Cibercrimen: : Como llevar adelante una investigación n exitosa

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Cibercrimen: : Como llevar adelante una investigación n exitosa"

Inmaculada Botella Montoya
hace 8 años
Vistas:

1 Cibercrimen: : Como llevar adelante una investigación n exitosa Julio C. Ardita CTO CYBSEC Comisario Jaime Jara Retamal Policía a de Investigaciones de Chile Brigada Investigadora del Ciber Crimen Metropolitana

2 Agenda - Incidentes de seguridad - Manejo de incidentes de seguridad - Metodologías de investigación - Investigación n del delito informático en Chile. - Análisis de Evidencia Forense - Estadísticas sticas de Chile

3 - Robo de información n sensible Incidentes de seguridad reales - Robo y pérdida p de notebooks con información n sensible - Denegación n de servicio sobre equipos de networking,, afectando la operación n diaria de la Compañí ñía - Denegación n de servicio por el ingreso y propagación n de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través s de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano)

servicio por el ingreso y propagación n de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través s de

4 Incidentes de seguridad reales - Amenazas y denuncias falsas a través s de mensajes de correo electrónico anónimos nimos - Ataques locales de phishing a Bancos y Empresas - Fraude financiero

5 Por qué se generan más m s incidentes que antes? - Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas - No hay leyes globales (ni locales) - Falsa sensación n de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo en el 2008 se reportaron más m s de según n el CERT) - Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.) - Oferta y demanda de información n confidencial más m s abierta

leyes globales (ni locales) - Falsa sensación n de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo

6 Tendencias en incidentes - Los intrusos saben más s técnicas t para evitar que los rastreen - Nuevo origen de incidentes: redes wireless abiertas - Casos de publicación n de venta en Internet de información n sensible de empresas argentinas - Casos individuales de robo de identidad basados en información n disponible en Internet

publicación n de venta en Internet de información n sensible de empresas

7 Cibercrimen: : Como llevar adelante una investigación exitosa Manejo de incidentes de seguridad Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridad grave. Tips: - No ocultarlo. Las malas noticias hay que darlas rápido (Silvio Szostak) - Mantener la calma por la situación personal del CSO - No comenzar buscando culpables - Obtener información de primera mano y verificarla - Establecer un Plan de Acción y coordinarlo

8 Manejo de incidentes de seguridad Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar este momento. Nivel de Atención de la Gerencia durante un Incidente 120 % Nivel de Atención hs 12 hs 24 hs 48 hs 72 hs 96 hs Tiempo Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.

Nivel de Atención de la Gerencia durante un Incidente 120 % Nivel de Atención 100 80 60 40 20

9 Necesidades para el manejo de incidentes de seguridad - Políticas y Procedimientos previamente definidos y acordados - Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos) - Soporte altamente especializado

administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo

10 Política de Manejo de Incidentes de Seguridad Informática Procedimientos necesarios: - Detección y Denuncia de Incidentes - Recepción y Análisis de Incidentes - Neutralización del ataque - Búsqueda de información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o sistemas afectados - Restauración de la información - Cierre y documentación del proceso de manejo de incidentes

información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o

11 Pasos a seguir cuando sucede un incidente 1. Reunión de relevamiento on-site con todos los referentes e involucrados. 2. Verificar la información. 3. Consolidar y revisar toda la información relevada. 4. Análisis preliminar de impacto del incidente. 5. Elaborar el diagnóstico detallado de la situación.

12 Pasos a seguir cuando sucede un incidente 6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos. 7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO. 9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía.

Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8.

13 Pasos a seguir cuando sucede un incidente 10. Documentar detalladamente TODO lo realizado. 11. Vuelta a la normalidad. 12. Luego del cierre del incidente: - Aplicar lecciones aprendidas. - En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos. - Informe ejecutivo al Directorio y áreas de negocio.

Luego del cierre del incidente: - Aplicar lecciones aprendidas.

14 Buenas Prácticas frente a incidentes de seguridad Hay que tener procedimientos claramente definidos y comunicados. Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente. Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento. El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente.

Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento.

15 AGRUPACIÓN N DE INVESTIGACIÓN N DE DELITOS DE PORNOGRÁFIA INFANTIL DELITOS QUE SE INVESTIGAN Comercialización, importación, exportación, distribución, difusión n o exhibición n y almacenamiento de material pornográfico infantil. FORMAS DE COMETER EL DELITO Técnica de Seducción n o Grooming Técnica de Encriptación Descarga de pornografía a Infantil, P2P (emule, Ares, torrent). Caso Investigado. Distribución n de pornografía a infantil en foros, bbs, fotolog,, comunidades, etc.

