Experiencias en investigaciones forenses...
Transcript of Experiencias en investigaciones forenses...
![Page 1: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/1.jpg)
Experiencias en Experiencias en investigaciones forenses investigaciones forenses
informáticasinformáticasinformáticasinformáticas
Julio César [email protected]
7 de Abril de 2016Asunción, Paraguay
![Page 2: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/2.jpg)
Experiencias en investigaciones forenses informáticas
Agenda
• Estado del arte de los incidentes de seguridad
• Estrategias para el manejo de incidentes
• Experiencias en la gestión de incidentes de seguridad
2
![Page 3: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/3.jpg)
Estado del arte de los incidentes de
seguridadseguridad
3
![Page 4: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/4.jpg)
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
4
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
![Page 5: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/5.jpg)
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
5
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
![Page 6: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/6.jpg)
Incidentes de seguridad
Desde 2012 hasta
hoy hubo más de
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
6
Fuente: www.zone-h.org
2.600 ataques
Exitosos a páginas
Web en Paraguay.
![Page 7: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/7.jpg)
Incidentes de seguridad
Desde 2012 hasta
hoy hubo más de
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
7
Fuente: www.zone-h.org
2.600 ataques
Exitosos a páginas
Web en Paraguay.
![Page 8: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/8.jpg)
Tendencia Actual
- Aumento de incidentes de seguridad.
- Aumento exponencial de ataques de phishing contra entidades
financieras paraguayas (incluyendo financieras y cooperativas).
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
8
- Ataques de ransomware (encripción de información)
- Hacktivismo (Anonymous Paraguay)
- Origen de ataques: Redes Wifi abiertas o redes TOR
![Page 9: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/9.jpg)
Estrategias parael manejo de el manejo de
incidentes
9
![Page 10: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/10.jpg)
Estrategias para el manejo de incidentes
Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de seguridad
en la Organizacion, pero surge un incidente de seguridad grave.
Recomendaciones:
Experiencias en investigaciones forenses informáticas
10
Recomendaciones:
- No ocultarlo.
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
![Page 11: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/11.jpg)
Política de Manejo de Incidentes de Seguridad Informática
Temas a tener en cuenta:
1. Detección y notificación de Incidentes de
Estrategias para el manejo de incidentes
Experiencias en investigaciones forenses informáticas
11
1. Detección y notificación de Incidentes de
Seguridad Informática
2. Rastreo de Incidentes de Seguridad Informática
3. Recolección de evidencia
4. Proceso de recuperación de los sistemas afectados
5. Proceso disciplinario
![Page 12: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/12.jpg)
Diagrama de flujo del manejo de incidentes a nivel interno
Estrategias para el manejo de incidentes
Experiencias en investigaciones forenses informáticas
12
![Page 13: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/13.jpg)
Experiencias en la gestión de incidentes gestión de incidentes
de seguridad
13
![Page 14: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/14.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Descripción del incidente:
En abril de 2014 nos contactan de una empresa que vende tickets porinternet porque el procesador que autoriza los pagos les informó que sonpunto de compromiso, ya que se están registrando compras no reconocidasen el exterior y el sistema de prevención de fraude indica que todas las
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
en el exterior y el sistema de prevención de fraude indica que todas lastarjetas pasaron por el mismo comercio.
Se realiza una reunión de relevamiento con el procesador y la empresainvolucrada. Nos pasan la información sobre los lotes de tarjetas comprometidos para iniciar la investigación.
Se trabajó en dos líneas:- Investigar que sucedió y frenar el robo de datos.- Rastrear el origen del mismo.
![Page 15: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/15.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
1. Se investigó el tipo de fraude: en algunos casos era con tarjetas
clonadas y en otros era de forma no presencial (esto implicaba que se habían
robado la siguiente información: PAN, fecha de vencimiento, código de
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
robado la siguiente información: PAN, fecha de vencimiento, código de
seguridad, Track 1 y Track 2).
