Page 1

SEMINARIO Ciberdelincuencia Comprendiendo y obteniendo evidencia digital.

11 de junio de 2014


www.riscco.com


El fraude cibernĂŠtico a consumidores alcanza los US$113,000 millones.

Norton Report, Octubre 2013

PĂĄgina

3


Cybercrime is one of the greatest threats facing our country, and has enormous implications for our national security, economic prosperity, and public safety.

Eric H. Holder, Attorney General USA Department of Justice, Pรกgina

4


85% de los Ejecutivos, indic贸 que su organizaci贸n es susceptible a ser v铆ctima del Espionaje Digital Corporativo.

Sondeo Espionaje Digita Corporativo RSCCO, Febrero 2013 P谩gina

5


Agenda I.

Mitos y realidades sobre la seguridad de información en Panamá.

II.

Crimen por computadora.

III. Obtención de evidencia en medios digitales. IV. Tratamiento y análisis de evidencia digital.

V. Los controles de seguridad informática (eficaces o ineficaces) y su impacto en la prueba pericial.

Página

6


www.riscco.com


M贸dulo I Mitos y realidades sobre la seguridad de informaci贸n en Panam谩.


Módulo I 1. Diez mitos sobre la seguridad de información en Panamá 2. Estado de la seguridad de información en Panamá

Página

2


La verdad se corrompe tanto con la mentira como con el silencio. Marco Tulio Cicerón (106 AC-43 AC) Escritor, orador y político romano.

Página

3


Diez mitos sobre la seguridad de informaciรณn en Panamรก

Pรกgina

4


Diez Mitos 10 El producto/solución X resolverá todos nuestros problemas de seguridad. 9

La seguridad es sólo un tema de tecnología.

8

Tengo personal muy leal, ellos no me robarán datos sensitivos.

7

Me gasté US$2,000,000 en mi nuevo “core”, entonces mis sistemas están seguros.

6

Él es el Gerente General, no le debemos poner tantas restricciones de acceso, ya que no es un objetivo. Página

5


Diez Mitos 5

Nuestros sistemas no han sido atacados, por lo tanto, son seguros.

4

Para qué hacer un BCP o DRP si aquí en Panamá no pasa nada.

3

Mi información está segura, ya que tenemos que poner una contraseña para entrar a la aplicación.

2

Dado que tengo un firewall y programas antivirus, estoy protegido.

1

Los hackers atacan solo a grandes corporaciones. Página

6


Estado de la seguridad de informaciรณn en Panamรก

Pรกgina

7


Estado de la seguridad de información en Panamá

Frente al aumento de incidentes de seguridad de información y a que el riesgo tecnológico es mayor, los esfuerzos para protegerse parecen pocos Estudio Seguridad de Información en Panamá RISCCO y UTP - 2012

Página

8


Estado de la seguridad de información en Panamá: RISCCO y UTP – 2012 •

61% manifestó que el riesgo tecnológico ha incrementado por amenazas externas.

36% indicó que el riesgo tecnológico ha aumentado, debido al incremento de vulnerabilidades internas

17% indicó que cuenta con los conocimientos para hacer investigaciones forenses digitales.

Sufrir incidentes de seguridad de información, ha aumentado durante los tres últimos años: 29% en 2010; 31% en 2011 y 46% en 2012.

Sólo el 9% de los participantes manifestó que su estrategia de seguridad de información, con relación a las amenazas y riesgos tecnológicos, es adecuada.

73% de los participantes no cifra (encripta) los datos en memorias tipo USB y el 69%, tampoco lo hace para los datos en discos fijos. Página

9


Antonio Ayala I.

Charles Robison

aayala@riscco.com

crobison@intrasoft.com.pa

riscco.com +507 279-1410

intrasoftpanama.com +507 227-6560

www.riscco.com


M贸dulo II Crimen por computadora.


Módulo II 1. Definición de crimen por computadora 2. Delitos informáticos comunes y no tan comunes 3. Ejemplos de preguntas técnicas básicas y específicas en diligencias judiciales.

Página

2


Definici贸n de crimen por computadora

P谩gina

3


¿Qué es crimen por computadora ?

Pues la respuesta más simple es que “es algo muy complicado”

Página

4


Se utiliza el tĂŠrmino "crimen cibernĂŠtico" para referirse a delitos que abarcan desde actividades criminales contra datos hasta las infracciones de contenidos y de derecho de autor . Convenio sobre cibercriminalidad Convenio de Budapest

PĂĄgina

5


(1) Cualquier conducta ilegal dirigida por medio de operaciones electrónicas que se dirige a la seguridad de los sistemas informáticos y los datos elaborados por ellos.

