PDF de programación - Obtención de Evidencia electrónica en el cómputo Forense

Obtención
 de
 Evidencia
 electrónica
 

en
 el
 cómputo
 Forense
 
Francisco
 Villegas
 Landin,
 CSO
 

CISSP,
 ISSAP,
 CISA,
 CISM,
 CRISC,
 BS7799-­‐LA,
 ITIL,
 IAM,
 IEM,
 encE
 


 

Mecanismo
 -­‐
 Presentación
 

•  Asumo
 conocimientos
 generales
 técnicos
 de
 

asistentes
 

•  Casos
 reales
 

•  Pla7ca
 sobre
 la
 experiencia
 

•  Por
 confidencialidad
 he
 cambiado
 datos
 de
 los
 

incidentes
 de
 clientes,
 nombres,
 fechas…
 

Cómputo
 Forense
 

•  Es
 la
 aplicación
 de
 técnicas
 analí7cas
 especializadas
 a
 T.I’s,
 

que
 permite
 la
 iden7ficación,
 preservación,
 análisis
 y
 
presentación
 de
 evidencia
 digital
 que
 sea
 válida
 dentro
 de
 
un
 proceso
 legal.
 

• 

Iden7ficar
 la
 fuente
 de
 un
 incidente
 basado
 en
 evidencia
 
electrónica
 obtenida
 de
 un
 disposi7vo
 electrónico
 sujeto
 a
 
análisis
 forense
 

•  La
 Evidencia
 son
 los
 hallazgos
 resultado
 de
 un
 análisis
 

forense
 

Proceso
 Forense
 

•  La
 evidencia
 electrónica
 debe
 ser
 colectada
 y
 

preservada
 basada
 en
 un
 proceso
 formal
 
 

Administración
 
de
 Información
 

Iden7ficación
 

Preservación
 

Recolección
 

Procesamiento
 

Revisión
 

Producción
 

Presentación
 

Análisis
 

Primer
 Caso
 –
 Robo
 de
 Iden7dad
 

•  Robo
 de
 Iden7dad
 
•  Origen:
 Crimen
 Organizado
 
 y
 personal
 interno
 
•  Des7no:
 Javier,
 empresario
 
• 

• 

Incidente:
 Robo
 de
 200
 mil
 pesos
 por
 clonación
 de
 tarjeta
 
de
 crédito
 
Impacto:
 Banco
 X
 determino
 que
 el
 incidente
 fue
 en
 la
 
empresa
 de
 Javier,
 el
 perdió
 su
 dinero,
 no
 denuncio
 a
 las
 
autoridades,
 despidió
 a
 las
 personas
 relacionadas.
 

•  El
 Banco
 lanzo
 una
 inves7gación
 interna
 sobre
 el
 proceso
 

de
 impresión
 de
 tarjetas
 de
 crédito
 

Primer
 Caso
 –
 Robo
 de
 Iden7dad
 (2)
 

•  Marzo
 2012
 -­‐
 Denuncia
 del
 Banco
 y
 solicitud
 de
 apoyo
 
•  Análisis
 en
 computadoras
 del
 usuario
 (3
 Laptops)
 
•  GSI
 Encase
 Forensics
 (Imagen
 Forense)
 
•  Búsqueda
 

–  Análisis
 de
 Bitácoras
 de
 Windows
 
–  Código
 Malicioso
 
–  Archivos
 Ocultos
 
–  Usuarios,
 Correo,
 Navegación
 Web,
 Chat
 
–  Revisión
 de
 los
 sistemas
 perimetrales
 (Firewall,
 Router)
 
–  Revisión
 del
 servicio
 de
 correo
 electrónico
 «hosteado»
 

Primer
 Caso
 –
 Robo
 de
 Iden7dad
 (3)
 

–  Correos
 Electrónicos
 de
 personal
 interno
 con
 comunicación
 

relacionada
 hacia
 cuentas
 de
 correo
 externo
 

–  Cache
 del
 Explorador
 con
 URL’s
 de
 Google
 y
 Hotmail
 con
 

•  Hallazgos
 del
 Caso
 -­‐
 Evidencia
 

direcciones
 de
 correo
 

–  Conversaciones
 de
 MSN
 relacionadas
 
–  Direcciones
 IP
 de
 Origen
 y
 Des7no
 
–  Imágenes
 de
 Credencial
 de
 Elector
 de
 la
 vic7ma
 
–  Archivos
 PDF
 con
 comprobantes
 de
 domicilio
 

Primer
 Caso
 –
 Robo
 de
 Iden7dad
 (4)
 