2. Se determinó cuales eran los sistemas que contenían esa información y se
los evaluó. Se detectaron dos sistemas internos: el Sistema de Reservas y
el Sistema de Pagos.
3. Se buscaron las tarjetas comprometidas y se
detectaron en los dos sistemas.
![Page 16: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/16.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
4. Se investigó el ingreso de esos datos y el retiro de los tickets y venían de
distintas fuentes: compras presenciales, compras por internet, retiro en
distintas boleterías, en los shows, etc.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
distintas boleterías, en los shows, etc.
5. Se investigaron a los usuarios internos que accedían a los sistemas y a
los administradores del sistema para determinar si estaban involucrados.
6. Se investigaron los dos sistemas internos (Reservas y Pagos) y se
detectó que todavía se estaba almacenando la información sobre las
tarjetas en plano.
![Page 17: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/17.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
7. Inmediatamente se realizaron las correcciones para eliminar los datos de
tarjetas y se corrigieron las aplicaciones para que no se almacenarán más
los datos.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
los datos.
8. Se evaluaron los sistemas de acceso remoto a la Empresa (vía vpn) y se
determinó que los logs de acceso se estaban almacenado solo por 30 días.
9. Del análisis de los logs vía vpn surgió el acceso remoto por parte del
proveedor que daba soporte al sistema de pagos desde direcciones IP de
Europa.
![Page 18: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/18.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
10. Inmediatamente nos contactamos con el proveedor, el cual negó ser
quien estaba accediendo (el acceso remoto era solo con user/pass).
11. Investigando luego al proveedor, se determinó que el mismo proveedor
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
11. Investigando luego al proveedor, se determinó que el mismo proveedor
sufrió un ataque de phishing a través del cual le robaron las contraseñas de
acceso a sus clientes.
12. Se bloquearon los accesos remotos. Se cambiaron todas las contraseñas
de los sistemas de acceso remoto y se los sistemas internos.
13. Luego se implementó el acceso remoto utilizando doble factor (CD).
14. Rastreamos las direcciones IP involucradas y venían de Polonia y Estonia.
![Page 19: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/19.jpg)
CASO 1: Robo de lote con datos de tarjetas de crédito
Resultados obtenidos:
En dos semanas de trabajo se determinó el modus operandi del ataque. Por las fechas de acceso y logs detectados se logró detectar la ventana decompromiso y se bloquearon de forma preventiva más de 72.000 tarjetasde crédito. El fraude llegó a U$S 115.000 que fue asumido por los seguros
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
de crédito. El fraude llegó a U$S 115.000 que fue asumido por los segurosde los bancos emisores.
Se logró detectar como fue el robo de datos y como se produjo y se implementaron medidas para elevar el nivel de seguridad de la Empresa.
La banda criminal que estaba involucrada en el robovenía de europa del este. Se dió aviso a las autoridadesde Polonia y Estonia (la investigación no prosperó).
![Page 20: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/20.jpg)
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
CASO 2: Denegación de servicio
Descripción del incidente:
El viernes 20 de diciembre de 2013 una Empresa de Retail fue atacadapor un intruso que impidió la continuidad del negocio en sus casi 120 sucursales.
En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas.
Se comenzó a trabajar en dos líneas:- Volver a la operación normal.- Detección, análisis y rastreo del intruso.
![Page 21: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/21.jpg)
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
CASO 2: Denegación de servicio
Metodología de Investigación:
En relación a la vuelta a la operación normal:
1. Análisis forense inmediato de los equipos afectados.
2. Detección de programas que impedían el normal funcionamiento del2. Detección de programas que impedían el normal funcionamiento del
Sistema de Ventas.
3. Análisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicación masiva de cambios y vuelta a la operación normal.
![Page 22: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/22.jpg)
Caso 2: Denegación de servicio
Metodología de Investigación:
En relación a la detección, análisis y rastreo del intruso:
1. Ingeniería reversa de los programas que dejó el intruso
2. Determinación de las actividades que realizó el intruso.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
2. Determinación de las actividades que realizó el intruso.
3. Detección de rastros de pruebas 4 días antes.
4. Determinación de pruebas que podrían indicar el perfil del intruso.
5. Análisis de los sistemas de acceso remoto.
6. Evaluación de las computadoras personales de los potenciales
sospechosos.