FORMAS DE COMETER EL DELITO Técnica de Seducción n o Grooming Técnica de Encriptación Descarga de pornografía a

16 AGRUPACIÓN N DE INVESTIGACIÓN N DE FRAUDES ECONÓMICOS CON APOYO INFORMÁTICO DELITOS ECONOMICOS PROPIAMENTE TALES Sitios de Remate. Transferencia Vía V a Internet. Phishing. Amenazas. Terrorismo. Hacking. Análisis Forense Cooperación n Internacional. Estadísticas sticas

Transferencia Vía V a Internet. Phishing. Amenazas. Terrorismo.

17 Operación Ángel de la Guarda: (Pornografía a Infantil 2007) Operación n a nivel nacional, que se llevó a cabo para detectar a las personas que descargaban material pornográfico infantil, a través s de los programas P2P (emule, ares, torrent,, etc.), logrando la detención n de 21 personas en todo el país. Algunos de los sujetos mantenían en su poder más s de archivos entre imágenes y videos de menores siendo abusados sexualmente.

(emule, ares, torrent,, etc.), logrando la detención n de 21 personas en todo el país.

18 Se crea una gran base de datos, con el material incautado en diligencia anteriores, para luego generarles un código c y posteriormente marcarlas en los programas Peer To Peer

19 FORMA EN QUE SE DESCARGABA LA PEDOFILIA

20 RESULTADOS MAS DE 35 DOMICILIOS ALLANADOS, CON UN TOTAL DE 21 DETENIDOS A NIVEL NACIONAL

21 Sitio de Remate

22 Cibercrimen: : Como llevar adelante una investigación n exitosa Operación Keylogger: (Octubre 2007).- Detención n y puesto a disposición n del Juzgado de Garantía a dos sujetos que instalaban en el Aeropuerto de Santiago programas computacionales keylogger que permitían la captura de las claves de acceso a las cuentas bancarias de tercero, con la finalidad de transferir fondos a otras cuentas y girar.

23 Operación n Mexicana: (Phishing 2007) Operación n internacional que tardó más s de 5 meses en finalizar, llevada a cabo en conjunto con el Departamento de Control de Fraudes del Banco Santander Santiago y la Fiscalía de Ñuñoa, estableciendo que operaba una banda internacional dedicada a defraudar a titulares de cuentas corrientes de la referida entidad bancaria, mediante la técnica t conocida como Phishing.

24 RESULTADOS 04 DETENIDOS, ENTRE ELLOS DOS EXTRANJEROS DE NACIONALIDAD MEXICANA Y DOS CARABINEROS

25 Investigación Amenaza Presidencial: (Junio de 2007).- Detención n y puesto a disposición n del Juzgado de Garantía a al sujeto que amenazó a la Presidenta de la República por correo electrónico.

26 Amenaza de Bomba en Aeropuerto AMB

27 Los sitios se modificaban en algunos casos para realizar cíber-protestas

28 Los sitios modificados, eran publicados diariamente en el sitio de hackers

29 RESULTADOS CUATRO PERSONAS DETENIDAS, ENTRE ELLOS DOS MENORES DE EDAD, CONOCIDOS POR SUS APODOS EN INTERNET DE NETTOXIC/ SSH-2 2 / C0DIUX/ PHNX

30 AGRUPACIÓN N DE ANÁLISIS DE EVIDENCIA FORENSE PRINCIPIOS FUNDAMENTALES: Los computadores son ampliamente utilizados en todas las áreas. Los hechos se prueban a través s de las evidencias. PROCEDIMIENTO GENERAL: Identificación, n, Recolección, Preservación, Análisis y Presentación n de la Evidencia Informática. SERVICIO QUE SE ENTREGA: Incautación, n, Duplicación n y preservación, Recuperación, Búsqueda B de sobre documentos, Conversión n de Medios, Análisis Computacional, Testigo Experto, etc.

31 SITIO DEL SUCESO

32 EVIDENCIA

33 ESPECIE

34 FORMULARIO ININTERRUMPIDO DE CADENA DE CUSTODIA

35 HERRAMIENTAS DE ANÁLISIS FORENSE INFORMÁTICO

36 Etapas de Análisis Forense Informático Estructura de Carpetas

37 COOPERACION INTERNACIONAL OEA GTLDT

44 Contacto Julio C. Ardita CYBSEC Comisario Jaime Jara Retamal Brigada Investigadora del Ciber Crimen Metropolitana Teléfono:

Documentos relacionados

Manejo y Análisis de Incidentes de Seguridad Informática

Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación