Experiencias en investigaciones forenses...
Transcript of Experiencias en investigaciones forenses...
Experiencias en Experiencias en investigaciones forenses investigaciones forenses
informáticasinformáticasinformáticasinformáticas
Julio César [email protected]
7 de Abril de 2016Asunción, Paraguay
Experiencias en investigaciones forenses informáticas
Agenda
• Estado del arte de los incidentes de seguridad
• Estrategias para el manejo de incidentes
• Experiencias en la gestión de incidentes de seguridad
2
Estado del arte de los incidentes de
seguridadseguridad
3
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
4
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
Incidentes de seguridad
Incidentes públicos vs. incidentes privados
- Fraudes
- Amenazas
- Sabotaje
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
5
- Sabotaje
- Robo de información
- Phishing masivos
- Ataques de DOS
Incidentes de seguridad
Desde 2012 hasta
hoy hubo más de
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
6
Fuente: www.zone-h.org
2.600 ataques
Exitosos a páginas
Web en Paraguay.
Incidentes de seguridad
Desde 2012 hasta
hoy hubo más de
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
7
Fuente: www.zone-h.org
2.600 ataques
Exitosos a páginas
Web en Paraguay.
Tendencia Actual
- Aumento de incidentes de seguridad.
- Aumento exponencial de ataques de phishing contra entidades
financieras paraguayas (incluyendo financieras y cooperativas).
Estado del arte de los incidentes de seguridad
Experiencias en investigaciones forenses informáticas
8
- Ataques de ransomware (encripción de información)
- Hacktivismo (Anonymous Paraguay)
- Origen de ataques: Redes Wifi abiertas o redes TOR
Estrategias parael manejo de el manejo de
incidentes
9
Estrategias para el manejo de incidentes
Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de seguridad
en la Organizacion, pero surge un incidente de seguridad grave.
Recomendaciones:
Experiencias en investigaciones forenses informáticas
10
Recomendaciones:
- No ocultarlo.
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
Política de Manejo de Incidentes de Seguridad Informática
Temas a tener en cuenta:
1. Detección y notificación de Incidentes de
Estrategias para el manejo de incidentes
Experiencias en investigaciones forenses informáticas
11
1. Detección y notificación de Incidentes de
Seguridad Informática
2. Rastreo de Incidentes de Seguridad Informática
3. Recolección de evidencia
4. Proceso de recuperación de los sistemas afectados
5. Proceso disciplinario
Diagrama de flujo del manejo de incidentes a nivel interno
Estrategias para el manejo de incidentes
Experiencias en investigaciones forenses informáticas
12
Experiencias en la gestión de incidentes gestión de incidentes
de seguridad
13
CASO 1: Robo de lote con datos de tarjetas de crédito
Descripción del incidente:
En abril de 2014 nos contactan de una empresa que vende tickets porinternet porque el procesador que autoriza los pagos les informó que sonpunto de compromiso, ya que se están registrando compras no reconocidasen el exterior y el sistema de prevención de fraude indica que todas las
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
en el exterior y el sistema de prevención de fraude indica que todas lastarjetas pasaron por el mismo comercio.
Se realiza una reunión de relevamiento con el procesador y la empresainvolucrada. Nos pasan la información sobre los lotes de tarjetas comprometidos para iniciar la investigación.
Se trabajó en dos líneas:- Investigar que sucedió y frenar el robo de datos.- Rastrear el origen del mismo.
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
1. Se investigó el tipo de fraude: en algunos casos era con tarjetas
clonadas y en otros era de forma no presencial (esto implicaba que se habían
robado la siguiente información: PAN, fecha de vencimiento, código de
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
robado la siguiente información: PAN, fecha de vencimiento, código de
seguridad, Track 1 y Track 2).
2. Se determinó cuales eran los sistemas que contenían esa información y se
los evaluó. Se detectaron dos sistemas internos: el Sistema de Reservas y
el Sistema de Pagos.
3. Se buscaron las tarjetas comprometidas y se
detectaron en los dos sistemas.
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
4. Se investigó el ingreso de esos datos y el retiro de los tickets y venían de
distintas fuentes: compras presenciales, compras por internet, retiro en
distintas boleterías, en los shows, etc.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
distintas boleterías, en los shows, etc.
5. Se investigaron a los usuarios internos que accedían a los sistemas y a
los administradores del sistema para determinar si estaban involucrados.
6. Se investigaron los dos sistemas internos (Reservas y Pagos) y se
detectó que todavía se estaba almacenando la información sobre las
tarjetas en plano.
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
7. Inmediatamente se realizaron las correcciones para eliminar los datos de
tarjetas y se corrigieron las aplicaciones para que no se almacenarán más
los datos.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
los datos.
8. Se evaluaron los sistemas de acceso remoto a la Empresa (vía vpn) y se
determinó que los logs de acceso se estaban almacenado solo por 30 días.
9. Del análisis de los logs vía vpn surgió el acceso remoto por parte del
proveedor que daba soporte al sistema de pagos desde direcciones IP de
Europa.
CASO 1: Robo de lote con datos de tarjetas de crédito
Metodología de Investigación:
10. Inmediatamente nos contactamos con el proveedor, el cual negó ser
quien estaba accediendo (el acceso remoto era solo con user/pass).
11. Investigando luego al proveedor, se determinó que el mismo proveedor
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
11. Investigando luego al proveedor, se determinó que el mismo proveedor
sufrió un ataque de phishing a través del cual le robaron las contraseñas de
acceso a sus clientes.
12. Se bloquearon los accesos remotos. Se cambiaron todas las contraseñas
de los sistemas de acceso remoto y se los sistemas internos.
