“Experiencias en Análisis Forense Informático”
Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com
CYBSEC S.A. Security SystemsCYBSEC S.A. Security Systems
2
Experiencias en Análisis Forense Informático
AgendaAgenda
- Incidentes de seguridad informática
- Metodologías aplicadas
- Análisis Forense Informático en la Argentina
4
Experiencias en Análisis Forense Informático
©
¿Ha ten ido incidentes de Seguridad Informát ica en el ú lt imo año?
46% 53% 43%
35% 27% 42%18% 20% 15%
0%
50%
100%
150%
Año 2002 Año 2003 Año 2004
NO SABE
NO
SI
Incidentes en Argentina
Incidentes de Seguridad Informática
5
Experiencias en Análisis Forense Informático
Incidentes en Argentina
©
¿Cual es el origen más común de los incidentes de seguridad en su empresa?
32%
23%30%
52%
63%58%
3% 5% 4%10%
4% 2%3% 4% 6%
0%10%20%30%40%50%60%70%
Año 2002 Año 2003 Año 2004
Sistemas internos
Internet
Accesos remotos víamodemVínculos Externos(proveedores y clientes)Otros
Incidentes de Seguridad Informática
6
Experiencias en Análisis Forense Informático
Source: CMU Computer Emergency Response Team
Crecimiento de Incidentes
Incidentes de Seguridad Informática
7
Experiencias en Análisis Forense InformáticoIncidentes de Seguridad Informática
Durante enero y Durante enero y
febrero de 2006 febrero de 2006
hubo más de hubo más de
400 ataques 400 ataques
exitosos a exitosos a
páginas Web páginas Web
en Argentina.en Argentina.Fuente: www.zone-h.org
http://www.zone-h.org/en/defacements/filter/filter_domain=ar
8
Experiencias en Análisis Forense Informático
¿Por qué se generan más incidentes que antes?
- Crecimiento de la dependencia tecnológica.
- Amplia disponibilidad de herramientas.
- No hay leyes globales.
- Internet es un laboratorio.
- Falsa sensación de que todo se puede hacer.
- Gran aumento de vulnerabilidades de seguridad (5.990 nuevas en 2005 según CERT).
Incidentes de Seguridad Informática
9
Experiencias en Análisis Forense Informático
¿Qué hacer ante un incidente informático?
¿Vale la pena investigarlo?
¿Qué puedo lograr?
¿Qué ofrece el Análisis Forense Informático?
El análisis forense informático se aplica
una vez que tenemos un incidente y queremos
investigar qué fue lo que pasó, quién fue
y cómo fue.
Incidentes de Seguridad Informática
11
Experiencias en Análisis Forense Informático
Análisis Forense Informático
“Es la técnica de capturar, procesar e investigarinformación procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)
La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
Metodologías Aplicadas
12
Experiencias en Análisis Forense Informático
Metodología utilizada
El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
Metodologías Aplicadas
13
Experiencias en Análisis Forense Informático
Metodología utilizada
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar
el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
Metodologías Aplicadas
14
Experiencias en Análisis Forense Informático
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar más información?
GenerarConclusiones
S
S
S
Metodologías Aplicadas
16
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 1: Denegación de servicio
Descripción del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada
por un intruso que impidió la continuidad del negocio en sus casi 120
sucursales.
En un análisis preliminar de la situación determinó que un intruso había
dejado un programa que se ejecutó el día viernes a las 19:00hs horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenzó a trabajar en dos líneas:
- Volver a la operación normal.
- Detección, análisis y rastreo del intruso.
17
Experiencias en Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
En relación a la vuelta a la operación normal:
1. Análisis forense inmediato de los equipos afectados.
2. Detección de programas que impedían el normal funcionamiento del
Sistema de Ventas.
3. Análisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicación masiva de cambios y vuelta a la operación normal.
Análisis Forense Informático en la Argentina
18
Experiencias en Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
En relación a la detección, análisis y rastreo del intruso:
1. Ingeniería reversa de los programas que dejó el intruso
2. Determinación de las actividades que realizó el intruso.
3. Detección de rastros de pruebas 4 días antes.
4. Determinación de pruebas que podrían indicar el perfil del intruso.
5. Análisis de los sistemas de acceso remoto.
6. Evaluación de las computadoras personales de los potenciales
sospechosos.
Análisis Forense Informático en la Argentina
19
Experiencias en Análisis Forense Informático
CASO 1: Denegación de servicio
Metodología de Investigación:
7. En el equipo de José se detectaron varios elementos (repetición del
patrón de comportamiento del intruso por la forma en que ejecutaba
los comandos).
