Cibercrimen: Como llevar adelante una investigación exitosa

Cibercrimen: Como llevar adelante
una investigación exitosa
Julio C. Ardita
Comisario Jaime Jara Retamal
CTO CYBSEC
Policía de Investigaciones de Chile
Brigada Investigadora del Ciber
Crimen Metropolitana
Cibercrimen: Como llevar adelante una investigación exitosa
Agenda
- Incidentes de seguridad
- Manejo de incidentes de seguridad
- Metodologías de investigación
- Investigación del delito informático en Chile.
- Análisis de Evidencia Forense
- Estadísticas de Chile
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Incidentes de seguridad reales
- Robo de información sensible
- Robo y pérdida de notebooks con información sensible
- Denegación de servicio sobre equipos de networking, afectando
la operación diaria de la Compañía
- Denegación de servicio por el ingreso y propagación de virus y
worms que explotan vulnerabilidades
- Sabotaje Corporativo a través de modificaciones de programas
por parte del personal interno que generó problemas de
disponibilidad en servicios críticos (programa troyano)
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Incidentes de seguridad reales
- Amenazas y denuncias falsas a través de mensajes de correo
electrónico anónimos
- Ataques locales de phishing a Bancos y Empresas
- Fraude financiero
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
¿Por qué se generan más incidentes que antes?
- Crecimiento de la dependencia tecnológica
- No hay una conciencia sobre la privacidad
- Amplia disponibilidad de herramientas
- No hay leyes globales (ni locales)
- Falsa sensación de que todo se puede hacer en Internet
- Gran aumento de vulnerabilidades de seguridad (sólo en el
2008 se reportaron más de 8.000 según el CERT)
- Traslado de negocios con dinero real a Internet (servicios
financieros, juegos de azar, sitios de subastas, etc.)
- Oferta y demanda de información confidencial más abierta
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Tendencias en incidentes
- Los intrusos “saben” más técnicas para evitar que los rastreen
- Nuevo origen de incidentes: redes wireless abiertas
- Casos de publicación de venta en Internet de
información sensible de empresas argentinas
- Casos individuales de robo de identidad basados en
información disponible en Internet
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de
seguridad en la Compañía, pero surge un incidente de seguridad
grave.
Tips:
- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Manejo de incidentes de seguridad
Durante las primeras horas tendremos la atención de la
Compañía puesta en nosotros. Es clave aprovechar este
momento.
Nivel de Atención de la Gerencia durante un Incidente
% Nivel de Atención
120
100
80
0 hs
12 hs
60
24 hs
40
20
48 hs
72 hs
96 hs
0
Tiempo
Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Necesidades para el manejo de incidentes de seguridad
- Políticas y Procedimientos previamente definidos y acordados
- Capacitación del personal involucrado (seguridad informática,
administradores, help-desk, auditoría, seguridad ambiental y
legales)
- Mantenimiento activo (capacitación periódica, simulaciones y
adecuación de las Políticas y Procedimientos)
- Soporte altamente especializado
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Política de Manejo de Incidentes de Seguridad Informática
Procedimientos necesarios:
- Detección y Denuncia de Incidentes
- Recepción y Análisis de Incidentes
- Neutralización del ataque
- Búsqueda de información y rastreo del intruso
- Secuestro y preservación de evidencia
- Recuperación de datos o sistemas afectados
- Restauración de la información
- Cierre y documentación del proceso de manejo de incidentes
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Pasos a seguir cuando sucede un incidente
1. Reunión de relevamiento on-site con todos los referentes e
involucrados.
2. Verificar la información.
3. Consolidar y revisar toda la información relevada.
4. Análisis preliminar de impacto del incidente.
5. Elaborar el diagnóstico detallado de la situación.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Pasos a seguir cuando sucede un incidente
6. Definir los mensajes de comunicación a transmitir a través de
canales de comunicación externos e internos.
7. Elaborar un Plan de Acción detallado y consensuado con
todas las áreas participantes.
8. Organizar grupos de trabajo para llevar adelante las actividades
planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las
actividades más críticas con el objetivo de bajar lo mas rápido
posible el nivel de exposición al riesgo que afecta a la Compañía.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Pasos a seguir cuando sucede un incidente
10. Documentar detalladamente TODO lo realizado.
11. Vuelta a la normalidad.
12. Luego del cierre del incidente:
- Aplicar “lecciones aprendidas”.
- En lo posible estimar las pérdidas económicas.
- Ajustar los procedimientos.
- Informe ejecutivo al Directorio y áreas de negocio.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Buenas Prácticas frente a incidentes de seguridad
Hay que tener
comunicados.
procedimientos
claramente
definidos
y
Es muy importante que todo el personal esté entrenado
previamente y sepa qué tiene que hacer frente a un incidente.
Durante las primeras horas tendremos la atención de la
Compañía puesta en nosotros. Es clave aprovechar ese
momento.
El tiempo es un factor que nos puede llegar a jugar en contra.
