de la seguridad de información en Panamá
Página 2
La verdad se
corrompe tanto con la
mentira como con el
silencio.
Marco Tulio Cicerón (106 AC-43 AC) Escritor, orador y político romano.
Página 3
Diez mitos sobre la seguridad
de información en Panamá
Página 4
Diez Mitos
10 El producto/solución X resolverá todos nuestros
problemas de seguridad.
9 La seguridad es sólo un tema de tecnología.
8 Tengo personal muy leal, ellos no me robarán datos
sensitivos.
7 Me gasté US$2,000,000 en mi nuevo “core”, entonces
mis sistemas están seguros.
6 Él es el Gerente General, no le debemos poner tantas
restricciones de acceso, ya que no es un objetivo.
Página 5
Diez Mitos
5 Nuestros sistemas no han sido atacados, por lo tanto, son
seguros.
4 Para qué hacer un BCP o DRP si aquí en Panamá no
pasa nada.
3 Mi información está segura, ya que tenemos que poner
una contraseña para entrar a la aplicación.
2 Dado que tengo un firewall y programas antivirus, estoy
protegido.
1 Los hackers atacan solo a grandes corporaciones.
Página 6
Estado de la seguridad de
información en Panamá
Página 7
Estado de la seguridad de información en
Panamá
Frente al aumento de incidentes de seguridad de
información y a que el riesgo tecnológico es mayor,
los esfuerzos para protegerse parecen pocos
Estudio Seguridad de Información en Panamá
RISCCO y UTP - 2012
Página 8
Estado de la seguridad de información en Panamá:
RISCCO y UTP – 2012
• 61% manifestó que el riesgo tecnológico ha incrementado por amenazas
externas.
• 36% indicó que el riesgo tecnológico ha aumentado, debido al incremento de
vulnerabilidades internas
• 17% indicó que cuenta con los conocimientos para hacer investigaciones
forenses digitales.
• Sufrir incidentes de seguridad de información, ha aumentado durante los tres
últimos años: 29% en 2010; 31% en 2011 y 46% en 2012.
• Sólo el 9% de los participantes manifestó que su estrategia de seguridad de
información, con relación a las amenazas y riesgos tecnológicos, es
adecuada.
• 73% de los participantes no cifra (encripta) los datos en memorias tipo USB y
el 69%, tampoco lo hace para los datos en discos fijos.
Página 9
www.riscco.com
Antonio Ayala I.
riscco.com
+507 279-1410
Charles Robison
intrasoftpanama.com
+507 227-6560
Módulo IICrimen por computadora.
.
Módulo II
1. Definición de crimen por computadora
2. Delitos informáticos comunes y no tan comunes
3. Ejemplos de preguntas técnicas básicas y específicas en diligencias judiciales.
Página 2
Definición de crimen por
computadora
Página 3
¿Qué es crimen por computadora ?
Pues la respuesta más simple es
que “es algo muy complicado”
Página 4
Se utiliza el término "crimen cibernético" para
referirse a delitos que abarcan desde actividades
criminales contra datos hasta las infracciones de
contenidos y de derecho de autor .
Convenio sobre cibercriminalidadConvenio de Budapest
Página 5
(1) Cualquier conducta ilegal dirigida por medio de
operaciones electrónicas que se dirige a la seguridad de
los sistemas informáticos y los datos elaborados por
ellos.
(2) Ciberdelincuencia en un sentido más amplio (delitos
informáticos): Cualquier conducta ilegal cometida por
medio de, o en relación con, un sistema o red de
computadoras, incluyendo delitos como posesión ilegal
[y] el ofrecimiento o la distribución de la información por
medio de un sistema informático o red
United Nations Office on Drugs and Crime
Página 6
Delitos informáticos comunes
y no tan comunes
Página 7
Delitos informáticos comunes
1. Fraude banca en línea
2. Fraude tarjeta de créditos
3. Robo de credenciales de acceso a
sistemas
4. Robo de información sensitiva en
computadores o servidores
5. Ataques denegación de servicio
6. Robo de identidad
7. Acoso (cyberbulling)
8. ATM skimming
Página 8
Delitos informáticos no tan comunes
Cyber-Jacking
Human Malware
Cyber Assault
Cyber Extortion
Car Sploiting
Brick Attacks
Identity Theft
Squared
Mini-Power Outages
Página 9
Ejemplos de preguntas técnicas
básicas y específicas en
diligencias judiciales
Página 10
1. ¿ Qué acciones y prácticas en seguridad de información ha
adoptado y desde cuándo ?
2. ¿ Cuántas bitácoras existen en el flujo del delito, que datos
mantienen dichas bitácoras y qué controles preservan su
integridad ?
