Experiencias en Fraudes Informáticos

Transcripción

1 Experiencias en Fraudes Informáticos Lic. Julio C. Ardita 26 de Octubre de 2006

2 Agenda - Incidentes de seguridad informática - Metodologías aplicadas - Análisis Forense Informático en la Argentina 2

3 Incidentes de Seguridad Informática 3

4 Incidentes de Seguridad Informática Incidentes en Argentina Ha tenido incidentes de Seguridad Informática en el último año? 150% 100% 50% 0% 18% 20% 15% 35% 27% 42% 46% 53% 43% Año 2002 Año 2003 Año 2004 NO SABE NO SI 4

5 Incidentes de Seguridad Informática Incidentes en Estados Unidos 5

6 Incidentes de Seguridad Informática Incidentes en Argentina Cuál es el origen más común de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0% 63% 58% 52% 32% 30% 23% 10% 3% 3% 5% 4% 4% 4% 6% 2% Año 2002 Año 2003 Año 2004 Sistemas internos Internet Accesos remotos vía modem Vínculos Externos (proveedores y clientes) Otros 6

7 Incidentes de Seguridad Informática Nuevo origen de incidentes Redes inalámbricas CYBSEC realizó en el mes de Agosto de 2006 un WARDRIVING de la zona céntrica de la Capital Federal, relevando un total de 43 Km por las principales avenidas, en un recorrido de 2 horas y media. Los resultados son los siguientes: Total de redes descubiertas: 4900 Total de redes con WPA/WPA2: 652 (13,3 %) Total de redes con WEP: 1653 (33,73 %) Total de redes sin cifrado: 2590 (52,85 %) 7

8 Incidentes de Seguridad Informática Nuevo origen de incidentes Buenos Aires al desnudo Sin Cifrado 8

9 Incidentes de Seguridad Informática Crecimiento de Incidentes Source: CMU Computer Emergency Response Team 9

10 Incidentes de Seguridad Informática Por qué se generan más incidentes que antes? - Crecimiento de la dependencia tecnológica. - Amplia disponibilidad de herramientas. - No hay leyes globales y poco efecto de las locales. - Internet es un gran laboratorio. - Falsa sensación de que todo se puede hacer. - Gran aumento de vulnerabilidades de seguridad (5.340 entre enero y septiembre 2006 según CERT). 10

11 Incidentes de Seguridad Informática Qué hacer ante un incidente informático? Vale la pena investigarlo? Qué puedo lograr? Qué ofrece el Análisis Forense Informático? El Análisis Forense Informático se aplica una vez que tenemos un incidente y queremos investigar qué fue lo que pasó, quién fue y cómo fue. 11

12 Metodologías Aplicadas 12

13 Metodologías Aplicadas Análisis Forense Informático Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia. Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia) La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial. 13

14 Metodologías Aplicadas Metodología utilizada El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. 14

15 Metodologías Aplicadas Metodología utilizada El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria. Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO. 15

16 Metodologías Aplicadas Documentar la Escena Secuestrar volátiles? S Capturar volátiles Es necesario Investigar ONSITE? S Investigar ON-SITE Hacer imágenes Investigar en el Laboratorio S Volver a buscar más información? Generar Conclusiones 16

17 Metodologías Aplicadas Metodología utilizada Tener en cuenta que la aplicación de las metodologías de analisis forense requieren tiempo. Para poder investigar un incidente, la gran mayoría de las veces es necesario seguir varias lineas de investigación y entrecruzar la información que se obtiene. Imaginen realizar una búsqueda de determinados strings en 450 estaciones de trabajo distribuidas... 17

18 Análisis Forense Informático en la Argentina 18

19 CASO 1: Denegación de servicio 2 Análisis Forense Informático en la Argentina Descripción del incidente: Un viernes de abril de este año una Empresa de Retail fue atacada por un intruso que impidió la operación normal del negocio en 7 de sus 24 sucursales teniendo que permanecer cerradas al público durante el fin de semana. Analizando la situación el sábado durante la mañana, se determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 22:00hs horas cuya función era borrar la configuración de las cajas registradoras. Se comenzó a trabajar en volver a la operación normal y en detectar y rastrear el intruso. 19

20 CASO 1: Denegación de servicio 2 Análisis Forense Informático en la Argentina Metodología de Investigación: En relación a la vuelta a la operación normal: 1. Análisis forense inmediato de los equipos afectados. 2. Instalación y configuración de las cajas registradoras que fueron borradas implementando medidas de seguridad extras. 3. Reorganización de la red de las sucursales implementando filtros de acceso. 4. Cambio de passwords. 5. Implementación de sistemas de detección de intrusiones monitoreando determinados patrones de conducta en las redes. 6. Vuelta a la operación normal el domingo a las 14:00hs. 20

21 CASO 1: Denegación de servicio 2 Análisis Forense Informático en la Argentina Metodología de Investigación: En relación a la detección y rastreo del intruso: 1. Ingeniería reversa de los programas que dejó el intruso. 2. Determinación de las actividades que realizó el intruso apoyándose en logs de diversos orígenes (redes, sistemas operativos, aplicaciones, interfaces, etc.). 3. Detección de rastros de pruebas 10 días antes del incidente. 4. Determinación del posible perfil del intruso. 5. Realizado de imágenes de computadoras de posibles sospechosos. 6. Análisis de las imágenes de los posibles sospechosos. 21

22 CASO 1: Denegación de servicio 2 Análisis Forense Informático en la Argentina Metodología de Investigación: 7. En una de las computadoras que se analizaron, se detectó entre los archivos eliminados (que se recuperaron), archivos que contenían patrones del programa maligno. 8. Se investigó a fondo esa computadora y se detectaron 9 hechos que indicaban que ésa había sido la computadora utilizada para lanzar el ataque. 22

