Principios de Informática Forense

Transcripción

1 Principios de Informática Forense Nociones Generales Miguel Ángel Villarroel Salgueiro Doctorado en Informática Universidad de Valladolid Contenido Introducción y nociones generales de computación Implementación de técnicas de detección de cibercrímenes Recolección y preservación de evidencia digital Construcción del caso de cibercrimen Casos de estudio Referencias MAVS

2 Introducción Contexto actual La computación (informática) se ha introducido en casi todas las áreas de actividad humana. La informática también se ha convertido en un instrumento para cometer nuevas formas de delitos. Recientemente, se cuenta con herramientas para investigar y combatir los hechos delictivos. 2

3 Antecedentes Entre mayo de 2001 y mayo de 2002, las agencias de investigación de EEUU recibieron denuncias de fraude en Internet. (Shinder 2002) En septiembre de 2011 se informa (cybercrimeswatch.com): 25% de cibercrimen permanece sin resolver 75 millones de scam ( fraudulento) es enviado diariamente dañando a 2000 personas. 75% de personas han observado algún tipo de cibercrimen, en el mundo la tasa es del 66%. En Brasil 83% de la población conectada a Internet ha MAVº 2013 tenido exposición al cibercrimen. Suscripciones de líneas celulares 3

4 Penetración de servicios celulares Penetración de Internet 4

5 Penetración de Internet, por región Penetración por residencias 5

6 Suscripciones a Internet (ITU 2013) Mundo computacional Los datos muestran que el uso de tecnologías es cada vez más intenso Tanto en regiones desarrolladas como en las regiones emergentes. Esos datos reflejan que las personas están cada vez más expuestas a la tecnología en forma directa. De estas tecnologías la computación es la que tiene mayor penetración en la vida diaria. 6

7 El problema del cibercrímen o crímen digital El cibercrímen es una subcategoría del crimen computacional. Las computadoras y redes computacionales pueden estar involucradas en crímenes: Como herramientas del crimen (usadas como medio para cometer un delito). Como objetivo del hecho criminal. Como elemento de uso incidental o casual para la comisión del delito (por ejemplo, para mantener un registro de ventas de sustancias ilegales). Propiedades intangibles: bienes digitales Muchos delitos digitales involucran acciones o daños sobre propiedades intangibles. Programas computacionales Datos almacenados Aún cuando a veces es posible encontrar repositorios de los bienes digitales, existen casos en que el repositorio no está dentro de la jurisdicción del caso. Datos financieros almacenados en un paraíso fiscal. 7

8 Definición de las NNUU de cibercrimen (1) Cibercrimen, en un sentido específico (crimen computacional): Cualquier comportamiento ilegal dirigido mediante operaciones electrónicas que tiene como objetivo la seguridad de sistemas computacionales y los datos procesados en ellos. Definición de las NNUU de cibercrimen (2) Cibercrimen, en un sentido general (crimen relacionado a la computación): Cualquier comportamiento ilegal cometido en relación a, o mediante, un sistema computacional o red de telecomunicaciones, incluyendo crimenes tales como la posesión ilegal (y/o) oferta o distribución de información mediante un sistema o red computacional. 8

9 Áreas de acción de la informática forense. Crímenes computacionales Incluyendo cibercrímenes Cualquier hecho investigado en el que se precise el análisis de artefactos o bienes computacionales. Computadoras Sistemas de redes computacionales Información digital (Ej. s, bases de datos, etc.) El problema de la jurisdicción Muchos crímenes computacionales trascienden una delimitación jurisdiccional. Por ejemplo, la compra de un artículo por Internet desde Bolivia, que es enviado desde China, y que es pagado a un ciudadano Mexicano, mediante una empresa de pagos online domiciliada en EEUU. Este problema debe ser resuelto con legislación apropiada y acuerdos de colaboración de las agencias involucradas. 9

10 Historia del crimen computacional Antes de la difusión de las redes computacionales, los bienes intangibles computacionales (información y programas) tenían una localización fija determinada (computadoras y sistemas de almacenamiento). Con la extensión de las redes (Internet) la información fluye y su ubicuidad se convierte en una de sus carácterísticas naturales. Historia del crimen computacional Hasta los años 80 los datos se transportaban de un sistema a otro por medios físicos (diskettes, cintas) y permanecían en medios identificables (discos duros, tarjetas perforadas, cintas perforadas). Posteriormente el transporte de datos y programas se realiza principalmente mediante redes computacionales. Hoy en día un agente criminal puede atacar a los sistemas ya sea en los sistemas o en el transporte de la información. 10

11 Hackers Los primeros Hackers surgen en el Massachusetts Institute of Technology (MIT) en 1962, poco después de que el MIT adquiere su primera PDP-1. El grupo se llamaba Tech Model Railroad Club (Club Tecnológico de Trenes a Escala). Steve Jobs (fundador de Apple) vendía, con Steve Wozniak, dispositivos para hacer llamadas de larga distancia gratuitas en EEUU. Tipología de los primeros crímenes computacionales Ataque directo al hardware que contiene la información y los programas. Necesidad de acceso físico a los recursos atacados. Posibilidad de encontrar rastros físicos en el objeto afectado, o alrededor de él. Autores, humanos, intelectuales y materiales identificables. 11

12 Naturaleza de los crímenes digitales en la actualidad Programas e información circulando por la Red. Autores humanos, escondidos detrás de programas de uso criminal. Intercepción de datos a distancia. Los intrusos no precisan acceso físico a las instalaciones objetivo. Los programas intrusos pueden moverse entre sistemas en cuestión de segundos. Tipos de situaciones inseguras Espionaje (sniffing) Worms Espionaje de comunicaciones Suplantación y fraude Scam Suplantación digital Daño a las instalaciones Virus computacionales Acceso no autorizado Etc. 12

13 El factor humano en escena Las computadoras son completamente amorales. Hacen lo que se les ordena hacer Su uso en crímenes implica la participación de al menos un humano que Prepara, planea y ejecuta el hecho criminal Algunos crímenes aparentemente no dañan a nadie. Ej: uso no autorizado de WiFi Otros crímenes tienen daños verificables Perdida de archivos Perfil del cibercriminal Se puede obtener un perfil de las personas que participan en un cibercrimen mediante métodos clásicos Observación del crimen y su escena Seguimiento de pistas digitales Testimonios de testigos y víctimas Conocimiento de psicología humana y psicología criminal Existencia de patrones y correlaciones entre diferentes crimenes 13

14 Perfil del cibercriminal Existen preconcepciones falsas sobre los cibercriminales Todos los cibercriminales son nerds Todos los cibercriminales tienen índices intelectuales muy altos o son genios Los cibercriminales son varones y jovenes Los cibercriminales no son criminales reales por que no actúan en el mundo real Los cibercriminales no son violentos Todos los cibercriminales corresponden a un perfil determinado Motivaciones para el cibercrimen Solo diversión Ganancias monetarias Motivaciones emocionales (rabia, venganza) Motivaciones políticas Motivaciones sexuales Trastornos psicológicos 14

15 Clasificación de los cibercriminales Que hacen uso intensivo de La red Criminales de camisa blanca Artistas computacionales Hackers, crackers y hackers de red Que no hacen uso intensivo de La red Criminales que usan la red para localizar víctimas Criminales que usan la red o computadoras para mantener registros de sus actividades Criminales que usan la red para comunicarse con sus cómplices Las víctimas, tipos: Gente que es nueva en La red Gente que es naturalmente inocente y confiada Personas con desventajas físicas e intelectuales Personas en busca de apoyo emocional Pseudo-víctimas (no son víctimas, pero dicen que lo son) Gente que está en el lugar y momento equivocado Se debe buscar la colaboración de las víctimas 15

16 Ciberinvestigadores Excelentes habilidades de observación Buena memoria Habilidades de organización Habilidades de documentación Objetividad Conocimiento Habilidad para ponerse en el lugar del criminal Imaginación constructiva intelectualmente MAVS controlada 2013 Ciberinvestigadores Curiosidad Voluntad y determinación Paciencia Capacidad de aprendizaje Conocimientos básicos de las ciencias de la computación Comprensión de los protocolos de redes de telecomunicaciones 16

17 Ciberinvestigadores Conocimiento de la terminología y jerga computacional Conocimiento de la cultura hacker Conocimiento de los problemas y aspectos de la computación y las telecomunicaciones Ciberinvestigadores, tipos: Investigadores especializados en crímenes computacionales y/o en Redes de información. Especialistas en TIC que realizan investigaciones criminales Aquellos que tienen conocimiento equilibrado en TICs e Investigación criminal. Aquellos sin habilidad concreta en TICs ni en Investigación Criminal 17

