PDF de programación - Experiencias en investigaciones forenses informáticas

Experiencias en

investigaciones forenses

informáticas

Julio César Ardita

[email protected]



7 de Abril de 2016
Asunción, Paraguay



Experiencias en investigaciones forenses informáticas


Agenda

• Estado del arte de los incidentes de seguridad

• Estrategias para el manejo de incidentes

• Experiencias en la gestión de incidentes de seguridad







2

Estado del arte de
los incidentes de

seguridad

3

Experiencias en investigaciones forenses informáticas

Estado del arte de los incidentes de seguridad


Incidentes de seguridad





Incidentes públicos vs. incidentes privados

- Fraudes
- Amenazas
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS






4

Experiencias en investigaciones forenses informáticas

Estado del arte de los incidentes de seguridad


Incidentes de seguridad





Incidentes públicos vs. incidentes privados

- Fraudes
- Amenazas
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS






5

Experiencias en investigaciones forenses informáticas

Estado del arte de los incidentes de seguridad




Incidentes de seguridad





Desde 2012 hasta
hoy hubo más de
2.600 ataques
Exitosos a páginas
Web en Paraguay.






Fuente: www.zone-h.org

6

Experiencias en investigaciones forenses informáticas

Estado del arte de los incidentes de seguridad




Incidentes de seguridad





Desde 2012 hasta
hoy hubo más de
2.600 ataques
Exitosos a páginas
Web en Paraguay.






Fuente: www.zone-h.org

7

Experiencias en investigaciones forenses informáticas

Estado del arte de los incidentes de seguridad


Tendencia Actual

- Aumento de incidentes de seguridad.

- Aumento exponencial de ataques de phishing contra entidades
financieras paraguayas (incluyendo financieras y cooperativas).

- Ataques de ransomware (encripción de información)

- Hacktivismo (Anonymous Paraguay)

- Origen de ataques: Redes Wifi abiertas o redes TOR





8

Estrategias para

el manejo de
incidentes

9

Experiencias en investigaciones forenses informáticas

Estrategias para el manejo de incidentes


Manejo de incidentes de seguridad



Hacemos todo lo posible para tener un elevado nivel de seguridad
en la Organizacion, pero surge un incidente de seguridad grave.



Recomendaciones:
- No ocultarlo.
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo





10

Experiencias en investigaciones forenses informáticas

Estrategias para el manejo de incidentes


Política de Manejo de Incidentes de Seguridad Informática

Temas a tener en cuenta:

1. Detección y notificación de Incidentes de
Seguridad Informática
2. Rastreo de Incidentes de Seguridad Informática
3. Recolección de evidencia
4. Proceso de recuperación de los sistemas afectados
5. Proceso disciplinario






11

Experiencias en investigaciones forenses informáticas

Estrategias para el manejo de incidentes


Diagrama de flujo del manejo de incidentes a nivel interno





12

Experiencias en la
gestión de incidentes

de seguridad

13

Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Descripción del incidente:

En abril de 2014 nos contactan de una empresa que vende tickets por
internet porque el procesador que autoriza los pagos les informó que son
punto de compromiso, ya que se están registrando compras no reconocidas
en el exterior y el sistema de prevención de fraude indica que todas las
tarjetas pasaron por el mismo comercio.

Se realiza una reunión de relevamiento con el procesador y la empresa
involucrada. Nos pasan la información sobre los lotes de tarjetas
comprometidos para iniciar la investigación.