•  Lección
 aprendida
 

–  En
 un
 proceso
 de
 cómputo
 forense
 debe
 buscarse
 por
 evidencia
 
electrónica
 contundente
 e
 irrefutable
 que
 indique
 al
 menos
 que
 y
 
como
 sucedió,
 cuando
 sucedió
 y
 quién
 lo
 hizo
 

Segundo
 Caso
 –
 Acceso
 no
 autorizado
 

•  Acceso
 no
 autorizado
 
•  Origen:
 Personal
 Interno
 
 
•  Des7no:
 Miguel,
 Director
 General
 de
 área
 
• 

Incidente:
 Acceso
 no
 autorizado
 a
 5
 equipos
 de
 
colaboradores
 e
 inclusive
 a
 su
 máquina
 y
 extracción
 de
 
documento
 crí7co
 
Impacto:
 Acceso
 a
 documentos
 confidenciales
 y
 a
 
información
 personal
 para
 toma
 de
 decisiones
 sobre
 
compra
 de
 empresas
 

• 

•  La
 organización
 despidió
 a
 la
 persona
 involucrada
 que
 

ejecuto
 el
 incidente,
 y
 también
 a
 los
 autores
 intelectuales
 
(otro
 Director)
 

Segundo
 Caso
 –
 Acceso
 no
 autorizado
 (2)
 

•  Agosto
 2012
 -­‐
 Denuncia
 del
 Cliente
 y
 solicitud
 de
 apoyo
 
•  Análisis
 en
 computadoras
 del
 usuario
 (5
 Laptops)
 
•  GSI
 Encase
 Forensics
 (Imagen
 Forense)
 
•  Búsqueda
 

–  Análisis
 de
 Bitácoras
 de
 Windows
 
–  Código
 Malicioso
 
–  Archivos
 Ocultos
 
–  Usuarios,
 Correo,
 Navegación
 Web,
 Chat
 
–  Revisión
 de
 los
 sistemas
 perimetrales
 (Firewall,
 Router)
 
–  Revisión
 del
 servicio
 de
 correo
 electrónico
 «hosteado»
 
–  Revisión
 del
 Filtrado
 Web
 

Segundo
 Caso
 –
 Acceso
 no
 autorizado
 (2)
 

•  Hallazgos
 del
 Caso
 -­‐
 Evidencia
 

–  Windows
 no
 deja
 evidencia
 de
 copias
 
–  Evidencia
 de
 logons
 Exitosos
 «Anonymous
 Logon»
 
–  Dirección
 IP
 de
 Origen
 y
 «Hostname»
 que
 realizo
 los
 accesos
 
–  No
 se
 encontró
 nada
 más
 en
 la
 computadora
 

•  No
 había
 forma
 de
 relacionar
 los
 «anonymous
 logon»
 con
 la
 evidencia
 en
 el
 

equipo
 ni
 con
 la
 copia
 del
 archivo.
 
 

•  Pensé
 en
 buscar
 por
 evidencia
 en
 el
 sistema
 de
 Filtrado
 URL
 

–  Se
 encontró
 evidencia
 de
 navegación
 del
 «Hostname»
 en
 el
 filtrado
 con
 

direcciones
 IP
 y
 se
 
 

–  Se
 relaciono
 los
 horarios
 de
 acceso
 con
 el
 log
 del
 Sistema
 de
 filtrado,
 

donde
 el
 proxy
 requería
 auten7cación.
 
 

–  La
 persona
 que
 lo
 ejecuto
 dio
 su
 user
 y
 su
 password
 para
 salir
 a
 internet.
 
 

Segundo
 Caso
 –
 Acceso
 no
 autorizado
 (3)
 

•  Lección
 aprendida
 

–  No
 necesariamente
 la
 evidencia
 hallada
 en
 un
 sistema
 de
 computo
 

nos
 llevará
 a
 la
 resolución
 de
 un
 caso,
 habrá
 que
 buscar
 en
 el
 
«Ecosistema»
 en
 su
 totalidad.
 
