Actualizado el 21 de Marzo del 2018 (Publicado el 17 de Marzo del 2018)
447 visualizaciones desde el 17 de Marzo del 2018
1,4 MB
19 paginas
Creado hace 11a (14/03/2013)
Obtención
de
Evidencia
electrónica
en
el
cómputo
Forense
Francisco
Villegas
Landin,
CSO
CISSP,
ISSAP,
CISA,
CISM,
CRISC,
BS7799-‐LA,
ITIL,
IAM,
IEM,
encE
Mecanismo
-‐
Presentación
• Asumo
conocimientos
generales
técnicos
de
asistentes
• Casos
reales
• Pla7ca
sobre
la
experiencia
• Por
confidencialidad
he
cambiado
datos
de
los
incidentes
de
clientes,
nombres,
fechas…
Cómputo
Forense
• Es
la
aplicación
de
técnicas
analí7cas
especializadas
a
T.I’s,
que
permite
la
iden7ficación,
preservación,
análisis
y
presentación
de
evidencia
digital
que
sea
válida
dentro
de
un
proceso
legal.
•
Iden7ficar
la
fuente
de
un
incidente
basado
en
evidencia
electrónica
obtenida
de
un
disposi7vo
electrónico
sujeto
a
análisis
forense
• La
Evidencia
son
los
hallazgos
resultado
de
un
análisis
forense
Proceso
Forense
• La
evidencia
electrónica
debe
ser
colectada
y
preservada
basada
en
un
proceso
formal
Administración
de
Información
Iden7ficación
Preservación
Recolección
Procesamiento
Revisión
Producción
Presentación
Análisis
Primer
Caso
–
Robo
de
Iden7dad
• Robo
de
Iden7dad
• Origen:
Crimen
Organizado
y
personal
interno
• Des7no:
Javier,
empresario
•
•
Incidente:
Robo
de
200
mil
pesos
por
clonación
de
tarjeta
de
crédito
Impacto:
Banco
X
determino
que
el
incidente
fue
en
la
empresa
de
Javier,
el
perdió
su
dinero,
no
denuncio
a
las
autoridades,
despidió
a
las
personas
relacionadas.
• El
Banco
lanzo
una
inves7gación
interna
sobre
el
proceso
de
impresión
de
tarjetas
de
crédito
Primer
Caso
–
Robo
de
Iden7dad
(2)
• Marzo
2012
-‐
Denuncia
del
Banco
y
solicitud
de
apoyo
• Análisis
en
computadoras
del
usuario
(3
Laptops)
• GSI
Encase
Forensics
(Imagen
Forense)
• Búsqueda
– Análisis
de
Bitácoras
de
Windows
– Código
Malicioso
– Archivos
Ocultos
– Usuarios,
Correo,
Navegación
Web,
Chat
– Revisión
de
los
sistemas
perimetrales
(Firewall,
Router)
– Revisión
del
servicio
de
correo
electrónico
«hosteado»
Primer
Caso
–
Robo
de
Iden7dad
(3)
– Correos
Electrónicos
de
personal
interno
con
comunicación
relacionada
hacia
cuentas
de
correo
externo
– Cache
del
Explorador
con
URL’s
de
Google
y
Hotmail
con
• Hallazgos
del
Caso
-‐
Evidencia
direcciones
de
correo
– Conversaciones
de
MSN
relacionadas
– Direcciones
IP
de
Origen
y
Des7no
– Imágenes
de
Credencial
de
Elector
de
la
vic7ma
– Archivos
PDF
con
comprobantes
de
domicilio
Primer
Caso
–
Robo
de
Iden7dad
(4)
• Lección
aprendida
– En
un
proceso
de
cómputo
forense
debe
buscarse
por
evidencia
electrónica
contundente
e
irrefutable
que
indique
al
menos
que
y
como
sucedió,
cuando
sucedió
y
quién
lo
hizo
Segundo
Caso
–
Acceso
no
autorizado
• Acceso
no
autorizado
• Origen:
Personal
Interno
• Des7no:
Miguel,
Director
General
de
área
•
Incidente:
Acceso
no
autorizado
a
5
equipos
de
colaboradores
e
inclusive
a
su
máquina
y
extracción
de
documento
crí7co
Impacto:
Acceso
a
documentos
confidenciales
y
a
información
personal
para
toma
de
decisiones
sobre
compra
de
empresas
•
• La
organización
despidió
a
la
persona
involucrada
que
ejecuto
el
incidente,
y
también
a
los
autores
intelectuales
(otro
Director)
Segundo
Caso
–
Acceso
no
autorizado
(2)
• Agosto
2012
-‐
Denuncia
del
Cliente
y
solicitud
de
apoyo
• Análisis
en
computadoras
del
usuario
(5
Laptops)
• GSI
Encase
Forensics
(Imagen
Forense)
• Búsqueda
– Análisis
de
Bitácoras
de
Windows
– Código
Malicioso
– Archivos
Ocultos
– Usuarios,
Correo,
Navegación
Web,
Chat
– Revisión
de
los
sistemas
perimetrales
(Firewall,
Router)
– Revisión
del
servicio
de
correo
electrónico
«hosteado»
– Revisión
del
Filtrado
Web
Segundo
Caso
–
Acceso
no
autorizado
(2)
• Hallazgos
del
Caso
-‐
Evidencia
– Windows
no
deja
evidencia
de
copias
– Evidencia
de
logons
Exitosos
«Anonymous
Logon»
– Dirección
IP
de
Origen
y
«Hostname»
que
realizo
los
accesos
– No
se
encontró
nada
más
en
la
computadora
• No
había
forma
de
relacionar
los
«anonymous
logon»
con
la
evidencia
en
el
equipo
ni
con
la
copia
del
archivo.
