“Experiencias en Análisis Forense Informático” · 2013-04-29 · El viernes 23 de diciembre...

“Experiencias en Análisis Forense Informático”

Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com

CYBSEC S.A. Security SystemsCYBSEC S.A. Security Systems

2

Experiencias en Análisis Forense Informático

AgendaAgenda

- Incidentes de seguridad informática

- Metodologías aplicadas

- Análisis Forense Informático en la Argentina

3


Incidentes de Seguridad Informática

4


©

¿Ha ten ido incidentes de Seguridad Informát ica en el ú lt imo año?

46% 53% 43%

35% 27% 42%18% 20% 15%

0%

50%

100%

150%

Año 2002 Año 2003 Año 2004

NO SABE

NO

SI

Incidentes en Argentina


5


Incidentes en Argentina

©

¿Cual es el origen más común de los incidentes de seguridad en su empresa?

32%

23%30%

52%

63%58%

3% 5% 4%10%

4% 2%3% 4% 6%

0%10%20%30%40%50%60%70%

Año 2002 Año 2003 Año 2004

Sistemas internos

Internet

Accesos remotos víamodemVínculos Externos(proveedores y clientes)Otros


6


Source: CMU Computer Emergency Response Team

Crecimiento de Incidentes


7

Experiencias en Análisis Forense InformáticoIncidentes de Seguridad Informática

Durante enero y Durante enero y

febrero de 2006 febrero de 2006

hubo más de hubo más de

400 ataques 400 ataques

exitosos a exitosos a

páginas Web páginas Web

en Argentina.en Argentina.Fuente: www.zone-h.org

http://www.zone-h.org/en/defacements/filter/filter_domain=ar

8


¿Por qué se generan más incidentes que antes?

- Crecimiento de la dependencia tecnológica.

- Amplia disponibilidad de herramientas.

- No hay leyes globales.

- Internet es un laboratorio.

- Falsa sensación de que todo se puede hacer.

- Gran aumento de vulnerabilidades de seguridad (5.990 nuevas en 2005 según CERT).


9


¿Qué hacer ante un incidente informático?

¿Vale la pena investigarlo?

¿Qué puedo lograr?

¿Qué ofrece el Análisis Forense Informático?

El análisis forense informático se aplica

una vez que tenemos un incidente y queremos

investigar qué fue lo que pasó, quién fue

y cómo fue.


10


MetodologíasAplicadas

11


Análisis Forense Informático

“Es la técnica de capturar, procesar e investigarinformación procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

Metodologías Aplicadas

12


Metodología utilizada

El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.

La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.


13


Metodología utilizada

El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.

Finalmente una vez terminada la investigación se debe realizar

el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.


14


Documentar la Escena

¿Secuestrarvolátiles?

Capturar volátiles

¿Es necesario Investigar ONSITE?

Investigar ON-SITE

Hacer imágenes

Investigar en el Laboratorio

¿Volver a buscar más información?

GenerarConclusiones

S

S

S


15


Análisis Forense Informáticoen la Argentina

16

Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina

CASO 1: Denegación de servicio

Descripción del incidente:

El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada

por un intruso que impidió la continuidad del negocio en sus casi 120

sucursales.

En un análisis preliminar de la situación determinó que un intruso había

dejado un programa que se ejecutó el día viernes a las 19:00hs horas

y que bloqueaba el acceso al sistema de Ventas.

Se comenzó a trabajar en dos líneas:

- Volver a la operación normal.

- Detección, análisis y rastreo del intruso.

17



Metodología de Investigación:

En relación a la vuelta a la operación normal:

1. Análisis forense inmediato de los equipos afectados.

2. Detección de programas que impedían el normal funcionamiento del

Sistema de Ventas.

3. Análisis de programas y modificaciones realizadas por el intruso.

4. Planteo de soluciones.

5. Pruebas sobre una sucursal de los cambios.

6. Aplicación masiva de cambios y vuelta a la operación normal.

Análisis Forense Informático en la Argentina

18




En relación a la detección, análisis y rastreo del intruso:

1. Ingeniería reversa de los programas que dejó el intruso

2. Determinación de las actividades que realizó el intruso.

3. Detección de rastros de pruebas 4 días antes.

4. Determinación de pruebas que podrían indicar el perfil del intruso.

5. Análisis de los sistemas de acceso remoto.

6. Evaluación de las computadoras personales de los potenciales

sospechosos.