 


 

Tercer
 Caso
 –
 Empleado
 y
 Hacker
 

•  Extracción
 de
 Efec7vo
 de
 Dispensador
 
•  Origen:
 Personal
 Interno
 y
 Hacker
 
•  Des7no:
 Banco
 Y,
 Sucursal
 Z
 
• 
Incidente:
 Robo
 de
 dinero
 
• 
Impacto:
 Pérdida
 de
 500,000
 mil
 pesos
 
•  La
 organización
 despidió
 a
 la
 persona
 involucrada
 y
 

demando
 penalmente
 a
 los
 involucrados
 (el
 hacker
 y
 el
 ex
 
empleado),
 a
 la
 fecha
 el
 proceso
 sigue,
 uno
 esta
 en
 la
 
cárcel
 sin
 sentencia
 y
 el
 otro
 esta
 en
 proceso
 pero
 en
 su
 
casa,
 no
 se
 logro
 iden7ficar
 al
 tercero.
 

Tercer
 Caso
 –
 Empleado
 y
 Hacker
 (2)
 

•  Oct
 2010
 –
 Llamada
 del
 Cliente
 y
 solicitud
 de
 apoyo
 
•  Alerta
 del
 Sistema
 An7fraudes
 del
 Banco
 por
 extracción
 de
 

efec7vo
 

•  Se
 asis7ó
 al
 si7o
 
 
•  Revisión
 en
 vivo
 (GSI
 Encase
 Portable)
 
•  Búsqueda
 

–  Análisis
 de
 Bitácoras
 de
 Windows
 
–  Código
 Malicioso
 
–  Ejecución
 de
 Procesos
 
–  Revisión
 de
 Memoria
 

Segundo
 Caso
 –
 Acceso
 no
 autorizado
 (2)
 

•  Hallazgos
 del
 Caso
 -­‐
 Evidencia
 

–  Archivos
 Abiertos
 y
 ejecutados
 
–  Montaje
 de
 USB
 y
 Lectura
 de
 DVD
 
–  Horarios
 Ejecución
 de
 Programas
 
 

•  Observe
 el
 «ambiente»
 había
 una
 cámara
 de
 videograbación
 

• 

Solicite
 revisar
 videos
 (de
 las
 14:00
 a
 las
 14:30)
 
–  En
 el
 video
 aparecía
 el
 Gerente
 de
 la
 Sucursal,
 hablando
 por
 teléfono
 

celular,
 
 fumando
 y
 montando
 el
 CD-­‐ROM
 en
 el
 dispensador
 

–  Con
 la
 evidencia
 electrónica
 y
 el
 video
 se
 «presiono»
 al
 ex-­‐empleado
 
–  Se
 observa
 como
 saca
 el
 dinero
 y
 lo
 guarda
 
–  Se
 observa
 a
 un
 tercero
 que
 recoge
 el
 dinero
 (no
 se
 logra
 iden7ficar)
 

Tercer
 Caso
 –
 Empleado
 y
 
 Hacker
 (6)
 

•  Lección
 aprendida
 


 
– Hay
 que
 relacionar
 hechos
 del
 entorno
 «msico»
 con
 los
 del
 entorno
 
«digital»
 como
 son
 horarios
 y
 controles
 de
 seguridad
 msica,
 ejemplo,
 
controles
 de
 acceso
 «tarjetas,
 registros
 bitácoras
 manuales,
 cámaras
 
de
 vídeo»
 

– En
 este
 caso
 la
 evidencia
 contundente
 fue
 la
 videograbación
 y
 el
 
sustento
 fue
 la
 ac7vidad
 de
 la
 persona
 en
 la
 computadora.
 

Sugerencia…
 

•  Proceso
 de
 respuesta
 a
 Incidentes
 –
 Forensia
 

•  Documentado
 en
 Procesos
 y
 Polí7cas
 de
 Seguridad
 

•  Estrategia
 de
 Monitoreo
 y
 Supervisión
 (nos
 ayuda
 a
 

aprender
 y
 entender)
 

•  Administración
 y
 Retención
 de
 Bitácoras
 (Es
 Evidencia)
 


 

Sugerencia…
 

•  Si
 están
 disponibles
 

–  Información
 de
 Consolas
 
 
IPS,
 Firewalls,
 Routers…
 etc
 
Información