3. ¿Están sincronizados los relojes de todos los computadores y
equipos en la compañía ?
Ejemplos Preguntas Comunes
Página 11
1. ¿Qué programa tipo “P2P” tiene instalado en el computador?
2. ¿ Qué usuarios de tecnología tienen derechos de acceso a “x”
base de datos o la aplicación “y”?
3. ¿Qué controles se tienen sobre las cuentas privilegiadas, en
los sistemas de la compañía?
4. ¿Cumple la organización con el artículo “x” del acuerdo “y” del
ente regulador “z” ?
5. ¿Qué mecanismo de monitoreo proactivo y automático se tiene
para identificar accesos nos autorizados o potenciales fraudes?
Ejemplos Preguntas Específicas
Página 12
www.riscco.com
Antonio Ayala I.
riscco.com
+507 279-1410
Charles Robison
intrasoftpanama.com
+507 227-6560
Módulo IIIComprendiendo y obteniendo evidencia digital
.
Definición de Computadora
Página 2
Página 3
Estas son computadoras..
Página 4
• Documentos
• Emails
• Imágenes
• Transacciones Financieras
• Bitácoras
• Historial de sitios de internet visitados
• Archivos encriptados, con contraseñas
• Archivos temporales
• Archivos borrados u ocultos
• Archivos swap
¿Qué se considera material probatorio?
Página 5
• Discos Duros
• Usb extraibles
• Ipods
• Celulares
• Cdrom / DVD
* Cualquier medio que pueda grabar data (Archivos digitales)
Evidencia, ¿donde se almacena?
Página 6
Software
• Accessdata FTK Imager (Gratis)
• ADF Solutions Triage Examiner
• DD de Linux (Gratis)
• Helix (Gratis)
Hardware
• Tableau - Forensic Imager
• ICS Solo Masster
Equipos o software para crear la imagen forense
Página 7
Importante en una investigación forense de
computadoras
• Tomar los datos del equipo, No. de serie, modelo, marca y foto
del mismo
• La cadena de custodia
• Hacer imagen forense de disco original
• Siempre trabajar sobre la copia del disco (imagen forense)
• Registro de manejo de evidencia
Página 8
¿Cómo se hace si no es una investigación judicial?
• Tener notario presente para que dé fe de que la creación
de la imagen forense fue hecha sin alteración alguna.
• Disco original es sellado en sobre con tape especial de
evidencia y guardado en caja fuerte o bajo llave.
Página 9
• El volumen de información se ha incrementado de
forma exponencial
• La extracción de los medios de almacenamiento de las
laptops, requiere de conocimiento extenso del equipo y
algunas veces, se pueden dañar cuando se extrae el
disco duro.
• El tiempo en crear la imagen y procesar la misma se
ha triplicado
Retos…
Módulo IVTratamiento y análisis de evidencia digital
.
Página 2
• Encase – Guidance Software
• FTK – Access Data
• Triage Examiner – ADF Solutions
• X-Ways Forensics
• Helix
Herramientas de análisis
Página 3
• Perfil del individuo que se está investigando, conocimientos
informáticos.
• Qué se busca? Archivo, publicación en internet, un chat, un
email, qué?
• Fechas
• Palabras claves
Importante en un análisis de la imagen forense…
Página 4
Herramientas de análisis
Página 5
• Puntos clave de la herramienta:
• Fácil de ver los resultados
• Imagen Lógico / Físicos
• HTML & Plantillas de Word
• Aprendizaje Rápido
• Divide video por foto
• Soporte para Macbook Air
Ventaja - ADF Solutions
Página 6
Demostración de ADF Triage
Página 7
Puntos clave de la herramienta:
1. Viene con herramienta para descifrar contraseñas
2. Se puede trabajar en una imagen de forense
3. Informes mas completos
4. Revisión completa de registro de Windows
5. Se pueden busca archivos en espacio libre del disco
6. Soporta revisión de celulares
Ventaja – Accessdata FTK
Página 8
Demostración de FTK
Página 9
Con el ADF Triage se puede hacer una imagen forense sin
desarmar el computadora
La imagen creada con el ADF Triage se puede utilizar para
revisar los datos en el FTK de AccessData
Utilizando estas herramientas en conjunto..
Módulo VLos controles de seguridad informática (eficaces o ineficaces) y su
impacto en la prueba pericial.