Cuanto antes reaccionemos, mejor estaremos preparados para
manejar el incidente.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
AGRUPACIÓN DE INVESTIGACIÓN DE DELITOS
DE PORNOGRÁFIA INFANTIL
™ DELITOS QUE SE INVESTIGAN
™ Comercialización,
importación,
exportación,
distribución,
difusión
o
exhibición
y
almacenamiento de material pornográfico infantil.
™ FORMAS DE COMETER EL DELITO
™ Técnica de Seducción o Grooming
™ Técnica de Encriptación
™ Descarga de pornografía Infantil, P2P (emule, Ares,
torrent). Caso Investigado.
™ Distribución de pornografía infantil en foros, bbs,
fotolog, comunidades, etc.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
AGRUPACIÓN DE INVESTIGACIÓN DE FRAUDES
ECONÓMICOS CON APOYO INFORMÁTICO
™ DELITOS ECONOMICOS PROPIAMENTE TALES
™ Sitios de Remate.
™ Transferencia Vía Internet.
™ Phishing.
™ Amenazas.
™ Terrorismo.
™ Hacking.
™ Análisis Forense
™ Cooperación Internacional.
™ Estadísticas
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Operación Ángel de la Guarda: (Pornografía Infantil
2007)
Operación a nivel nacional, que se llevó a cabo para
detectar a las personas que descargaban material
pornográfico infantil, a través de los programas P2P (emule,
ares, torrent, etc.), logrando la detención de 21 personas en
todo el país. Algunos de los sujetos mantenían en su poder
más de 80.000 archivos entre imágenes y videos de
menores siendo abusados sexualmente.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Se crea una gran base de datos, con el material
incautado en diligencia anteriores, para luego
generarles un código y posteriormente marcarlas en los
programas Peer To Peer
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
FORMA EN QUE SE DESCARGABA LA
PEDOFILIA
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
RESULTADOS MAS DE 35 DOMICILIOS ALLANADOS,
CON UN TOTAL DE 21 DETENIDOS A NIVEL NACIONAL
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Sitio de Remate
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
X
Operación Keylogger:
(Octubre 2007).Detención y puesto a
disposición del Juzgado de
Garantía dos sujetos que
instalaban en el Aeropuerto
de Santiago programas
computacionales keylogger
que permitían la captura de
las claves de acceso a las
cuentas
bancarias
de
tercero, con la finalidad de
transferir fondos a otras
cuentas y girar.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
X
Operación Mexicana: (Phishing
2007) Operación internacional
que tardó más de 5 meses en
finalizar, llevada a cabo en
conjunto con el Departamento de
Control de Fraudes del Banco
Santander Santiago y la Fiscalía
de Ñuñoa, estableciendo que
operaba una banda internacional
dedicada a defraudar a titulares
de cuentas corrientes de la
referida
entidad
bancaria,
mediante la técnica conocida
como Phishing.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
RESULTADOS 04 DETENIDOS, ENTRE ELLOS
DOS EXTRANJEROS DE NACIONALIDAD
MEXICANA Y DOS CARABINEROS
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Investigación
Amenaza Presidencial:
(Junio de 2007).Detención y puesto a
disposición del Juzgado
de Garantía al sujeto que
amenazó a la Presidenta
de la República por
correo electrónico.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Amenaza de Bomba en Aeropuerto
AMB
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Los sitios se modificaban en algunos
casos para realizar cíber-Protestas
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Los sitios modificados, eran publicados
diariamente en el sitio de hackers
www.zone-h.org
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
RESULTADOS CUATRO PERSONAS DETENIDAS, ENTRE ELLOS
DOS MENORES DE EDAD, CONOCIDOS POR SUS APODOS EN
INTERNET DE NETTOXIC/ SSH-2 / C0DIUX/ PHNX
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
AGRUPACIÓN DE ANÁLISIS DE
EVIDENCIA FORENSE
™ PRINCIPIOS
FUNDAMENTALES: Los computadores
ampliamente utilizados en todas las áreas.
Los hechos se prueban a través de las evidencias.
son
™ PROCEDIMIENTO
GENERAL:
Identificación,
Recolección,
Preservación, Análisis y Presentación de la Evidencia Informática.
™ SERVICIO QUE SE ENTREGA: Incautación, Duplicación y
preservación, Recuperación, Búsqueda de sobre documentos,
Conversión de Medios, Análisis Computacional, Testigo Experto,
etc.
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
SITIO DEL
SUCESO
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
EVIDENCIA
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
ESPECIE
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
FORMULARIO ININTERRUMPIDO
DE CADENA DE CUSTODIA
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
HERRAMIENTAS DE
ANÁLISIS FORENSE
INFORMÁTICO
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Etapas de Análisis Forense
Informático
Estructura de Carpetas
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
COOPERACION INTERNACIONAL
OEA
GTLDT
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Cibercrimen: Como llevar adelante una investigación exitosa
Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar
Contacto
Julio C. Ardita
[email protected]
CYBSEC
Comisario Jaime Jara Retamal
Brigada Investigadora del Ciber
Crimen Metropolitana
Teléfono: 5445784
e-mail: [email protected]