Cibercrimen: Como llevar adelante una investigación exitosacybsec.com/upload/Jara_Ardita_Cibercrimen_v2.pdf · 2014-04-23 · Segurinfo 2009 – Sexto Congreso Internacional de Seguridad

CibercrimenCibercrimen: Como llevar adelante : Como llevar adelante una investigaciuna investigacióón exitosa n exitosa

Julio C. ArditaJulio C. ArditaCTO CYBSECCTO CYBSEC

Comisario Jaime Jara RetamalComisario Jaime Jara RetamalPolicPolicíía de Investigaciones de Chilea de Investigaciones de Chile

Brigada Investigadora del Ciber Brigada Investigadora del Ciber Crimen MetropolitanaCrimen Metropolitana

Segurinfo 2009 – Sexto Congreso Internacional de Seguridad de la Información – Santiago de Chile – www.segurinfo.org.ar

AgendaAgenda

-- Incidentes de seguridadIncidentes de seguridad

-- Manejo de incidentes de seguridadManejo de incidentes de seguridad

-- MetodologMetodologíías de investigacias de investigacióónn

-- InvestigaciInvestigacióón del delito informn del delito informáático en Chile.tico en Chile.

-- AnAnáálisis de Evidencia Forenselisis de Evidencia Forense

-- EstadEstadíísticas de Chilesticas de Chile

CibercrimenCibercrimen: Como llevar adelante una investigaci: Como llevar adelante una investigacióón exitosan exitosa



Incidentes de seguridad realesIncidentes de seguridad reales

-- Robo de informaciRobo de informacióón sensiblen sensible

-- Robo y pRobo y péérdida de rdida de notebooksnotebooks con informacicon informacióón sensiblen sensible

-- DenegaciDenegacióón de servicio sobre equipos de n de servicio sobre equipos de networkingnetworking, afectando , afectando la operacila operacióón diaria de la Compan diaria de la Compañíñíaa

-- DenegaciDenegacióón de servicio por el ingreso y propagacin de servicio por el ingreso y propagacióón de virus y n de virus y wormsworms que explotan vulnerabilidadesque explotan vulnerabilidades

-- Sabotaje Corporativo a travSabotaje Corporativo a travéés de modificaciones de programas s de modificaciones de programas por parte del personal interno que generpor parte del personal interno que generóó problemas de problemas de disponibilidad en servicios crdisponibilidad en servicios crííticos (programa troyano)ticos (programa troyano)



Incidentes de seguridad realesIncidentes de seguridad reales

-- Amenazas y denuncias falsas a travAmenazas y denuncias falsas a travéés de mensajes de correo s de mensajes de correo electrelectróónico annico anóónimosnimos

-- Ataques locales de Ataques locales de phishingphishing a Bancos y Empresasa Bancos y Empresas

-- Fraude financieroFraude financiero



¿¿Por quPor quéé se generan mse generan máás incidentes que antes?s incidentes que antes?

-- Crecimiento de la dependencia tecnolCrecimiento de la dependencia tecnolóógicagica-- No hay una conciencia sobre la privacidadNo hay una conciencia sobre la privacidad-- Amplia disponibilidad de herramientasAmplia disponibilidad de herramientas-- No hay leyes globales (ni locales)No hay leyes globales (ni locales)-- Falsa sensaciFalsa sensacióón de que todo se puede hacer en Internetn de que todo se puede hacer en Internet-- Gran aumento de vulnerabilidades de seguridad (sGran aumento de vulnerabilidades de seguridad (sóólo en el lo en el 2008 se reportaron m2008 se reportaron máás de 8.000 segs de 8.000 segúún el CERT)n el CERT)-- Traslado de negocios con dinero real a Internet (servicios Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.)financieros, juegos de azar, sitios de subastas, etc.)-- Oferta y demanda de informaciOferta y demanda de informacióón confidencial mn confidencial máás abiertas abierta



Tendencias en incidentesTendencias en incidentes

-- Los intrusos Los intrusos ““sabensaben”” mmáás ts téécnicas para evitar que los rastreencnicas para evitar que los rastreen