(2) Ciberdelincuencia en un sentido más amplio (delitos informáticos): Cualquier conducta ilegal cometida por medio de, o en relación con, un sistema o red de computadoras, incluyendo delitos como posesión ilegal [y] el ofrecimiento o la distribución de la información por medio de un sistema informático o red

United Nations Office on Drugs and Crime

Página

6


Delitos informรกticos comunes y no tan comunes

Pรกgina

7


Delitos informáticos comunes 1. Fraude banca en línea 2. Fraude tarjeta de créditos 3. Robo de credenciales de acceso a sistemas 4. Robo de información sensitiva en computadores o servidores 5. Ataques denegación de servicio

6. Robo de identidad 7. Acoso (cyberbulling) 8. ATM skimming

Página

8


Delitos informรกticos no tan comunes

Cyber-Jacking

Car Sploiting

Human Malware

Brick Attacks

Cyber Assault

Identity Theft Squared

Cyber Extortion

Mini-Power Outages

Pรกgina

9


Ejemplos de preguntas técnicas básicas y específicas en diligencias judiciales Página

10


Ejemplos Preguntas Comunes 1. ¿ Qué acciones y prácticas en seguridad de información ha adoptado y desde cuándo ? 2. ¿ Cuántas bitácoras existen en el flujo del delito, que datos mantienen dichas bitácoras y qué controles preservan su integridad ? 3. ¿Están sincronizados los relojes de todos los computadores y equipos en la compañía ?

Página

11


Ejemplos Preguntas Específicas 1. ¿Qué programa tipo “P2P” tiene instalado en el computador? 2. ¿ Qué usuarios de tecnología tienen derechos de acceso a “x” base de datos o la aplicación “y”? 3. ¿Qué controles se tienen sobre las cuentas privilegiadas, en los sistemas de la compañía?

4. ¿Cumple la organización con el artículo “x” del acuerdo “y” del ente regulador “z” ? 5. ¿Qué mecanismo de monitoreo proactivo y automático se tiene para identificar accesos nos autorizados o potenciales fraudes?

Página

12


Antonio Ayala I.

Charles Robison

aayala@riscco.com

crobison@intrasoft.com.pa

riscco.com +507 279-1410

intrasoftpanama.com +507 227-6560

www.riscco.com


M贸dulo III Comprendiendo y obteniendo evidencia digital


Definici贸n de Computadora

P谩gina

2


Estas son computadoras..

Pรกgina

3


¿Qué se considera material probatorio?

• • • • • • • • • •

Documentos Emails Imágenes Transacciones Financieras Bitácoras Historial de sitios de internet visitados Archivos encriptados, con contraseñas Archivos temporales Archivos borrados u ocultos Archivos swap

Página

4


Evidencia, ¿donde se almacena? • Discos Duros

• Usb extraibles • Ipods • Celulares

• Cdrom / DVD

* Cualquier medio que pueda grabar data (Archivos digitales)

Página

5


Equipos o software para crear la imagen forense

Software

• • • •

Accessdata FTK Imager (Gratis) ADF Solutions Triage Examiner DD de Linux (Gratis) Helix (Gratis)

Hardware • Tableau - Forensic Imager • ICS Solo Masster Página

6


Importante en una investigación forense de computadoras • Tomar los datos del equipo, No. de serie, modelo, marca y foto del mismo • La cadena de custodia • Hacer imagen forense de disco original • Siempre trabajar sobre la copia del disco (imagen forense)

• Registro de manejo de evidencia Página

7


¿Cómo se hace si no es una investigación judicial? • Tener notario presente para que dé fe de que la creación de la imagen forense fue hecha sin alteración alguna. • Disco original es sellado en sobre con tape especial de evidencia y guardado en caja fuerte o bajo llave.

Página

8


Retos… • El volumen de información se ha incrementado de forma exponencial • La extracción de los medios de almacenamiento de las laptops, requiere de conocimiento extenso del equipo y algunas veces, se pueden dañar cuando se extrae el disco duro. • El tiempo en crear la imagen y procesar la misma se ha triplicado

Página

9


M贸dulo IV Tratamiento y an谩lisis de evidencia digital


Herramientas de análisis

• Encase – Guidance Software

• FTK – Access Data • Triage Examiner – ADF Solutions • X-Ways Forensics • Helix

Página

2


Importante en un análisis de la imagen forense…

• Perfil del individuo que se está investigando, conocimientos informáticos. • Qué se busca? Archivo, publicación en internet, un chat, un email, qué? • Fechas • Palabras claves

Página

3


Herramientas de anรกlisis

Pรกgina

4


Ventaja - ADF Solutions

• Puntos clave de la herramienta: • • • • • •

Fácil de ver los resultados Imagen Lógico / Físicos HTML & Plantillas de Word Aprendizaje Rápido Divide video por foto Soporte para Macbook Air

Página

5


Demostraci贸n de ADF Triage

P谩gina

6


Ventaja – Accessdata FTK

Puntos clave de la herramienta:

1. 2. 3. 4. 5. 6.

Viene con herramienta para descifrar contraseñas Se puede trabajar en una imagen de forense Informes mas completos Revisión completa de registro de Windows Se pueden busca archivos en espacio libre del disco Soporta revisión de celulares

Página

7


Demostraci贸n de FTK

P谩gina

8


Utilizando estas herramientas en conjunto.. Con el ADF Triage se puede hacer una imagen forense sin desarmar el computadora La imagen creada con el ADF Triage se puede utilizar para revisar los datos en el FTK de AccessData

Pรกgina

9


M贸dulo V Los controles de seguridad inform谩tica (eficaces o ineficaces) y su impacto en la prueba pericial.