13. Luego se implementó el acceso remoto utilizando doble factor (CD).
14. Rastreamos las direcciones IP involucradas y venían de Polonia y Estonia.
CASO 1: Robo de lote con datos de tarjetas de crédito
Resultados obtenidos:
En dos semanas de trabajo se determinó el modus operandi del ataque. Por las fechas de acceso y logs detectados se logró detectar la ventana decompromiso y se bloquearon de forma preventiva más de 72.000 tarjetasde crédito. El fraude llegó a U$S 115.000 que fue asumido por los seguros
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
de crédito. El fraude llegó a U$S 115.000 que fue asumido por los segurosde los bancos emisores.
Se logró detectar como fue el robo de datos y como se produjo y se implementaron medidas para elevar el nivel de seguridad de la Empresa.
La banda criminal que estaba involucrada en el robovenía de europa del este. Se dió aviso a las autoridadesde Polonia y Estonia (la investigación no prosperó).
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
CASO 2: Denegación de servicio
Descripción del incidente:
El viernes 20 de diciembre de 2013 una Empresa de Retail fue atacadapor un intruso que impidió la continuidad del negocio en sus casi 120 sucursales.
En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas.
Se comenzó a trabajar en dos líneas:- Volver a la operación normal.- Detección, análisis y rastreo del intruso.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
CASO 2: Denegación de servicio
Metodología de Investigación:
En relación a la vuelta a la operación normal:
1. Análisis forense inmediato de los equipos afectados.
2. Detección de programas que impedían el normal funcionamiento del2. Detección de programas que impedían el normal funcionamiento del
Sistema de Ventas.
3. Análisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicación masiva de cambios y vuelta a la operación normal.
Caso 2: Denegación de servicio
Metodología de Investigación:
En relación a la detección, análisis y rastreo del intruso:
1. Ingeniería reversa de los programas que dejó el intruso
2. Determinación de las actividades que realizó el intruso.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
2. Determinación de las actividades que realizó el intruso.
3. Detección de rastros de pruebas 4 días antes.
4. Determinación de pruebas que podrían indicar el perfil del intruso.
5. Análisis de los sistemas de acceso remoto.
6. Evaluación de las computadoras personales de los potenciales
sospechosos.
CASO 2: Denegación de servicio
Metodología de Investigación:
7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos).
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
8. Se detectó que otra computadora que contenía evidencia y seencontraba al lado del equipo de José misteriosamente fue formateada yre-instalada dos días después del incidente y en la misma se detectó elpatrón de comportamiento del intruso.
CASO 2: Denegación de servicio
Resultados obtenidos :
Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato.
De acuerdo a las características detectadas del patrón de
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José.
CASO 3: Estafa a compañía (robo de dinero)
Descripción del incidente:
Una compañía sufrió una estafa realizada por un grupo de delincuentes apuntada a los máximos directivos de la Organización, logrando que la misma realizara transferencias de dinero al exterior (China). La primera transferencia de dinero se realizó. El objeto era una adquisición secreta.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
transferencia de dinero se realizó. El objeto era una adquisición secreta.
El incidente se detectó por casualidad en el medio de la segunda transacciónpudiendo frenarla a tiempo.
Se realizó una investigación sobre como fue el modus operandi tratando de rastrear a los delincuentes.
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
1. Se evaluaron los headers de los mails falsos (venían de cuentas válidasdel mismo dominio pero tenían el Reply to a una cuenta de gmail).
2. Los intrusos también realizaron llamadas telefónicas desde un número
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
2. Los intrusos también realizaron llamadas telefónicas desde un número de celular de Israel (que resultó ser un número IP redireccionado).
3. Dentro del análisis de los encabezados se detectó que el grupo utilizó PHPmailers y Proxy para tratar de ocultar las direcciones IP orígenes reales,aunque detectamos dos dominiosque se utilizaron.
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
4. Se evaluaron las Estaciones de Trabajo de las personas que recibieronlos mails falsos con las autorizaciones para realizar las transferencias enbusca de malware o programas troyanos. No se detectó nada sospechoso.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
5. Se analizaron los logs de acceso al OWA (acceso al webmail) y sedetectaron accesos no autorizados a las cuentas de correo involucradas desde las mismas direcciones IP analizadas previamente.
6. Se analizaron las direcciones IP detectadas y la mayoría eran equipos proxy anónimos.
CASO 3: Estafa a compañía (robo de dinero)
Metodología de Investigación:
7. Se contactó al Banco de Taizhou para obtener más información sobrelos fondos de la primera transferencia y enviaron la información que alas pocas horas de la primera transferencia, el dinero se transfirió a otras 4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursales
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
4 cuentas y fue retirado en efectivo a las pocas horas, de otras sucursalesdel Banco de Taizhou en China.
8. Se investigaron los dominios utilizados y el modus operandi y es la forma en como funcionandos bandas de cibercrimen con origen en asia.
CASO 3: Estafa a compañía (robo de dinero)
Resultados obtenidos:
Se determinó que la empresa fue objeto de un ataque sofisticado que involucró robo de contraseñas, accesos no autorizados a los correos electrónicos, estudio de las personas y las formas de operación interna dela organización.
Experiencias en la gestión de incidentes de seguridad
Experiencias en investigaciones forenses informáticas
la organización.
Con la primera transferencia, la compañía perdió U$S 370.000. La segunda que se pudo frenar era de U$S 1.640.000 y la tercera que estaban preparando era de U$S 13.000.000.
Se realizó una denuncia formal en la Argentina.