-- Nuevo origen de incidentes: redes Nuevo origen de incidentes: redes wirelesswireless abiertas abiertas

-- Casos de publicaciCasos de publicacióón de venta en Internet de n de venta en Internet de informaciinformacióón sensible de empresas argentinasn sensible de empresas argentinas

-- Casos individuales de robo de identidad basados en Casos individuales de robo de identidad basados en informaciinformacióón disponible en Internetn disponible en Internet


CibercrimenCibercrimen: Como llevar adelante una : Como llevar adelante una investigaciinvestigacióónn exitosaexitosa

Manejo de incidentes de seguridadManejo de incidentes de seguridad

Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridadgrave.

Tips:- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)

- Mantener la calma por la situación personal del CSO- No comenzar buscando culpables- Obtener información de primera mano y verificarla

- Establecer un Plan de Acción y coordinarlo



Manejo de incidentes de seguridadManejo de incidentes de seguridad

Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar estemomento.

Nivel de Atención de la Gerencia durante un Incidente

0 hs

12 hs

24 hs

48 hs72 hs

96 hs0

20

40

60

80

100

120

Tiempo

% N

ivel

de

Ate

nció

n

Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.



Necesidades para el manejo de incidentes de seguridadNecesidades para el manejo de incidentes de seguridad

- Políticas y Procedimientos previamente definidos y acordados

- Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales)

- Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos)

- Soporte altamente especializado



Política de Manejo de Incidentes de Seguridad Informática

Procedimientos necesarios:- Detección y Denuncia de Incidentes- Recepción y Análisis de Incidentes- Neutralización del ataque- Búsqueda de información y rastreo del intruso- Secuestro y preservación de evidencia- Recuperación de datos o sistemas afectados- Restauración de la información- Cierre y documentación del proceso de manejo de incidentes



Pasos a seguir cuando sucede un incidentePasos a seguir cuando sucede un incidente

1. Reunión de relevamiento on-site con todos los referentes e involucrados.

2. Verificar la información.

3. Consolidar y revisar toda la información relevada.

4. Análisis preliminar de impacto del incidente.

5. Elaborar el diagnóstico detallado de la situación.




6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos.

7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes.

8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO.

9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía.




10. Documentar detalladamente TODO lo realizado.

11. Vuelta a la normalidad.

12. Luego del cierre del incidente:- Aplicar “lecciones aprendidas”.- En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos.- Informe ejecutivo al Directorio y áreas de negocio.



Buenas PrBuenas Práácticas frente a incidentes de seguridadcticas frente a incidentes de seguridad

Hay que tener procedimientos claramente definidos y comunicados.

Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente.

Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar esemomento.

El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente.


AGRUPACIAGRUPACIÓÓN DE INVESTIGACIN DE INVESTIGACIÓÓN DE DELITOS N DE DELITOS DE PORNOGRDE PORNOGRÁÁFIA INFANTILFIA INFANTIL

DELITOS QUE SE INVESTIGANComercializaciComercializacióón, importacin, importacióón, exportacin, exportacióón, n, distribucidistribucióón, difusin, difusióón o exhibicin o exhibicióón y n y almacenamiento de material pornogralmacenamiento de material pornográáfico infantil.fico infantil.

FORMAS DE COMETER EL DELITOTTéécnica de Seduccicnica de Seduccióón o n o GroomingGroomingTTéécnica de Encriptacicnica de EncriptacióónnDescarga de pornografDescarga de pornografíía Infantil, P2P (emule, Ares, a Infantil, P2P (emule, Ares, torrenttorrent). ). Caso Investigado.Caso Investigado.DistribuciDistribucióón de pornografn de pornografíía infantil en foros, a infantil en foros, bbsbbs, , fotologfotolog, comunidades, etc., comunidades, etc.



