Experiencias en Análisis Forense Informático

Transcripción

1 Experiencias en Análisis Forense Informático Lic. Julio C. Ardita CYBSEC S.A. Security Systems

2 Agenda - Incidentes de seguridad informática - Metodologías aplicadas - Análisis Forense Informático en la Argentina 2

3 Incidentes de Seguridad Informática 3

4 Incidentes de Seguridad Informática Incidentes en Argentina Ha tenido incidentes de Seguridad Informática en el último año? 150% 100% 50% 0% 18% 20% 15% 35% 27% 42% 46% 53% 43% Año 2002 Año 2003 Año 2004 NO SABE NO SI 4

5 Incidentes de Seguridad Informática Incidentes en Argentina Cual es el origen más común de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0% 63% 58% 52% 32% 30% 23% 10% 3% 3% 5% 4% 4% 4% 6% 2% Año 2002 Año 2003 Año 2004 Sistemas interno s Internet Accesos remotos vía modem Vínculos Externos (pro veedo res y clientes) Otros 5

6 Incidentes de Seguridad Informática Crecimiento de Incidentes Source: CMU Computer Emergency Response Team 6

7 Incidentes de Seguridad Informática Durante enero y febrero de 2006 hubo más de 400 ataques exitosos a páginas Web en Argentina. Fuente: 7

8 Incidentes de Seguridad Informática Por qué se generan más incidentes que antes? - Crecimiento de la dependencia tecnológica. - Amplia disponibilidad de herramientas. - No hay leyes globales. - Internet es un laboratorio. - Falsa sensación de que todo se puede hacer. - Gran aumento de vulnerabilidades de seguridad (5.990 nuevas en 2005 según CERT). 8

9 Incidentes de Seguridad Informática Qué hacer ante un incidente informático? Vale la pena investigarlo? Qué puedo lograr? Qué ofrece el Análisis Forense Informático? El análisis forense informático se aplica una vez que tenemos un incidente y queremos investigar qué fue lo que pasó, quién fue y cómo fue. 9

10 Metodologías Aplicadas 10

11 Metodologías Aplicadas Análisis Forense Informático Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia. Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia) La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial. 11

12 Metodologías Aplicadas Metodología utilizada El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. 12

13 Metodologías Aplicadas Metodología utilizada El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria. Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO. 13

14 Metodologías Aplicadas Documentar la Escena Secuestrar volátiles? S Capturar volátiles Es necesario Investigar ONSITE? S Investigar ON-SITE Hacer imágenes Investigar en el Laboratorio S Volver a buscar más información? Generar Conclusiones 14

15 Análisis Forense Informático en la Argentina 15

16 Análisis Forense Informático en la Argentina CASO 1: Denegación de servicio Descripción del incidente: El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada por un intruso que impidió la continuidad del negocio en sus casi 120 sucursales. En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas. Se comenzó a trabajar en dos líneas: - Volver a la operación normal. - Detección, análisis y rastreo del intruso. 16

17 Análisis Forense Informático en la Argentina CASO 1: Denegación de servicio Metodología de Investigación: En relación a la vuelta a la operación normal: 1. Análisis forense inmediato de los equipos afectados. 2. Detección de programas que impedían el normal funcionamiento del Sistema de Ventas. 3. Análisis de programas y modificaciones realizadas por el intruso. 4. Planteo de soluciones. 5. Pruebas sobre una sucursal de los cambios. 6. Aplicación masiva de cambios y vuelta a la operación normal. 17

18 Análisis Forense Informático en la Argentina CASO 1: Denegación de servicio Metodología de Investigación: En relación a la detección, análisis y rastreo del intruso: 1. Ingeniería reversa de los programas que dejó el intruso 2. Determinación de las actividades que realizó el intruso. 3. Detección de rastros de pruebas 4 días antes. 4. Determinación de pruebas que podrían indicar el perfil del intruso. 5. Análisis de los sistemas de acceso remoto. 6. Evaluación de las computadoras personales de los potenciales sospechosos. 18

19 Análisis Forense Informático en la Argentina CASO 1: Denegación de servicio Metodología de Investigación: 7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos). 8. Se detectó que otra computadora que contenía evidencia y se encontraba al lado del equipo de José misteriosamente fue formateada y re-instalada dos días después del incidente y en la misma se detectó el patrón de comportamiento del intruso. 19

