Conexión inversa. Análisis Forense en medios de pago.
-
Upload
eventos-creativos -
Category
Technology
-
view
542 -
download
0
Transcript of Conexión inversa. Análisis Forense en medios de pago.
![Page 1: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/1.jpg)
Anális is forens e en medios de pa go
E l mayor pe ligro de la red, es e l us uario
Técnicas de prevención y defensa
![Page 2: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/2.jpg)
Agenda● ¿Quienes somos?● Estado actual● La armada● Caso: Ataque zulu ● Conclusiones
![Page 3: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/3.jpg)
¿Quienes somos?
![Page 4: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/4.jpg)
¿Quienes somos?Pedro SánchezZaragoza, SPAIN
He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI y diversas metodologías de seguridad. También colaboro sobre análisis forense informático con las fuerzas de seguridad del estado y diversas organizaciones comerciales.También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish Honeynet Project y trabajo en una gran organización como es ATCA
![Page 5: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/5.jpg)
¿Quienes somos?En el año 2001, se crea un equipo multidisciplinario con el objeto de reducir el fraude en las las nuevas tecnologías.
Empezamos con una persona, aplicando controles, normas y metodologías.
Ahora somos un conjunto de personas/áreas de la empresa, en todas las especialidades de la seguridad informática.
Somos personas=profesionales. Lo que hacemos nos gusta, nada ni nadie nos impone (solo reportamos al Director General.)
![Page 6: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/6.jpg)
![Page 7: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/7.jpg)
¿Quienes somos?
![Page 8: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/8.jpg)
¿Para quien trabajamos?ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales.
Durante toda su trayectoria se ha destacado por su apuesta firme por la innovación, las últimas tecnologías y la inversión en proyectos de I+D+i, siendo una compañía pionera en el uso de Software Libre.
La seguridad es una de sus máximas prioridades, lo que le ha llevado a convertirse en la primera entidad del sector financiero español en obtener la máxima certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001.
También dispone de la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
![Page 9: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/9.jpg)
Estado actual
![Page 10: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/10.jpg)
La seguridad tradicional ha muerto
Desactivar servicios Quitar paquetes innecesarios Cambiar banners Firewalls de red HIDS (Host IDS) ...
![Page 11: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/11.jpg)
Si cambias tu banner...
Apache con PHP, windows con .asp …
Da exactamente igual
![Page 12: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/12.jpg)
¿IDS's & IPS's?
No queremos añadir un usuario a /etc/passwd
No queremos una shell
No nos interesa escanear la red
![Page 13: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/13.jpg)
Solo queremos una cosa:'Vuestro dinero'
TARJETAS DE CRÉDITO
COMPRAS FRAUDULENTAS
EXTORSIÓN
![Page 14: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/14.jpg)
¿Y que ahí de los XSS, SQL-i?
Auditorías trimestrales Escaneo manual y automatizado de XSS, SQL-
injection, ... Lenguajes de programación cada vez más
seguros Firewalls de aplicación (WEB, FTP, …) en
TODAS las entidades financieras Mod-security Juniper ...
![Page 15: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/15.jpg)
La seguridad tal y como la conocemosHA MUERTO
SÓLO UN COMPLETO IGNORANTE INTENTARÍA
ENTRAR EN UN BANCO
![Page 16: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/16.jpg)
El usuario domestico...
SOFWARE PIRATA CON TROYANOS
0-DAYS (ADOBE, IEXPLORE, …)
EL PROPIO USUARIO
![Page 17: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/17.jpg)
Nuevos troyanos
Keylogger, Captura imágenes
Consola de administración remota
Totalmente indetectables
Hechos por profesionales
![Page 18: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/18.jpg)
¿Es suficiente la seguridadactual de los usuarios?
Equipo actualizado Software legal Antivirus Firewall ...
![Page 19: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/19.jpg)
¿Quien es la victima más fácil?
![Page 20: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/20.jpg)
2.- Medidas actuales
Medidas actuales en Banca Electrónica
![Page 21: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/21.jpg)
¿De verdad es suficiente?
Validación usuario/password Teclados virtuales Tarjeta de coordenadas DNI-e Tarjetas Chip (EMV) Verificación por SMS, tokens, algún día ...