AGRUPACIAGRUPACIÓÓN DE INVESTIGACIN DE INVESTIGACIÓÓN DE FRAUDES N DE FRAUDES ECONECONÓÓMICOS CON APOYO INFORMMICOS CON APOYO INFORMÁÁTICOTICO

DELITOS ECONOMICOS PROPIAMENTE TALESSitios de Remate.Sitios de Remate.Transferencia VTransferencia Víía Interneta Internet. . PhishingPhishing..Amenazas.Amenazas.Terrorismo.Terrorismo.HackingHacking..AnAnáálisis Forense lisis Forense CooperaciCooperacióón Internacional.n Internacional.EstadEstadíísticassticas



OperaciOperacióón n ÁÁngel de la Guarda: ngel de la Guarda: (Pornograf(Pornografíía Infantil a Infantil 2007) 2007)

OperaciOperacióón a nivel nacional, que se llevn a nivel nacional, que se llevóó a cabo para a cabo para detectar a las personas que descargaban material detectar a las personas que descargaban material pornogrpornográáfico infantil, a travfico infantil, a travéés de los programas P2P (emule, s de los programas P2P (emule, ares, ares, torrenttorrent, etc.), logrando la detenci, etc.), logrando la detencióón de 21 personas en n de 21 personas en todo el patodo el paíís. Algunos de los sujetos mantens. Algunos de los sujetos manteníían en su poder an en su poder mmáás de 80.000 archivos entre ims de 80.000 archivos entre imáágenes y videos de genes y videos de menores siendo abusados sexualmente.menores siendo abusados sexualmente.



Se crea una gran base de datos, con el material Se crea una gran base de datos, con el material incautado en diligencia anteriores, para luego incautado en diligencia anteriores, para luego

generarles un cgenerarles un cóódigo y posteriormente marcarlas en los digo y posteriormente marcarlas en los programas Peer programas Peer ToTo PeerPeer



FORMA EN QUE SE DESCARGABA LA FORMA EN QUE SE DESCARGABA LA PEDOFILIA PEDOFILIA



RESULTADOS MAS DE 35 DOMICILIOS ALLANADOS, RESULTADOS MAS DE 35 DOMICILIOS ALLANADOS, CON UN TOTAL DE 21 DETENIDOS A NIVEL NACIONALCON UN TOTAL DE 21 DETENIDOS A NIVEL NACIONAL



Sitio de RemateSitio de RemateCibercrimenCibercrimen: Como llevar adelante una investigaci: Como llevar adelante una investigacióón exitosan exitosa


OperaciOperacióón n KeyloggerKeylogger::(Octubre 2007).(Octubre 2007).--DetenciDetencióón y puesto a n y puesto a disposicidisposicióón del Juzgado de n del Juzgado de GarantGarantíía dos sujetos que a dos sujetos que instalaban en el Aeropuerto instalaban en el Aeropuerto de Santiago programas de Santiago programas computacionales computacionales keyloggerkeyloggerque permitque permitíían la captura de an la captura de las claves de acceso a las las claves de acceso a las cuentas bancarias de cuentas bancarias de tercero, con la finalidad de tercero, con la finalidad de transferir fondos a otras transferir fondos a otras cuentas y girar. cuentas y girar.



OperaciOperacióón Mexicana: n Mexicana: ((PhishingPhishing2007) Operaci2007) Operacióón internacional n internacional que tardque tardóó mmáás de 5 meses en s de 5 meses en finalizar, llevada a cabo en finalizar, llevada a cabo en conjunto con el Departamento de conjunto con el Departamento de Control de Fraudes del Banco Control de Fraudes del Banco Santander Santiago y la FiscalSantander Santiago y la Fiscalíía a de de ÑÑuuññoa, estableciendo que oa, estableciendo que operaba una banda internacional operaba una banda internacional dedicada a defraudar a titulares dedicada a defraudar a titulares de cuentas corrientes de la de cuentas corrientes de la referida entidad bancaria, referida entidad bancaria, mediante la tmediante la téécnica conocida cnica conocida como como PhishingPhishing..