20 Análisis Forense Informático en la Argentina CASO 1: Denegación de servicio Resultados obtenidos : Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato. De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José. 20

21 Análisis Forense Informático en la Argentina CASO 2: Extorsión Descripción del incidente: Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no hacer circular entre los Clientes de la misma información confidencial que había obtenido. El intruso se comunicaba a través de mensajes de correo electrónico y en dos oportunidades envió dos documentos de Word escritos por el. 21

22 Análisis Forense Informático en la Argentina CASO 2: Extorsión Metodología de Investigación: 1. Se investigaron los mensajes de correo electrónico enviados por el intruso y se determinaron que venían de Locutorios y/o Cybercafes. 2. En dos oportunidades el intruso realizó envíos de mensajes de correo electrónico conteniendo documentos de Word. 3. Se analizaron los documentos de Word con herramientas para análisis a nivel binario y se obtuvo información sobre nombres de archivos internos, fechas de creación, unidades donde fue copiado (aparecía una unidad A:) y aparecía el directorio donde fue almacenado. 22

23 Análisis Forense Informático en la Argentina CASO 2: Extorsión Metodología de Investigación: 4. El usuario que aparecía como Autor del documento en el análisis era x y la Organización x, eso implicaba que el archivo fue generado con un Microsoft Word registrado a ese nombre. 5. Se analizó el nombre del directorio y apareció lo siguiente: C:\Documents and Settings\oalvarez\Mis documentos\ 6. Una de las personas que habían desvinculado de mala manera unos meses antes era Omar Alvarez. 23

24 Análisis Forense Informático en la Argentina CASO 2: Extorsión Resultados obtenidos: Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los documentos con su computadora personal. 24

25 Análisis Forense Informático en la Argentina CASO 3: Modificación de información Descripción del incidente: Un intruso ingresó en la Base de Datos de personal y ejecutó un script SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de julio de Un día después, el sistema de liquidación generó los pagos causando graves problemas a la Organización. Se comenzó la investigación analizando el Servidor de Producción de Personal. 25

26 Análisis Forense Informático en la Argentina CASO 3: Modificación de información Metodología de Investigación: 1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos. 2. Detección en el directorio principal del usuario Maria lo que parecía ser el script SQL que se había ejecutado. 3. Restricción de las PC s de los usuarios que accedieron en ese momento. 4. Evaluación de 9 PC s de los usuarios buscando archivos creados, modificados y accedidos el día del incidente. 26

27 Análisis Forense Informático en la Argentina CASO 3: Modificación de información Metodología de Investigación: 5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía parte del script detectado en el directorio del usuario Maria. Ese archivo fue generado por la herramienta SQLPlus. 6. Se analizaron las conexiones al Servidor UNIX de Producción el día del incidente y se detectó que el usuario Maria había entrado desde el Servidor de Desarrollo y tuvo una sesión abierta de 3 horas. 7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos antes de conectarse el usuario Maria al UNIX de Producción, el usuario Pedro había entrado a Desarrollo desde su PC. 27

28 Análisis Forense Informático en la Argentina CASO 3: Modificación de información Metodología de Investigación: - Se buscó los registros de la cámara de vigilancia de la entrada del edificio y Maria se había retirado 1 hora antes del incidente. Servidor BD Desarrollo PC Maria 1. Entra como Pedro 2. Entra como María PC Pedro 3. Ejecuta el Script - Parte del script en un archivo temporal del SQLPlus. Servidor BD Producción - Script en directorio Maria 28

29 Análisis Forense Informático en la Argentina CASO 3: Modificación de información Resultados obtenidos: Se determinó que el intruso fue Pedro y que trato de incriminar al usuario Maria. 29

30 Conclusiones - Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente. - Las metodologías de análisis forense informático están siendo adoptadas por las Organizaciones en sus investigaciones. - Hoy en día existen herramientas y metodologías que nos permiten poder llegar a resolver qué fue lo que pasó, quién fue y cómo lo hizo. 30

31 Gracias por acompañarnos. Lic. Julio C. Ardita CYBSEC S.A. Security Systems