8. Se detectó que otra computadora que contenía evidencia y se
encontraba al lado del equipo de José misteriosamente fue formateada
y re-instalada dos días después del incidente y en la misma se detectó
el patrón de comportamiento del intruso.
Análisis Forense Informático en la Argentina
20
Experiencias en Análisis Forense Informático
CASO 1: Denegación de servicio
Resultados obtenidos :
Se logró detectar la intrusión y se volvió la operación normal en el
plazo inmediato.
De acuerdo a las características detectadas del patrón de
comportamiento, información encontrada, re-instalación de un
equipo, conocimiento de las claves de acceso
necesarias, existe una gran probabilidad de que
el intruso fuera José.
Análisis Forense Informático en la Argentina
21
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 2: Extorsión
Descripción del incidente:
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no
hacer circular entre los Clientes de la misma información confidencial que
había obtenido.
El intruso se comunicaba a través de mensajes de correo electrónico y
en dos oportunidades envió dos documentos de Word escritos por el.
22
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 2: Extorsión
Metodología de Investigación:
1. Se investigaron los mensajes de correo electrónico enviados por el
intruso y se determinaron que venían de Locutorios y/o Cybercafes.
2. En dos oportunidades el intruso realizó envíos de mensajes de correo
electrónico conteniendo documentos de Word.
3. Se analizaron los documentos de Word con herramientas para análisis
a nivel binario y se obtuvo información sobre nombres de archivos
internos, fechas de creación, unidades donde fue copiado (aparecía
una unidad A:) y aparecía el directorio donde fue almacenado.
23
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 2: Extorsión
Metodología de Investigación:
4. El usuario que aparecía como Autor del documento en el análisis era x
y la Organización x, eso implicaba que el archivo fue generado con un
Microsoft Word registrado a ese nombre.
5. Se analizó el nombre del directorio y apareció lo siguiente:
C:\Documents and Settings\oalvarez\Mis documentos\
6. Una de las personas que habían desvinculado de mala manera unos
meses antes era “Omar Alvarez”.
24
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 2: Extorsión
Resultados obtenidos:
Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los
documentos con su computadora personal.
25
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 3: Modificación de información
Descripción del incidente:
Un intruso ingresó en la Base de Datos de personal y ejecutó un script
SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de
julio de 2005.
Un día después, el sistema de liquidación generó los pagos causando
graves problemas a la Organización.
Se comenzó la investigación analizando el Servidor de Producción de
Personal.
26
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 3: Modificación de información
Metodología de Investigación:
1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos.
2. Detección en el directorio principal del usuario Maria lo que parecía ser
el script SQL que se había ejecutado.
3. Restricción de las PC’s de los usuarios que accedieron en ese momento.
4. Evaluación de 9 PC’s de los usuarios buscando archivos creados,
modificados y accedidos el día del incidente.
27
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 3: Modificación de información
Metodología de Investigación:
5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario
Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía
parte del script detectado en el directorio del usuario Maria. Ese archivo
fue generado por la herramienta SQLPlus.
6. Se analizaron las conexiones al Servidor UNIX de Producción el día del
incidente y se detectó que el usuario Maria había entrado desde el
Servidor de Desarrollo y tuvo una sesión abierta de 3 horas.
7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos
antes de conectarse el usuario Maria al UNIX de Producción, el usuario
Pedro había entrado a Desarrollo desde su PC.
28
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 3: Modificación de información
Metodología de Investigación:
- Se buscó los registros de la cámara de vigilancia de la entrada del
edificio y Maria se había retirado 1 hora antes del incidente.
PC Maria
PC Pedro
- Parte del script en un archivo temporal
del SQLPlus.
Servidor BD Producción
- Script en directorio Maria
Servidor BD Desarrollo
1. Entra como
Pedro
2. Entra como María
3. Ejecuta el Script
29
Experiencias en Análisis Forense InformáticoAnálisis Forense Informático en la Argentina
CASO 3: Modificación de información
Resultados obtenidos:
Se determinó que el intruso fue Pedro y que trato de incriminar al
usuario Maria.
30
Experiencias en Análisis Forense Informático
Conclusiones
- Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente.
- Las metodologías de análisis forense informático están siendo adoptadas por las Organizaciones en sus investigaciones.
- Hoy en día existen herramientas y metodologías que nos permiten poder llegar a resolver qué fue lo que pasó, quién fue y cómo lo hizo.
Gracias por Gracias por acompañarnos.acompañarnos.
www.cybsec.com
Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com
CYBSEC S.A. Security SystemsCYBSEC S.A. Security Systems