RESULTADOS 04 DETENIDOS, ENTRE ELLOS RESULTADOS 04 DETENIDOS, ENTRE ELLOS DOS EXTRANJEROS DE NACIONALIDAD DOS EXTRANJEROS DE NACIONALIDAD

MEXICANA Y DOS CARABINEROSMEXICANA Y DOS CARABINEROS



InvestigaciInvestigacióón n Amenaza Presidencial: Amenaza Presidencial: (Junio de 2007).(Junio de 2007).--DetenciDetencióón y puesto a n y puesto a

disposicidisposicióón del Juzgado n del Juzgado de Garantde Garantíía al sujeto que a al sujeto que amenazamenazóó a la Presidenta a la Presidenta de la Repde la Repúública por blica por correo electrcorreo electróónico.nico.



Amenaza de Bomba en Aeropuerto Amenaza de Bomba en Aeropuerto AMBAMB



Los sitios se modificaban en algunos Los sitios se modificaban en algunos casos para realizar casos para realizar ccííberber--ProtestasProtestas



Los sitios modificados, eran publicados Los sitios modificados, eran publicados diariamente en el sitio de hackers diariamente en el sitio de hackers

www.zonewww.zone--h.orgh.org



RESULTADOS CUATRO PERSONAS DETENIDAS, ENTRE ELLOS RESULTADOS CUATRO PERSONAS DETENIDAS, ENTRE ELLOS DOS MENORES DE EDAD, CONOCIDOS POR SUS APODOS EN DOS MENORES DE EDAD, CONOCIDOS POR SUS APODOS EN

INTERNET DE INTERNET DE NETTOXIC/ SSHNETTOXIC/ SSH--2 / C0DIUX/ PHNX2 / C0DIUX/ PHNX



AGRUPACIAGRUPACIÓÓN DE ANN DE ANÁÁLISIS DE LISIS DE EVIDENCIA FORENSE EVIDENCIA FORENSE

PRINCIPIOS FUNDAMENTALES: PRINCIPIOS FUNDAMENTALES: Los computadores son Los computadores son ampliamente utilizados en todas las ampliamente utilizados en todas las ááreas.reas.

Los hechos se prueban a travLos hechos se prueban a travéés de las evidencias.s de las evidencias.

PROCEDIMIENTO GENERAL:PROCEDIMIENTO GENERAL: IdentificaciIdentificacióón, Recoleccin, Recoleccióón, n, PreservaciPreservacióón, Ann, Anáálisis y Presentacilisis y Presentacióón de la Evidencia Informn de la Evidencia Informáática. tica.

SERVICIO QUE SE ENTREGA:SERVICIO QUE SE ENTREGA: IncautaciIncautacióón, Duplicacin, Duplicacióón y n y preservacipreservacióón, Recuperacin, Recuperacióón, Bn, Búúsqueda de sobre documentos, squeda de sobre documentos, ConversiConversióón de Medios, Ann de Medios, Anáálisis Computacional, Testigo Experto, lisis Computacional, Testigo Experto, etc. etc.



SITIO DEL SUCESO



EVIDENCIACibercrimenCibercrimen: Como llevar adelante una investigaci: Como llevar adelante una investigacióón exitosan exitosa


ESPECIECibercrimenCibercrimen: Como llevar adelante una investigaci: Como llevar adelante una investigacióón exitosan exitosa


FORMULARIO ININTERRUMPIDO DE CADENA DE CUSTODIA



HERRAMIENTAS DE ANÁLISIS FORENSE INFORMÁTICO



Etapas de AnEtapas de Anáálisis Forense lisis Forense InformInformááticotico

Estructura de Carpetas



COOPERACION INTERNACIONALCOOPERACION INTERNACIONALOEA

GTLDT














Contacto Contacto

Julio C. ArditaJulio C. [email protected]@cybsec.com

CYBSECCYBSEC

Comisario Jaime Jara RetamalComisario Jaime Jara RetamalBrigada Investigadora del Ciber Brigada Investigadora del Ciber Crimen MetropolitanaCrimen MetropolitanaTelTelééfono: 5445784fono: 5445784ee--mail: mail: [email protected]@cibercrimen.cl

Cibercrimen: Como llevar adelante una investigación exitosacybsec.com/upload/Jara_Ardita_Cibercrimen_v2.pdf · 2014-04-23 · Segurinfo 2009 – Sexto Congreso Internacional de Seguridad

Documents