18 Elementos de informática Conocimientos de hardware Conocimientos de Software Sistemas Operativos Bases de Datos Sistemas de almacenamiento de información Conocimientos de Redes de telecomunicación de datos Conocimientos de protocolos de intercambio de datos Hardware CPU Memoria Unidades de entrada salida Unidades de almacenamiento secundario Almacenamiento portable Gráfico enciclopedia británica 18

19 Software Parte inteligente del computador Sistema Operativo Programas desarrollados por el usuario Programas adquiridos por el usuario Sistemas de uso institucional u organizacional Utilidades de uso general (antivirus, juegos) Juegos Etc. El software es modificable. Elementos de redes de telecomunicaciones Comunicación entre ordenadores La información se transmite de un punto de origen a un punto de destino (o varios: broadcasting) Intervienene: Computadoras, móviles, etc. Enlaces Sistemas de red (routers, switches, etc). 19

20 Partes de una red de datos PC server wireless laptop smartphone router wireless links wired links Millones de dispositivos conectados: hosts = end systems Ejecutan aplicacciones de red Enlaces de comunicación Fibra, cable de cobre, radio,satélite Capacidad de transmisión: ancho de banda Conmutación de paquetes: envían información (bloques de datoa) routers and switches mobile network home network institutional network global ISP regional ISP Acceso doméstico a las redes wireless devices often combined in single box to/from headend or central office wireless access point (54 Mbps) router, firewall, NAT wired Ethernet (100 Mbps) cable or DSL modem 20

21 Acceso organizacional a redes institutional link to ISP (Internet) institutional router Ethernet switch institutional mail, web servers Empresas, instituciones, universidades, etc. Ancho de banda de 10 Mbps, 100Mbps, 1Gbps, 10Gbps Hoy en día conectados a Ethernet switches Estructura de Internet net net net net net net ISP A ISP B net net net net ISP B net IXP net Content provider network IXP regional net net net net net 21

22 Estructura de Internet Tier 1 ISP Tier 1 ISP Google I XP Regional ISP I XP Regional ISP I XP ISP ISP ISP ISP ISP ISP ISP ISP Intrusos en redes computacionales Ataques Directo Indirecto Masters y agentes (demonios) Zombies Intrusos Acceso no autorizado a recursos Pre-ataque, acceso inicial, Acceso total, instalación de Back doors, eliminación de pistas Sniffers, spoofing 22

23 Ataques a redes computacionales Intrusiones Ataque DoS Sniffing Spoofing Scam Hacking Cracking Etc. Problemas en redes Denegación de servicio (DoS) target 23

24 Sniffing A C Src:B dest:a payload B Spoofing A C src:b dest:a payload B 24

25 Elementos básicos de prevención Se deben tener los tres elementos del triangulo del crimen para cometer una intrusión en una red de información Oportunidad Motivación Triángulo de intrusión Medios Cuidados Autenticación Autorización Auditoría y seguimiento Cierre de brechas Cifrado y encriptación Controles de integridad Pruebas de vulnerabilidad de sistemas Pruebas de vulnerabilidad física Gestión de riesgos 25

26 Implementación de técnicas de detección de cibercrímenes Introducción Ofrecer medios para investigar el acceso no autorizado a datos y sistemas Permitir la protección y mejora de la seguridad de los sistemas 26

27 Sistemas de Seguimiento (Accounting Logs) Proporcionan información acerca de la utilización de los recursos y del rendimiento del sistema. Principales ventajas Suelen estar incorporados al Software proporcionado con el S.O Los datos se recogen durante la operación normal del sistema Sobrecarga pequeña, se pueden recoger datos durante periodos largos de tiempo. Principales inconvenientes No incorporan una utilidad de análisis Los datos pueden no ser del nivel de granularidad deseada. Información a nivel de usuario y tareas de usuario, no de nivel de sistema. Auditoría de seguridad y ficheros de seguimiento (Logs) Contienen información acerca de los servicios solicitados a un sistema, la respuesta proporcionada y el origen de las peticiones. Los ficheros log generados por servidores funcionales software tales como HTTP y DBMS contienen información útil para el analista de rendimiento. Ejemplo El access log es un tipo de web log, que puede ser útil para calcular parámetros de carga. Contiene información acerca del origen de la petición, del servicio solicitado, y de la respuesta proporcionada. Se pueden calcular el intervalo de medida, la tasa de llegadas (pet./seg) y estadísticas acerca del tamaño del documento. 27