![Page 23: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/23.jpg)
CASO 2: Denegación de servicio
Metodología de Investigación:
7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos).
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
8. Se detectó que otra computadora que contenía evidencia y seencontraba al lado del equipo de José misteriosamente fue formateada yre-instalada dos días después del incidente y en la misma se detectó elpatrón de comportamiento del intruso.
![Page 24: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/24.jpg)
CASO 2: Denegación de servicio
Resultados obtenidos :
Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato.
De acuerdo a las características detectadas del patrón de
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José.
![Page 25: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/25.jpg)
CASO 3: Estafa a compañía (robo de dinero)
Descripción del incidente:
Una compañía sufrió una estafa realizada por un grupo de delincuentes apuntada a los máximos directivos de la Organización, logrando que la misma realizara transferencias de dinero al exterior (China). La primera transferencia de dinero se realizó. El objeto era una adquisición secreta.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
transferencia de dinero se realizó. El objeto era una adquisición secreta.
El incidente se detectó por casualidad en el medio de la segunda transacciónpudiendo frenarla a tiempo.
Se realizó una investigación sobre como fue el modus operandi tratando de rastrear a los delincuentes.
![Page 26: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/26.jpg)
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
1. Se evaluaron los headers de los mails falsos (venían de cuentas válidasdel mismo dominio pero tenían el Reply to a una cuenta de gmail).
2. Los intrusos también realizaron llamadas telefónicas desde un número
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
2. Los intrusos también realizaron llamadas telefónicas desde un número de celular de Israel (que resultó ser un número IP redireccionado).
3. Dentro del análisis de los encabezados se detectó que el grupo utilizó PHPmailers y Proxy para tratar de ocultar las direcciones IP orígenes reales,aunque detectamos dos dominiosque se utilizaron.
![Page 27: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/27.jpg)
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
4. Se evaluaron las Estaciones de Trabajo de las personas que recibieronlos mails falsos con las autorizaciones para realizar las transferencias enbusca de malware o programas troyanos. No se detectó nada sospechoso.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
5. Se analizaron los logs de acceso al OWA (acceso al webmail) y sedetectaron accesos no autorizados a las cuentas de correo involucradas desde las mismas direcciones IP analizadas previamente.
6. Se analizaron las direcciones IP detectadas y la mayoría eran equipos proxy anónimos.
![Page 28: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/28.jpg)
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
7. Se contactó al Banco de Taizhou para obtener más información sobrelos fondos de la primera transferencia y enviaron la información que alas pocas horas de la primera transferencia, el dinero se transfirió a otras 4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursales
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursalesdel Banco de Taizhou en China.
8. Se investigaron los dominios utilizados y el modus operandi y es la forma en como funcionandos bandas de cibercrimen con origen en asia.
![Page 29: Experiencias en investigaciones forenses informáticascybsec.com/upload/Ardita_Experiencias_en_investigaciones... · 2016-07-19 · En abril de 2014 nos contactan de una empresa que](https://reader031.fdocuments.ec/reader031/viewer/2022022616/5ba2bb0309d3f2cc2e8c9af3/html5/thumbnails/29.jpg)
CASO 3: Estafa a compañía (robo de dinero)
Resultados obtenidos:
Se determinó que la empresa fue objeto de un ataque sofisticado que involucró robo de contraseñas, accesos no autorizados a los correos electrónicos, estudio de las personas y las formas de operación interna dela organización.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
la organización.
Con la primera transferencia, la compañía perdió U$S 370.000. La segunda que se pudo frenar era de U$S 1.640.000 y la tercera que estaban preparando era de U$S 13.000.000.
Se realizó una denuncia formal en la Argentina.