Módulo V
1. Controles de seguridad de información
2. Ejemplos sobre cómo controles de seguridad de información impactan un informe pericial informático.
Página 2
Controles de seguridad de
información
Página 3
ISO 27001:2013 y 20 Security Controls SANS
Regulaciones locales e internacionales
Algunos controles efectivos:
Inventario de dispositivos y software autorizados
Configuraciones seguras en todos los dispositivos
Integridad de pistas de auditoría
Uso limitado de cuentas privilegiadas
Sistemas de defensa preventivos
Modelos de seguridad efectivos
Personal con experiencia en seguridad y gestión de riesgo
Gestión de cuentas de accesos efectivo
Modelos de monitoreo permanentes
Confidencialidad y protección de datos
Controles efectivos seguridad de información
Página 4
Ejemplos sobre cómo controles de
seguridad de información, impactan
un informe pericial informático.
Página 5
Ejemplo 1:
Fraude banca por Internet
Cliente demanda al banco porque se realizaron
transferencias internacionales de fondos por la suma de
B/.350,000, por alguien distinto al dueño de la cuenta.
El banco indica que las transferencias fueron hechas con
las credenciales de acceso del cliente, por lo cual, no puede
hacer nada.
Página 6
Ejemplo 1: Fraude banca por Internet
Demandante (cliente) Demandado (banco)
Copia bitácora de acceso usuario
Certificación fondos transferidos
Revisión forense del computador del
cliente
Revisión de las bitácoras de acceso
del cliente, al servicio de banca por
internet
• Programas P2P
• Antivirus
• Actualizaciones / parches de seguridad
• Uso de redes WIFI públicas
• Integridad de las bitácoras
• Acceso a cuentas privilegiadas
• Acceso a base de datos
• Cumplimiento de acuerdos SBP
• Sistemas anti-fraude y monitoreo
• Modelo de seguridad de información
Página 7
Ejemplo 2:
Fraude tarjeta de crédito
El Comercio A, con más de 30,000 clientes otorgó tarjeta de
crédito a sus clientes, para comprar en sus tiendas en todo el
país. La tarjeta no era respaldada por un banco. El Comercio
se dio cuenta de un gran fraude al ver que un mismo cliente
realizó una compra de B/.550 en una tienda en Colón y 15
minutos después en otra tienda de la cadena en Chiriquí, se
hizo otra compra por B/.500. El dueño de las tarjetas nunca
hizo pagos reales al saldo de la cuenta y al inicio del ciclo de
facturación, su saldo siempre estaba en cero.
El Comercio A, entabló una demanda al colaborador
responsable del manejo de las tarjetas, por la creación de
tarjetas, supuestamente, fraudulentas.
Ejemplo 2:
Fraude tarjetas de crédito
Demandante (Comercio A) Demandado (Colaborador)
Bitácora de la aplicación que
maneja las tarjetas de crédito.
Informes de caja de las sucursales
donde se hicieron las compras.
Informe de transacciones incluidas
en los estados de cuenta de las
tarjetas de crédito.
Bitácora de la aplicación que maneja
las tarjetas de crédito.
Política de otorgamiento de accesos
al sistema de tarjetas de crédito.
Auditoria de accesos sobre la
aplicación que maneja las tarjetas de
crédito.
• Políticas de expedición de tarjetas de
crédito
• Accesos realizados al sistema de
tarjetas de crédito
• Política de segregación de funciones
• Integridad de las bitácoras
• Acceso cuentas privilegiadas
• Acceso a base de datos
• Creación / eliminación de usuarios
Ejemplo 3:
Créditos otorgados con referencias
crediticias falsas
Banco A demanda a XYZ Holding, poseedor del 100% de
acciones de Banco W y Comercio S, ya que, Banco A
otorgó a 36 clientes, créditos por la suma de B/. 748,000
debido a referencias de créditos falsas que dichos 36
clientes tuvieron en Banco W y Comercio S.
Banco A advirtió el problema ante el cese de pagos de los
clientes.
Página 8
Ejemplo 3:
Créditos otorgados con referencias crediticias falsas
Demandante (Banco A) Demandado (XYZ Holding)
Certificación de la relación
comercial de las 36 personas
Bitácora de accesos de usuarios a
la aplicación de referencias de
crédito (ARC)
Análisis de seguridad de la
aplicación y base de datos
Certificación de que los créditos
fueron otorgados
Políticas y procedimientos de
otorgamiento de créditos
Análisis realizado a los 36 clientes
• Políticas de otorgamiento de crédito
• Accesos a la ARC realizados
• Política de segregación de funciones
• Integridad de las bitácoras
• Acceso a cuentas privilegiadas
• Acceso a base de datos
• Creación / eliminación de usuarios
• Modelo de seguridad de información
• Monitoreo de accesos a la ARC
Página 9
www.riscco.com
Antonio Ayala I.
riscco.com
+507 279-1410
Charles Robison
intrasoftpanama.com
+507 227-6560