Módulo V 1. Controles de seguridad de información 2. Ejemplos sobre cómo controles de seguridad de información impactan un informe pericial informático.

Página

2


Controles de seguridad de informaci贸n

P谩gina

3


Controles efectivos seguridad de información  ISO 27001:2013 y 20 Security Controls SANS  Regulaciones locales e internacionales  Algunos controles efectivos: 

Inventario de dispositivos y software autorizados

Configuraciones seguras en todos los dispositivos

Integridad de pistas de auditoría

Uso limitado de cuentas privilegiadas

Sistemas de defensa preventivos

Modelos de seguridad efectivos

Personal con experiencia en seguridad y gestión de riesgo

Gestión de cuentas de accesos efectivo

Modelos de monitoreo permanentes

Confidencialidad y protección de datos

Página

4


Ejemplos sobre c贸mo controles de seguridad de informaci贸n, impactan un informe pericial inform谩tico. P谩gina

5


Ejemplo 1: Fraude banca por Internet Cliente demanda al banco porque se realizaron transferencias internacionales de fondos por la suma de B/.350,000, por alguien distinto al dueĂąo de la cuenta.

El banco indica que las transferencias fueron hechas con las credenciales de acceso del cliente, por lo cual, no puede

hacer nada.

PĂĄgina

6


Ejemplo 1:

Fraude banca por Internet

Demandante (cliente)

Demandado (banco)  Revisión forense del computador del cliente  Revisión de las bitácoras de acceso del cliente, al servicio de banca por internet

 Copia bitácora de acceso usuario  Certificación fondos transferidos

• • • •

• • • • • •

Programas P2P Antivirus Actualizaciones / parches de seguridad Uso de redes WIFI públicas

Página

7

Integridad de las bitácoras Acceso a cuentas privilegiadas Acceso a base de datos Cumplimiento de acuerdos SBP Sistemas anti-fraude y monitoreo Modelo de seguridad de información


Ejemplo 2: Fraude tarjeta de crédito El Comercio A, con más de 30,000 clientes otorgó tarjeta de crédito a sus clientes, para comprar en sus tiendas en todo el país. La tarjeta no era respaldada por un banco. El Comercio se dio cuenta de un gran fraude al ver que un mismo cliente realizó una compra de B/.550 en una tienda en Colón y 15 minutos después en otra tienda de la cadena en Chiriquí, se hizo otra compra por B/.500. El dueño de las tarjetas nunca hizo pagos reales al saldo de la cuenta y al inicio del ciclo de facturación, su saldo siempre estaba en cero.

El Comercio A, entabló una demanda al colaborador responsable del manejo de las tarjetas, por la creación de tarjetas, supuestamente, fraudulentas.


Ejemplo 2: Fraude tarjetas de crédito Demandante (Comercio A)

Demandado (Colaborador)

 Bitácora de la aplicación que maneja las tarjetas de crédito.  Informes de caja de las sucursales donde se hicieron las compras.  Informe de transacciones incluidas en los estados de cuenta de las tarjetas de crédito.

 Bitácora de la aplicación que maneja las tarjetas de crédito.  Política de otorgamiento de accesos al sistema de tarjetas de crédito.  Auditoria de accesos sobre la aplicación que maneja las tarjetas de crédito.

• •

Políticas de expedición de tarjetas de crédito Accesos realizados al sistema de tarjetas de crédito Política de segregación de funciones

• • • •

Integridad de las bitácoras Acceso cuentas privilegiadas Acceso a base de datos Creación / eliminación de usuarios


Ejemplo 3: Créditos otorgados con referencias crediticias falsas Banco A demanda a XYZ Holding, poseedor del 100% de acciones de Banco W y Comercio S, ya que, Banco A otorgó a 36 clientes, créditos por la suma de B/. 748,000 debido a referencias de créditos falsas que dichos 36 clientes tuvieron en Banco W y Comercio S. Banco A advirtió el problema ante el cese de pagos de los clientes.

Página

8


Ejemplo 3: Créditos otorgados con referencias crediticias falsas Demandante (Banco A)

Demandado (XYZ Holding)  Certificación de que los créditos fueron otorgados  Políticas y procedimientos de otorgamiento de créditos  Análisis realizado a los 36 clientes

 Certificación de la relación comercial de las 36 personas  Bitácora de accesos de usuarios a la aplicación de referencias de crédito (ARC)  Análisis de seguridad de la aplicación y base de datos

• • •

• • • • • •

Políticas de otorgamiento de crédito Accesos a la ARC realizados Política de segregación de funciones

Página

9

Integridad de las bitácoras Acceso a cuentas privilegiadas Acceso a base de datos Creación / eliminación de usuarios Modelo de seguridad de información Monitoreo de accesos a la ARC


Antonio Ayala I.

Charles Robison

aayala@riscco.com

crobison@intrasoft.com.pa

riscco.com +507 279-1410

intrasoftpanama.com +507 227-6560

www.riscco.com

Seminario Ciberdelincuencia  

Comprendiendo y obteniendo evidencia digital

Read more
Read more
Similar to
Popular now
Just for you