Medidas actuales en BE
![Page 22: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/22.jpg)
Autopsy Case 1: Preguntale a Dimitri Autopsy Case 2: Man in the mobile
TRES Ejemplos REALES
![Page 23: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/23.jpg)
Autopsy Case 2
El mito de dimitri
![Page 24: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/24.jpg)
Case 1
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace 'click' en un vinculo sobre un falso correo
2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña
1
2
3.- El cliente introduce los datos y pulsa el botón enviar
4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo
3 4
![Page 25: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/25.jpg)
Case 1•PASO 2:
3.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente
12
455.- El malo envia el
nuevo valor (dni) e intenta hacer una trasferencia automatica
![Page 26: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/26.jpg)
Case 1•PASO 3:
3.- El cliente recibe la página con sus datos y un campo más la solicitud de su token
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo
12
455.- El malo envia el
nuevo valor (token) y realiza una transferencia automaticamente
![Page 27: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/27.jpg)
![Page 28: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/28.jpg)
![Page 29: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/29.jpg)
![Page 30: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/30.jpg)
![Page 31: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/31.jpg)
![Page 32: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/32.jpg)
Otras cosas que obtuvimos...
Modificado Original
![Page 33: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/33.jpg)
Otras cosas que obtuvimos...
Modificado Original
![Page 35: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/35.jpg)
Man in the mobile
![Page 36: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/36.jpg)
● El atacante roba el nombre de usuario y contraseña en línea utilizando un software malicioso
● El atacante infecta el dispositivo móvil del usuario obligandole a instalar una aplicación maliciosa bajo su desconocimiento total. Este paso se realiza a través del envío de un SMS con un enlace malicioso al móvil.
● El atacante inicia la sesión con las credenciales robadas obligando a la autenticación a través de SMS. .
● Un SMS se envía al dispositivo móvil del usuario con el código de autenticación. El software malicioso intercepta el SMS y lo reenvía a otro terminal controlado por el atacante, sin dejar rastro de ello en el terminal de la víctima.
● El atacante se apropia del código de autenticación y completa la operación.
![Page 37: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/37.jpg)
La armada
![Page 38: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/38.jpg)
La armada● Spectum:
● Servidor con relay abierto con una lógica que captura correos en formato raw para su posterior análisis en base a patrones.
● Ulises:● Sonda espacial (araña) que busca en internet
nombres de dominios iguales a los que protegemos en base a hash de imágenes.
● Perdido:● Honeyweb, en base a un patrón de ataques a la
página web entra el atacante en modo simulación.
![Page 39: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/39.jpg)
La armada● Arwen:
● Servidores con una base de datos de tarjetas de crédito
● Heracles:● FTP's anónimos con objeto de recopilar lo que suben
los usuarios o delincuentes● Rare:
● Wifi abierta ● Odin
● Nodo de salida de TOR● Zeus
● Proxy abierto
![Page 40: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/40.jpg)
348
![Page 41: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/41.jpg)
![Page 42: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/42.jpg)
passwords
![Page 43: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/43.jpg)
Conclusiones
![Page 44: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/44.jpg)
Conclusiones● Por mucho que pongamos medios y seguridad en los
sistemas de autenticacion seguimos pensando que el usuario está en IRAK (nunca sabes cuando te va a explotar)
● Tenemos un nuevo vector de ataque muy difícil de superar. (seguimos pensando)
● Aun con todo hay que ser proactivos y tener artes adivinatorias
● ¿Habrá que utilizar privilegios no administrativos en los móviles.?
● Los ciberdelincuentes van ganando, hay que retomar la seguridad y enfocarla a la conciencia
![Page 45: Conexión inversa. Análisis Forense en medios de pago.](https://reader034.fdocumento.com/reader034/viewer/2022042716/55c84d7bbb61eb2b628b46fc/html5/thumbnails/45.jpg)
● El hecho de disponer de sensores, nos ayuda en el arte de la predicción.
● No solo debemos de tener tecnología, si no disponer de capacidad analítica.
● Los clientes nos dan un buen 'feedback'● Aumentemos la percepción de la seguridad en
la sociedad