23 CASO 1: Denegación de servicio 2 Análisis Forense Informático en la Argentina Resultados obtenidos : Se logró detectar la intrusión y se volvió la operación normal en 29 horas. De acuerdo a los hechos detectados, incluyendo el patrón de comportamiento, información encontrada, conocimiento necesario, coincidencia de fechas, existe una gran probabilidad de que el intruso sea el usuario de la computadora. 23

24 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Descripción del incidente: Un Banco Argentino comenzó a recibir llamados de Clientes alertando sobre un mensaje que estaban recibiendo pidiendo que se actualizaran sus datos a las 9:30 am de un jueves de febrero de En el análisis preliminar de uno de los mensajes recibidos vía correo electrónico por parte de un Cliente, se determinó que el Banco estaba sufriendo un ataque de Phishing. A las 10:20 am se comenzó a investigar el incidente. 24

25 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Metodología de Investigación: 1. Se analizó el mensaje de correo electrónico que estaba siendo recibido por los Clientes. Dentro del mail figuraba un link al sitio web del Banco. El link que aparecía era correcto, pero la referencia apuntaba a otro sitio web que se encontraba en Singapur. 2. Se determinó que una vez que se realizaba un click sobre el link, el sitio falso del intruso explotaba una vulnerabilidad en el Explorer que le hacia aparecer en la dirección del navegador el sitio original del Banco. 25

26 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Metodología de Investigación: 3. Se analizaron los scripts que se ejecutaban y se determinó que el sitio falso pedía el usuario y la clave del sistema de Home Banking y luego enviaba esa información a una cuenta determinada de Gmail. Finalmente lo redirigía al sitio original del Banco con un mensaje para que vuelva a ingresar los datos. 4. Ante esta situación, se trabajó en dos líneas: - Generación de datos falsos para el intruso. - Tomar contacto con la Empresa del sitio web afectado. 26

27 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Metodología de Investigación: 4.1 Generación de datos falsos para el intruso. Para confundir y sobrecargar la cuenta de mail del intruso, se generaron lotes de datos que cumplían con los requerimientos formales, pero que no eran válidos. Se enviaron unos mensajes de forma automatizada. 4.2 Contacto con Singapur. Debido a la diferencia horaria, cerca de las 19:00hs (GMT-3) pudimos contactarnos telefónicamente y vía mail con el proveedor de hosting que colaboró activamente, dando de baja los scripts del intruso del sitio web y enviándonos la información de los logs de acceso. 27

28 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Metodología de Investigación: 5. Con la información de los logs de acceso, se filtró la información basura que habíamos generado a propósito y junto con otra información se entrecruzaron los datos determinando qué Clientes habían ingresado sus datos. 6. Paralelamente se comenzó a investigar el origen del intruso. 28

29 CASO 2: Phishing a un Banco Análisis Forense Informático en la Argentina Resultados obtenidos: En pocas horas se logró frenar el ataque de phishing y determinar cuáles habían sido los Clientes del Banco afectados. Se detectó que el intruso había accedido solamente a dos cuentas. Se logró rastrear el origen del intruso. Provenía de Colombia. 29

30 CASO 3: Modificación de información Análisis Forense Informático en la Argentina Descripción del incidente: Un intruso ingresó en la Base de Datos de personal y ejecutó un script SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de julio del año pasado. Un día después, el sistema de liquidación generó los pagos causando graves problemas a la Organización. Se comenzó la investigación analizando el Servidor de Producción de Personal. 30

31 CASO 3: Modificación de información Análisis Forense Informático en la Argentina Metodología de Investigación: 1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos. 2. Detección en el directorio principal del usuario Maria lo que parecía ser el script SQL que se había ejecutado. 3. Restricción de las PC s de los usuarios que accedieron en ese momento. 4. Evaluación de 9 PC s de los usuarios buscando archivos creados, modificados y accedidos el día del incidente. 31

32 CASO 3: Modificación de información Análisis Forense Informático en la Argentina Metodología de Investigación: 5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía parte del script detectado en el directorio del usuario Maria. Ese archivo fue generado por la herramienta SQLPlus. 6. Se analizaron las conexiones al Servidor UNIX de Producción el día del incidente y se detectó que el usuario Maria había entrado desde el Servidor de Desarrollo y tuvo una sesión abierta de 3 horas. 7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos antes de conectarse el usuario Maria al UNIX de Producción, el usuario Pedro había entrado a Desarrollo desde su PC. 32

33 CASO 3: Modificación de información Análisis Forense Informático en la Argentina Metodología de Investigación: - Se buscaron los registros de la cámara de vigilancia de la entrada del edificio y Maria se había retirado 1 hora antes del incidente. Servidor BD Desarrollo PC Maria 1. Entra como Pedro 2. Entra como María PC Pedro 3. Ejecuta el Script - Parte del script en un archivo temporal del SQLPlus. Servidor BD Producción - Script en directorio Maria 33

34 CASO 3: Modificación de información Análisis Forense Informático en la Argentina Resultados obtenidos: Se determinó que el intruso fue Pedro y que trató de incriminar al usuario Maria. 34

35 Conclusiones -Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente. - La cantidad de incidentes y el valor de los activos involucrados hacen cada vez más necesario disponer de capacidad propia o de terceros para accionar de forma inmediata. - Podemos asegurar que existen herramientas y metodologías que permiten poder llegar a descubrir precisamente qué fue lo que pasó, quién fue y cómo lo hizo. 35

36 Gracias por acompañarnos. arnos. Lic. Julio C. Ardita CYBSEC S.A. Security Systems