28 Web Server Log File #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: :06:08 #Fields: date time c-ip s-computername cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes time-taken :06: INFISS GET /iss/index.html :06: INFISS GET /iss/scripts/estilo2.css :06: INFISS GET /iss/scripts/menu.js :06: INFISS GET /iss/scripts/abrir.js :06: INFISS GET /iss/imagenes/dptoweb.gif :06: INFISS GET /iss/imagenes/home06.gif :06: INFISS GET /iss/imagenes/period.gif :06: INFISS GET /iss/imagenes/pizarra.gif :06: INFISS GET /iss/imagenes/info02.gif :06: INFISS GET /iss/scripts/fecha.js :06: INFISS GET /iss/scripts/fecha.js :06: INFISS GET /iss/imagenes/dptoweb.gif :06: INFISS GET /iss/imagenes/home06.gif Firewall logs, reportes y alertas Se pueden implementar sistemas que analicen la información En tiempo real Off line Analizan la información y toman decisiones De control De alerta Siempre informan de sus resultados 28

29 Análisis del encabezado de un Existe mucha información en el encabezado de un Herramientas Análisis manual Un se puede falsificar, bajo ciertos límites Análisis 29

30 Análisis Ver resultados en fichero web Envio y recepción de user agent SMTP SMTP mail access protocol user agent (e.g., POP, IMAP) sender s mail server receiver s mail server 30

31 Investigación de una dirección IP o de un nombre de dominio de internet Las direcciones IP y los nombres de dominio ( están relacionados por el sistema DNS. Es un sistema de directorios Controlado en forma jerárquica Root DNS Servers com DNS servers org DNS servers edu DNS servers yahoo.com DNS servers amazon.com DNS servers pbs.org DNS servers poly.edu DNS servers umass.edu DNS servers DNS: raíz, TLD, autoritativos Raíz: 13 en el mundo TLD: org, edu, net, países (.bo,.es, etc.) Autoritativos e. NASA Mt View, CA f. Internet Software C. Palo Alto, CA (and 48 other sites) c. Cogent, Herndon, VA (5 other sites) d. U Maryland College Park, MD h. ARL Aberdeen, MD j. Verisign, Dulles VA (69 other sites ) k. RIPE London (17 other sites) i. Netnod, Stockholm (37 other sites) m. WIDE Tokyo (5 other sites) a. Verisign, Los Angeles CA (5 other sites) b. USC-ISI Marina del Rey, CA l. ICANN Los Angeles, CA (41 other sites) g. US DoD Columbus, OH (5 other sites) 31

32 Servicio DNS root DNS server Consulta iterada TLD DNS server 5 local DNS server dns.poly.edu requesting host cis.poly.edu authoritative DNS server dns.cs.umass.edu gaia.cs.umass.edu Servicio DNS Consulta recursiva 2 root DNS server TLD DNS server local DNS server dns.poly.edu requesting host cis.poly.edu authoritative DNS server dns.cs.umass.edu gaia.cs.umass.edu 32

33 Seguridad y Firma digital Nociones generales Seguridad en una red Debe mantener Confidencialidad Receptor Emisor Autenticación Integridad de la información Acceso y disponibilidad 33

34 Entorno general de transmisión de datos Alice Canal de comunicación Datos y mensajes de control Bob datos secure sender s secure receiver datos Trudy El lenguaje de la criptografía K A Alice: llave de encriptación K B Bob: llave de desencriptación Texto plano o abierto encryption algorithm Texto cifrado decryption algorithm Texto plano o abierto m mensaje en texto plano K A (m) Texto cifrado, encriptado con la clave K A m = K B (K A (m)) 34

35 Violación de un esquema de encriptación Ataque solo al texto cifrado: El intruso solo tiene acceso a texto cifrado. Dos enfoques: Fuerza bruta: búsqueda en el espacio de claves Análisis estadístico Ataque contra texto plano conocido: El intruso tiene texto plano y su equivalente cifrado. Ej., en cifrado monoalfabético el atacante sabe que {m, j, k, o, l} se corresponden con {a, e, s, b, o} Ataque de texto plano seleccionado: El intruso puede seleccionar un texto y obtener su equivalente cifrado. Esquema de llave simétrica K S K S Mensaje en texto plano, m encryption algorithm Texto cifrado K (m) S decryption algorithm Texto plano m = K S (K S (m)) symmetric key crypto: Bob y Alice comparten la misma clave (simétrica) : K Ej.: La clave es una sustitución de letras conocida por ambos Pregunta: Cómo Bob y Alice se ponen de acuerdo en la clave? 35

36 Esquema de cifrado Cifrado de sustitución simple Texto plano: abcdefghijklmnopqrstuvwxyz Texto cifrado: mnbvcxzasdfghjklpoiuytrewq Ej.: Texto plano: bob. i love you. alice Texto cifrado: nkn. s gktc wky. mgsbc Cifrado de sustitución cíclica n cifradores simples, M 1,M 2,,M n Patrón de cifrado cíclico de tamaño m e.g., n=4, m=5 : M 1,M 3,M 4,M 3,M 2 ; M 1,M 3,M 4,M 3,M 2 ;.. Cifrado DES DES: Data Encryption Standard Estándar EEUU [NIST 1993] Llave de 56 bits, textos de 64 bits Se puede violar en menos de 1 día 3DES Encriptación iterativa (3 veces) con 3 claves distintas 36

37 Funcionamiento DES Operación DES Permutacion inicial 16 permutaciones utilizando claves de 48 bits distintas Permutación final Encriptación AES Estándar de encriptación simétrica NIST, reemplazo del DES (Nov 2001) Procesa datos en bloques de128 bits Claves de 128, 192, o 256 bits Una desencriptación por fuerza bruta (provar todas las claves) que tome 1 segundo en DES, tomará 149 billones de años para AES 37

38 Esquema de llave pública + K B Clave pública de Bob - K Clave privada B de Bob Mensaje en texto plano, m encryption algorithm Texto cifrado + K (m) B decryption algorithm Mensaje en texto plano - + m = K (K (m)) B B Llave pública Requerimientos: Necesita que K ( ) y K ( ) sean B B tales que: - + K (K (m)) = m B B 2 + Dada una llave pública K, debe B ser imposible - computar la llave privada K B 38

39 Algoritmo RSA RSA: Rivest, Shamir, Adelson algorithm 0. Dado (n,e) y (n,d) calculados apropiadamente 1. Para encriptar el mensaje m (<n), computar c = m e mod n 2. Para desencriptar el mensaje, c, calcular m = c d mod n la magia ocurre! m = (m e mod n) c d mod n Otra propiedad del RSA EL uso de la secuencia llave pública y llave privada es intercambiable - + K (K (m)) = m B B = + - K (K (m)) B B 39

40 Firma digital Autoridad de certificación (CA): permite asignar una llave pública a una entidad privada E E (persona, dispositivo) registra su llave pública con CA. E proporciona una prueba de identidad a CA. CA crea un certificado de asignación única de E a su llave pública El certificado contiene la llave pública de E firmada digitalmente por CA (la CA dice ésta es la llave pública de E ) Información de identidad de Bob Llave pública de Bob + K B Firma digital (encriptación) Llave Privada - de CA K CA + K B Certificado para la llave pública de Bob firmada por la CA Firma digital Cuando Alice quiere la llave pública de Bob Obtiene el certificado de Bob Aplica la clave pública de la CA al certificado de Bob para obtener la llave pública d Bob + K B Firma digital (Desencritación) Clave pública + de Bob K B CA public key K + CA 40

41 Correo seguro Alice quiere enviar el mensaje confidencial, m, to Bob. m Alice: generates random symmetric private key, K S encrypts message with K S (for efficiency) also encrypts K S with Bob s public key sends both K S (m) and K B (K S ) to Bob MAVS K S K S. K S ( ) + K B. ( ) K+ B K S (m ) + K B (K S ) + - Internet 2013 Network Security K S (m ) + K B (K S ) K- B K S (.) K S - K B. ( ) m Correo seguro Alice quiere proporcionar confidencialidad, autenticación de remitente e integridad de mensaje - K A - -. K A (H(m)) m m H(.) KA ( ) + K S K S (.) + K B. ( ) K+ B K S + + K B (K S ) Internet Recurso: Una guía para seguro con PGP 41

42 Referencias SANS_Investigative_Forensics_Toolkit_- _SIFT forensicsoftware.php MAVS