Cibercrimen: Como llevar adelante una investigación exitosa Julio C. Ardita Comisario Jaime Jara Retamal CTO CYBSEC Policía de Investigaciones de Chile Brigada Investigadora del Ciber Crimen Metropolitana Cibercrimen: Como llevar adelante una investigación exitosa Agenda - Incidentes de seguridad - Manejo de incidentes de seguridad - Metodologías de investigación - Investigación del delito informático en Chile. - Análisis de Evidencia Forense - Estadísticas de Chile Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Incidentes de seguridad reales - Robo de información sensible - Robo y pérdida de notebooks con información sensible - Denegación de servicio sobre equipos de networking, afectando la operación diaria de la Compañía - Denegación de servicio por el ingreso y propagación de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano) Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Incidentes de seguridad reales - Amenazas y denuncias falsas a través de mensajes de correo electrónico anónimos - Ataques locales de phishing a Bancos y Empresas - Fraude financiero Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa ¿Por qué se generan más incidentes que antes? - Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas - No hay leyes globales (ni locales) - Falsa sensación de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo en el 2008 se reportaron más de 8.000 según el CERT) - Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.) - Oferta y demanda de información confidencial más abierta Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Tendencias en incidentes - Los intrusos “saben” más técnicas para evitar que los rastreen - Nuevo origen de incidentes: redes wireless abiertas - Casos de publicación de venta en Internet de información sensible de empresas argentinas - Casos individuales de robo de identidad basados en información disponible en Internet Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Manejo de incidentes de seguridad Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridad grave. Tips: - No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak) - Mantener la calma por la situación personal del CSO - No comenzar buscando culpables - Obtener información de primera mano y verificarla - Establecer un Plan de Acción y coordinarlo Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Manejo de incidentes de seguridad Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar este momento. Nivel de Atención de la Gerencia durante un Incidente % Nivel de Atención 120 100 80 0 hs 12 hs 60 24 hs 40 20 48 hs 72 hs 96 hs 0 Tiempo Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Necesidades para el manejo de incidentes de seguridad - Políticas y Procedimientos previamente definidos y acordados - Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos) - Soporte altamente especializado Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Política de Manejo de Incidentes de Seguridad Informática Procedimientos necesarios: - Detección y Denuncia de Incidentes - Recepción y Análisis de Incidentes - Neutralización del ataque - Búsqueda de información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o sistemas afectados - Restauración de la información - Cierre y documentación del proceso de manejo de incidentes Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Pasos a seguir cuando sucede un incidente 1. Reunión de relevamiento on-site con todos los referentes e involucrados. 2. Verificar la información. 3. Consolidar y revisar toda la información relevada. 4. Análisis preliminar de impacto del incidente. 5. Elaborar el diagnóstico detallado de la situación. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Pasos a seguir cuando sucede un incidente 6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos. 7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO. 9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Pasos a seguir cuando sucede un incidente 10. Documentar detalladamente TODO lo realizado. 11. Vuelta a la normalidad. 12. Luego del cierre del incidente: - Aplicar “lecciones aprendidas”. - En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos. - Informe ejecutivo al Directorio y áreas de negocio. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Buenas Prácticas frente a incidentes de seguridad Hay que tener comunicados. procedimientos claramente definidos y Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente. Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento. El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa AGRUPACIÓN DE INVESTIGACIÓN DE DELITOS DE PORNOGRÁFIA INFANTIL DELITOS QUE SE INVESTIGAN Comercialización, importación, exportación, distribución, difusión o exhibición y almacenamiento de material pornográfico infantil. FORMAS DE COMETER EL DELITO Técnica de Seducción o Grooming Técnica de Encriptación Descarga de pornografía Infantil, P2P (emule, Ares, torrent). Caso Investigado. Distribución de pornografía infantil en foros, bbs, fotolog, comunidades, etc. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa AGRUPACIÓN DE INVESTIGACIÓN DE FRAUDES ECONÓMICOS CON APOYO INFORMÁTICO DELITOS ECONOMICOS PROPIAMENTE TALES Sitios de Remate. Transferencia Vía Internet. Phishing. Amenazas. Terrorismo. Hacking. Análisis Forense Cooperación Internacional. Estadísticas Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Operación Ángel de la Guarda: (Pornografía Infantil 2007) Operación a nivel nacional, que se llevó a cabo para detectar a las personas que descargaban material pornográfico infantil, a través de los programas P2P (emule, ares, torrent, etc.), logrando la detención de 21 personas en todo el país. Algunos de los sujetos mantenían en su poder más de 80.000 archivos entre imágenes y videos de menores siendo abusados sexualmente. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Se crea una gran base de datos, con el material incautado en diligencia anteriores, para luego generarles un código y posteriormente marcarlas en los programas Peer To Peer Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa FORMA EN QUE SE DESCARGABA LA PEDOFILIA Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa RESULTADOS MAS DE 35 DOMICILIOS ALLANADOS, CON UN TOTAL DE 21 DETENIDOS A NIVEL NACIONAL Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Sitio de Remate Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa X Operación Keylogger: (Octubre 2007).Detención y puesto a disposición del Juzgado de Garantía dos sujetos que instalaban en el Aeropuerto de Santiago programas computacionales keylogger que permitían la captura de las claves de acceso a las cuentas bancarias de tercero, con la finalidad de transferir fondos a otras cuentas y girar. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa X Operación Mexicana: (Phishing 2007) Operación internacional que tardó más de 5 meses en finalizar, llevada a cabo en conjunto con el Departamento de Control de Fraudes del Banco Santander Santiago y la Fiscalía de Ñuñoa, estableciendo que operaba una banda internacional dedicada a defraudar a titulares de cuentas corrientes de la referida entidad bancaria, mediante la técnica conocida como Phishing. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa RESULTADOS 04 DETENIDOS, ENTRE ELLOS DOS EXTRANJEROS DE NACIONALIDAD MEXICANA Y DOS CARABINEROS Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Investigación Amenaza Presidencial: (Junio de 2007).Detención y puesto a disposición del Juzgado de Garantía al sujeto que amenazó a la Presidenta de la República por correo electrónico. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Amenaza de Bomba en Aeropuerto AMB Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Los sitios se modificaban en algunos casos para realizar cíber-Protestas Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Los sitios modificados, eran publicados diariamente en el sitio de hackers www.zone-h.org Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa RESULTADOS CUATRO PERSONAS DETENIDAS, ENTRE ELLOS DOS MENORES DE EDAD, CONOCIDOS POR SUS APODOS EN INTERNET DE NETTOXIC/ SSH-2 / C0DIUX/ PHNX Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa AGRUPACIÓN DE ANÁLISIS DE EVIDENCIA FORENSE PRINCIPIOS FUNDAMENTALES: Los computadores ampliamente utilizados en todas las áreas. Los hechos se prueban a través de las evidencias. son PROCEDIMIENTO GENERAL: Identificación, Recolección, Preservación, Análisis y Presentación de la Evidencia Informática. SERVICIO QUE SE ENTREGA: Incautación, Duplicación y preservación, Recuperación, Búsqueda de sobre documentos, Conversión de Medios, Análisis Computacional, Testigo Experto, etc. Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa SITIO DEL SUCESO Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa EVIDENCIA Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa ESPECIE Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa FORMULARIO ININTERRUMPIDO DE CADENA DE CUSTODIA Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa HERRAMIENTAS DE ANÁLISIS FORENSE INFORMÁTICO Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Etapas de Análisis Forense Informático Estructura de Carpetas Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa COOPERACION INTERNACIONAL OEA GTLDT Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Cibercrimen: Como llevar adelante una investigación exitosa Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar Contacto Julio C. Ardita [email protected] CYBSEC Comisario Jaime Jara Retamal Brigada Investigadora del Ciber Crimen Metropolitana Teléfono: 5445784 e-mail: [email protected]