Tratamiento de los Delitos Informáticos en Entorno Corporativo. Un Caso Practico

Transcripción

1 Tratamiento de los Delitos Informáticos en Entorno Corporativo Un Caso Practico Segurinfo 2014 Ezequiel Sallis Policía Metropolitana División Gustavo Presman EIF Estudio Informática

2 Índice Introducción / Presentación del caso Investigación Teoría y Practica Pericia Teoría y Practica Conclusiones

3 Delitos Informáticos: Tipos Personas La Tecnología es el fin Confidencialida d La Tecnología es el medio Integridad La Tecnología es incidental Información Disponibilidad

4 Delitos Informáticos: Desafíos Globalización Falta de Marco Legal Falta de Capacitación Falta de Recursos Tecnología y Sociedad Leyes Procesos Herramientas Protocolos Acuerdos Tratados

5 Delitos Informáticos: Desafíos Marco Legal Caso Investigador Información Inicial Metodología Factor Tiempo Factor Suerte Entorno Colaboración de Terceras Partes

6 Investigación: Teoría Fuerza del Ley Terceras Partes Proveedor de Servicio Empresa 2.0

7 Investigación: Teoría Internacionales Interpol Fuerzas de la Ley Nacionales FBI HSI DEA SS Policia Otros

8 Investigación: Practica

9 Investigación: Practica

10 Investigación: Practica

11 Investigación: Practica

12 Investigación: Practica

13 Investigación: Teoría Registros Internet Telefonía Tierra Proveedores de Servicios Telefonía Celular Trunking Satélites Contenido Carrier

14 Investigación: Practica

15 Investigación: Practica

16 Investigación: Teoría Si bien existen centenares de redes sociales y aplicaciones Web, a la hora de brindar información a las fuerzas de la ley, todas tienen puntos en común.

17 Investigación: Teoría Solicitudes Tradicionales: En donde el asunto bajo investigación no pone en juego daño físico o psicológico o bien la muerte de una persona. Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien la muerte de una persona. La emergencia toma mayor relevancia cuando la víctima es menor de edad. En todos los casos en que se realice esta solicitud debe manifestarse de forma explícita y evidente la emergencia.

18 solicitante y el país de destino de los datos. Preservación: Refiere a solicitar que la empresa resguarde el contenido asociado a un determinado usuario, independientemente de que el usuario lo borre o lo altere, es decir que preservara la información de la cuenta por un determinado periodo de tiempo. Este tipo de pedido no necesariamente requiere de una orden o autorización de un juzgado. Registros: Investigación: Teoría Refiere a que la empresa brindara registros (direcciones IP, fechas, horas, zona horaria) de todas las interacciones que se han tenido con la cuenta o perfil en cuestión, es decir, fecha y lugar de creación, fecha y lugar de accesos exitosos a la cuenta, fecha y lugar de acceso fallidos a la cuenta y otros. Este tipo de pedidos siempre requiere de la autorización de un Juzgado. Contenido: Refiere a que la empresa brindara el contenido asociado a una cuenta, perfil o servicio, siempre teniendo en cuenta la información disponible y permitida en su política de privacidad, preservación o destrucción de información. Este tipo de pedidos siempre requiere de la autorización de un Juzgado. Este tipo de contenido solo puede ser solicitado a través de un MLAT Mutual Legal Assistance Treaties entre el país

19 Investigación: Teoría Importante: La autorización por parte del juzgado que habilita a solicitar información relevante en base a un determinado caso bajo investigación debe especificar de forma clara: Tipo de delito que se investiga Ley que aplica al delito investigado Valor que la información aportara a la investigación

20 Investigación: Teoría Ninguna de las empresas brindara información si el requerimiento no cumple con las siguientes características: La información solicitada no se encuadra bajo un proceso legal. La información solicitada no es lo suficientemente completa. La información solicitada es excesiva, poco clara y puede generar una carga de trabajo elevada para la empresa que la provee. La información solicitada no se realiza por las vías adecuadas e informadas por la empresa. La información solicitada no proviene de un dominio asociado a un gobierno o fuerza de la ley.

21 Investigación: Practica

22 Investigación: Practica

23 Investigación: Practica

24 La Pericia Informática Recolección de la Evidencia Procesamiento de la Evidencia

25 *Evidencia Local *Evidencia en la nube (Dropbox, Skydrive ) Acceso a la Evidencia local Durante el allanamiento Preconstitución Notarial (si el incidente es detectado internamente)

26 Recolección de Evidencia local mediante acta Notarial Rol del: ESCRIBANO REQUIRENTE PERITO Validez de la Escritura Redarguciones de Falsedad

27 El Acta Notarial Plazo : Tiempo transcurrido del incidente a la recolección Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Informático : Audiencia Testimonial o de peritos Autorización Expresa : Al perito en caso de solicitar informe Material Recolectado : Autenticacion y Sellado Custodia : Notarial o del Requirente?

28 Imágenes Forenses 101 EVIDENCIA FISICA ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO MAGNETICO AUTENTICACION DE EVIDENCIA POR MEDIO DE UN ALGORITMO DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA 5b748e186f622c1bdd6ea9843d1609c1 HASHES USUALES MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)

29 Obtención de Imágenes Forenses De Forma directa De Forma Indirecta

30 Desafios para la recolección de Evidencia en la nube No disponemos de los datos No tenemos acceso a la infraestructura física Son sistemas distribuídos y virtuales Tienen espacio de almacenamiento distribuido en ubicaciones cambiantes Pueden compartir espacio fisico entre usuarios Frecuentemente transnacionales Con poca o nula colaboración del CSP

31 Recolección de Evidencia en la nube La misma puede ser recolectada voluntariamente por la parte* u ordenada por las autoridades legales *Siempre que tenga validez legal y técnica Por vía indirecta (Artefactos locales en almacenamiento masivo o memoria RAM y en Tráfico de red ) Por vía directa: Con acceso de bajo nivel a la nube

32 Investigaciones de Pornografía Infantil en Internet (PI) El análisis forense puede auxiliar en dos áreas : Identificación del sospechoso Análisis de contenido digital de medios De la Ley 26388/08 Art. 2 Tenencia de pornografía infantil para distribución o comercialización

33 Investigaciones de Pornografía Infantil en Internet (PI) Identificación del sospechoso Identificación Casual : Politicas corporativas, simple observación, denuncia Ciberpatrullajes Interpol, Guardia Civil Española Proveen : IP del usuario de conexión (usualmente Webmail)

34 Flujo de Investigación PI Material Secuestrado MD5 SHA1

35 Análisis del contenido de medios digitales en PI Imágenes (JPG/JPEG/BMP ) Videos (MPG/AVI/MP4/3GP )

36 Análisis del contenido de medios digitales en PI Cruzamiento de Hahes con bases de datos de fuerzas de la ley (INTERPOL)

37 Sitios de intercambio Peer to Peer (P2P) usuario usuario usuario NAPSTER MORPHEUS EMULE BIT TORRENT LIMEWIRE itunes usuario

38 Artefactos P2P Instalación del producto (manual/automatico) Cantidad de ejecuciones Archivos descargados Archivos en progreso de descarga (contenido parcial) Archivos compartidos Direcciones IP de descargas en progreso Listados de búsquedas

39 Conclusiones Esto podría esta ocurriendo hoy en su organización Existe un comité de investigación y respuesta a incidentes? Están otras áreas preparadas para interactuar (RRHH, Legales? Preguntas?

40 Tratamiento de los Delitos Informáticos en Entorno Corporativo Muchas gracias Ezequiel Sallis Policía Metropolitana División Gustavo Presman EIF Estudio Informática