• Pensé
en
buscar
por
evidencia
en
el
sistema
de
Filtrado
URL
– Se
encontró
evidencia
de
navegación
del
«Hostname»
en
el
filtrado
con
direcciones
IP
y
se
– Se
relaciono
los
horarios
de
acceso
con
el
log
del
Sistema
de
filtrado,
donde
el
proxy
requería
auten7cación.
– La
persona
que
lo
ejecuto
dio
su
user
y
su
password
para
salir
a
internet.
Segundo
Caso
–
Acceso
no
autorizado
(3)
• Lección
aprendida
– No
necesariamente
la
evidencia
hallada
en
un
sistema
de
computo
nos
llevará
a
la
resolución
de
un
caso,
habrá
que
buscar
en
el
«Ecosistema»
en
su
totalidad.
Tercer
Caso
–
Empleado
y
Hacker
• Extracción
de
Efec7vo
de
Dispensador
• Origen:
Personal
Interno
y
Hacker
• Des7no:
Banco
Y,
Sucursal
Z
•
Incidente:
Robo
de
dinero
•
Impacto:
Pérdida
de
500,000
mil
pesos
• La
organización
despidió
a
la
persona
involucrada
y
demando
penalmente
a
los
involucrados
(el
hacker
y
el
ex
empleado),
a
la
fecha
el
proceso
sigue,
uno
esta
en
la
cárcel
sin
sentencia
y
el
otro
esta
en
proceso
pero
en
su
casa,
no
se
logro
iden7ficar
al
tercero.
Tercer
Caso
–
Empleado
y
Hacker
(2)
• Oct
2010
–
Llamada
del
Cliente
y
solicitud
de
apoyo
• Alerta
del
Sistema
An7fraudes
del
Banco
por
extracción
de
efec7vo
• Se
asis7ó
al
si7o
• Revisión
en
vivo
(GSI
Encase
Portable)
• Búsqueda
– Análisis
de
Bitácoras
de
Windows
– Código
Malicioso
– Ejecución
de
Procesos
– Revisión
de
Memoria
Segundo
Caso
–
Acceso
no
autorizado
(2)
• Hallazgos
del
Caso
-‐
Evidencia
– Archivos
Abiertos
y
ejecutados
– Montaje
de
USB
y
Lectura
de
DVD
– Horarios
Ejecución
de
Programas
• Observe
el
«ambiente»
había
una
cámara
de
videograbación
•
Solicite
revisar
videos
(de
las
14:00
a
las
14:30)
– En
el
video
aparecía
el
Gerente
de
la
Sucursal,
hablando
por
teléfono
celular,
fumando
y
montando
el
CD-‐ROM
en
el
dispensador
– Con
la
evidencia
electrónica
y
el
video
se
«presiono»
al
ex-‐empleado
– Se
observa
como
saca
el
dinero
y
lo
guarda
– Se
observa
a
un
tercero
que
recoge
el
dinero
(no
se
logra
iden7ficar)
Tercer
Caso
–
Empleado
y
Hacker
(6)
• Lección
aprendida
– Hay
que
relacionar
hechos
del
entorno
«msico»
con
los
del
entorno
«digital»
como
son
horarios
y
controles
de
seguridad
msica,
ejemplo,
controles
de
acceso
«tarjetas,
registros
bitácoras
manuales,
cámaras
de
vídeo»
– En
este
caso
la
evidencia
contundente
fue
la
videograbación
y
el
sustento
fue
la
ac7vidad
de
la
persona
en
la
computadora.
Sugerencia…
• Proceso
de
respuesta
a
Incidentes
–
Forensia
• Documentado
en
Procesos
y
Polí7cas
de
Seguridad
• Estrategia
de
Monitoreo
y
Supervisión
(nos
ayuda
a
aprender
y
entender)
• Administración
y
Retención
de
Bitácoras
(Es
Evidencia)
Sugerencia…
• Si
están
disponibles
– Información
de
Consolas
IPS,
Firewalls,
Routers…
etc
Información
Comentarios de: Obtención de Evidencia electrónica en el cómputo Forense (0)
No hay comentarios