Se trabajó en dos líneas:
- Investigar que sucedió y frenar el robo de datos.
- Rastrear el origen del mismo.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Metodología de Investigación:

1. Se investigó el tipo de fraude: en algunos casos era con tarjetas
clonadas y en otros era de forma no presencial (esto implicaba que se habían
robado la siguiente información: PAN, fecha de vencimiento, código de
seguridad, Track 1 y Track 2).
2. Se determinó cuales eran los sistemas que contenían esa información y se
los evaluó. Se detectaron dos sistemas internos: el Sistema de Reservas y
el Sistema de Pagos.
3. Se buscaron las tarjetas comprometidas y se
detectaron en los dos sistemas.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Metodología de Investigación:

4. Se investigó el ingreso de esos datos y el retiro de los tickets y venían de
distintas fuentes: compras presenciales, compras por internet, retiro en
distintas boleterías, en los shows, etc.
5. Se investigaron a los usuarios internos que accedían a los sistemas y a
los administradores del sistema para determinar si estaban involucrados.
6. Se investigaron los dos sistemas internos (Reservas y Pagos) y se
detectó que todavía se estaba almacenando la información sobre las
tarjetas en plano.








Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Metodología de Investigación:

7. Inmediatamente se realizaron las correcciones para eliminar los datos de
tarjetas y se corrigieron las aplicaciones para que no se almacenarán más
los datos.
8. Se evaluaron los sistemas de acceso remoto a la Empresa (vía vpn) y se
determinó que los logs de acceso se estaban almacenado solo por 30 días.
9. Del análisis de los logs vía vpn surgió el acceso remoto por parte del
proveedor que daba soporte al sistema de pagos desde direcciones IP de
Europa.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Metodología de Investigación:

10. Inmediatamente nos contactamos con el proveedor, el cual negó ser
quien estaba accediendo (el acceso remoto era solo con user/pass).
11. Investigando luego al proveedor, se determinó que el mismo proveedor
sufrió un ataque de phishing a través del cual le robaron las contraseñas de
acceso a sus clientes.
12. Se bloquearon los accesos remotos. Se cambiaron todas las contraseñas
de los sistemas de acceso remoto y se los sistemas internos.
13. Luego se implementó el acceso remoto utilizando doble factor (CD).
14. Rastreamos las direcciones IP involucradas y venían de Polonia y Estonia.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 1: Robo de lote con datos de tarjetas de crédito

Resultados obtenidos:

En dos semanas de trabajo se determinó el modus operandi del ataque.
Por las fechas de acceso y logs detectados se logró detectar la ventana de
compromiso y se bloquearon de forma preventiva más de 72.000 tarjetas
de crédito. El fraude llegó a U$S 115.000 que fue asumido por los seguros
de los bancos emisores.

Se logró detectar como fue el robo de datos y como se produjo y se
implementaron medidas para elevar el nivel de seguridad de la Empresa.

La banda criminal que estaba involucrada en el robo
venía de europa del este. Se dió aviso a las autoridades
de Polonia y Estonia (la investigación no prosperó).







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 2: Denegación de servicio

Descripción del incidente:

El viernes 20 de diciembre de 2013 una Empresa de Retail fue atacada
por un intruso que impidió la continuidad del negocio en sus casi 120
sucursales.

En un análisis preliminar de la situación determinó que un intruso había
dejado un programa que se ejecutó el día viernes a las 19:00hs horas
y que bloqueaba el acceso al sistema de Ventas.


Se comenzó a trabajar en dos líneas:
- Volver a la operación normal.
- Detección, análisis y rastreo del intruso.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 2: Denegación de servicio

Metodología de Investigación:

En relación a la vuelta a la operación normal:
1. Análisis forense inmediato de los equipos afectados.
2. Detección de programas que impedían el normal funcionamiento del
Sistema de Ventas.
3. Análisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicación masiva de cambios y vuelta a la operación normal.








Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

Caso 2: Denegación de servicio

Metodología de Investigación:

En relación a la detección, análisis y rastreo del intruso:
1. Ingeniería reversa de los programas que dejó el intruso
2. Determinación de las actividades que realizó el intruso.
3. Detección de rastros de pruebas 4 días antes.
4. Determinación de pruebas que podrían indicar el perfil del intruso.
5. Análisis de los sistemas de acceso remoto.
6. Evaluación de las computadoras personales de los potenciales
sospechosos.







Experiencias en investigaciones forenses informáticas

Experiencias en la gestión de incidentes de seguridad

CASO 2: D