19




7. En el equipo de José se detectaron varios elementos (repetición del

patrón de comportamiento del intruso por la forma en que ejecutaba

los comandos).

8. Se detectó que otra computadora que contenía evidencia y se

encontraba al lado del equipo de José misteriosamente fue formateada

y re-instalada dos días después del incidente y en la misma se detectó

el patrón de comportamiento del intruso.


20



Resultados obtenidos :

Se logró detectar la intrusión y se volvió la operación normal en el

plazo inmediato.

De acuerdo a las características detectadas del patrón de

comportamiento, información encontrada, re-instalación de un

equipo, conocimiento de las claves de acceso

necesarias, existe una gran probabilidad de que

el intruso fuera José.


21


CASO 2: Extorsión


Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no

hacer circular entre los Clientes de la misma información confidencial que

había obtenido.

El intruso se comunicaba a través de mensajes de correo electrónico y

en dos oportunidades envió dos documentos de Word escritos por el.

22


CASO 2: Extorsión


1. Se investigaron los mensajes de correo electrónico enviados por el

intruso y se determinaron que venían de Locutorios y/o Cybercafes.

2. En dos oportunidades el intruso realizó envíos de mensajes de correo

electrónico conteniendo documentos de Word.

3. Se analizaron los documentos de Word con herramientas para análisis

a nivel binario y se obtuvo información sobre nombres de archivos

internos, fechas de creación, unidades donde fue copiado (aparecía

una unidad A:) y aparecía el directorio donde fue almacenado.

23


CASO 2: Extorsión


4. El usuario que aparecía como Autor del documento en el análisis era x

y la Organización x, eso implicaba que el archivo fue generado con un

Microsoft Word registrado a ese nombre.

5. Se analizó el nombre del directorio y apareció lo siguiente:

C:\Documents and Settings\oalvarez\Mis documentos\

6. Una de las personas que habían desvinculado de mala manera unos

meses antes era “Omar Alvarez”.

24


CASO 2: Extorsión

Resultados obtenidos:

Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los

documentos con su computadora personal.

25


CASO 3: Modificación de información


Un intruso ingresó en la Base de Datos de personal y ejecutó un script

SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de

julio de 2005.

Un día después, el sistema de liquidación generó los pagos causando

graves problemas a la Organización.

Se comenzó la investigación analizando el Servidor de Producción de

Personal.

26




1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos.

2. Detección en el directorio principal del usuario Maria lo que parecía ser

el script SQL que se había ejecutado.

3. Restricción de las PC’s de los usuarios que accedieron en ese momento.

4. Evaluación de 9 PC’s de los usuarios buscando archivos creados,

modificados y accedidos el día del incidente.

27




5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario

Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía

parte del script detectado en el directorio del usuario Maria. Ese archivo

fue generado por la herramienta SQLPlus.

6. Se analizaron las conexiones al Servidor UNIX de Producción el día del

incidente y se detectó que el usuario Maria había entrado desde el

Servidor de Desarrollo y tuvo una sesión abierta de 3 horas.

7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos

antes de conectarse el usuario Maria al UNIX de Producción, el usuario

Pedro había entrado a Desarrollo desde su PC.

28




- Se buscó los registros de la cámara de vigilancia de la entrada del

edificio y Maria se había retirado 1 hora antes del incidente.

PC Maria

PC Pedro

- Parte del script en un archivo temporal

del SQLPlus.

Servidor BD Producción

- Script en directorio Maria

Servidor BD Desarrollo

1. Entra como

Pedro

2. Entra como María

3. Ejecuta el Script

29



Resultados obtenidos:

Se determinó que el intruso fue Pedro y que trato de incriminar al

usuario Maria.

30


Conclusiones

- Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente.

- Las metodologías de análisis forense informático están siendo adoptadas por las Organizaciones en sus investigaciones.

- Hoy en día existen herramientas y metodologías que nos permiten poder llegar a resolver qué fue lo que pasó, quién fue y cómo lo hizo.

Gracias por Gracias por acompañarnos.acompañarnos.

www.cybsec.com

Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com

CYBSEC S.A. Security SystemsCYBSEC S.A. Security Systems

“Experiencias en Análisis Forense Informático” · 2013-04-29 · El viernes 23 de diciembre...

Documents

Transcript of “Experiencias en Análisis Forense Informático” · 2013-04-29 · El viernes 23 de diciembre...