Ardita Analisis Forense v2

Experiencias en Anlisis Forense Informtico
Lic. Julio C. Ardita

jardita@cybsec.com
CYBSEC S.A. Security Systems
Agenda
- Incidentes de seguridad informtica - Metodologas aplicadas - Anlisis Forense Informtico en la Argentina
Incidentes de Seguridad Informtica

Incidentes en Argentina
Ha t e n id o in c id e n t e s d e Se g u rid ad In fo rm t ic a e n e l l t im o a o ?
150% 100% 50% 0% Ao 2002 Ao 2003 Ao 2004 18% 35% 46% 20% 27% 53% 15% 42% 43%
NO SABE NO SI

Incidentes en Argentina
Cual es el origen ms comn de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0%
63% 58% 52%
Sistemas interno s
32% 23% 10% 3% 3%
30%
Internet A cceso s remo to s va mo dem Vnculo s Externo s (pro veedo res y clientes) Otro s
5% 4% 4%
4% 2% 6%
Ao 2002
Ao 2003
Ao 2004

Crecimiento de Incidentes
Source: CMU Computer Emergency Response Team 6

Durante enero y febrero de 2006 hubo ms de 400 ataques exitosos a pginas Web en Argentina.
Fuente: www.zone-h.org
http://www.zone-h.org/en/defacements/filter/filter_domain=ar

Por qu se generan ms incidentes que antes?

- Crecimiento de la dependencia tecnolgica. - Amplia disponibilidad de herramientas. - No hay leyes globales. - Internet es un laboratorio. - Falsa sensacin de que todo se puede hacer. - Gran aumento de vulnerabilidades de seguridad (5.990 nuevas en 2005 segn CERT).
8

Qu hacer ante un incidente informtico? Vale la pena investigarlo? Qu puedo lograr? Qu ofrece el Anlisis Forense Informtico?
El anlisis forense informtico se aplica una vez que tenemos un incidente y queremos investigar qu fue lo que pas, quin fue y cmo fue.
9
Metodologas Aplicadas
10

Anlisis Forense Informtico

Es la tcnica de capturar, procesar e investigar informacin procedente de sistemas informticos utilizando una metodologa con el fin de que pueda ser utilizada en la justicia.
Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia)
La Informtica Forense se encarga de analizar sistemas informticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociacin extrajudicial.
11

Metodologa utilizada
El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frgil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daos accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
12

Metodologa utilizada
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o informacin necesaria. Finalmente una vez terminada la investigacin se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
13

Metodologas Aplicadas Documentar la Escena Secuestrar voltiles? S Capturar voltiles
Es necesario Investigar ONSITE?
Investigar ON-SITE
Hacer imgenes Investigar en el Laboratorio S Volver a buscar ms

informacin?
Generar Conclusiones
14
Anlisis Forense Informtico en la Argentina
15

CASO 1: Denegacin de servicio

Descripcin del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada por un intruso que impidi la continuidad del negocio en sus casi 120 sucursales. En un anlisis preliminar de la situacin determin que un intruso haba dejado un programa que se ejecut el da viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas. Se comenz a trabajar en dos lneas: - Volver a la operacin normal. - Deteccin, anlisis y rastreo del intruso.
16


Metodologa de Investigacin:
En relacin a la vuelta a la operacin normal: 1. Anlisis forense inmediato de los equipos afectados. 2. Deteccin de programas que impedan el normal funcionamiento del Sistema de Ventas. 3. Anlisis de programas y modificaciones realizadas por el intruso. 4. Planteo de soluciones. 5. Pruebas sobre una sucursal de los cambios. 6. Aplicacin masiva de cambios y vuelta a la operacin normal.
17


En relacin a la deteccin, anlisis y rastreo del intruso: 1. Ingeniera reversa de los programas que dej el intruso 2. Determinacin de las actividades que realiz el intruso. 3. Deteccin de rastros de pruebas 4 das antes. 4. Determinacin de pruebas que podran indicar el perfil del intruso. 5. Anlisis de los sistemas de acceso remoto. 6. Evaluacin de las computadoras personales de los potenciales sospechosos.
18


7. En el equipo de Jos se detectaron varios elementos (repeticin del patrn de comportamiento del intruso por la forma en que ejecutaba los comandos). 8. Se detect que otra computadora que contena evidencia y se encontraba al lado del equipo de Jos misteriosamente fue formateada y re-instalada dos das despus del incidente y en la misma se detect el patrn de comportamiento del intruso.
19


Resultados obtenidos :
Se logr detectar la intrusin y se volvi la operacin normal en el plazo inmediato. De acuerdo a las caractersticas detectadas del patrn de comportamiento, informacin encontrada, re-instalacin de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera Jos.
20

CASO 2: Extorsin
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no hacer circular entre los Clientes de la misma informacin confidencial que haba obtenido. El intruso se comunicaba a travs de mensajes de correo electrnico y en dos oportunidades envi dos documentos de Word escritos por el.
21

CASO 2: Extorsin
1. Se investigaron los mensajes de correo electrnico enviados por el intruso y se determinaron que venan de Locutorios y/o Cybercafes. 2. En dos oportunidades el intruso realiz envos de mensajes de correo electrnico conteniendo documentos de Word. 3. Se analizaron los documentos de Word con herramientas para anlisis a nivel binario y se obtuvo informacin sobre nombres de archivos internos, fechas de creacin, unidades donde fue copiado (apareca una unidad A:) y apareca el directorio donde fue almacenado.
22

CASO 2: Extorsin
4. El usuario que apareca como Autor del documento en el anlisis era x y la Organizacin x, eso implicaba que el archivo fue generado con un Microsoft Word registrado a ese nombre. 5. Se analiz el nombre del directorio y apareci lo siguiente: C:\Documents and Settings\oalvarez\Mis documentos\ 6. Una de las personas que haban desvinculado de mala manera unos meses antes era Omar Alvarez.
23

CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los documentos con su computadora personal.
24

CASO 3: Modificacin de informacin

Un intruso ingres en la Base de Datos de personal y ejecut un script SQL que aument el sueldo en un 70% a todo el personal el da 26 de julio de 2005. Un da despus, el sistema de liquidacin gener los pagos causando graves problemas a la Organizacin. Se comenz la investigacin analizando el Servidor de Produccin de Personal.
25


1. Anlisis del Servidor UNIX de Produccin que contiene la Base de Datos. 2. Deteccin en el directorio principal del usuario Maria lo que pareca ser el script SQL que se haba ejecutado. 3. Restriccin de las PCs de los usuarios que accedieron en ese momento. 4. Evaluacin de 9 PCs de los usuarios buscando archivos creados, modificados y accedidos el da del incidente.
26


5. Se detect un solo equipo que tena archivos relevantes, el del usuario Pedro. Se detect dentro del directorio C:\temp, un archivo que contena parte del script detectado en el directorio del usuario Maria. Ese archivo fue generado por la herramienta SQLPlus. 6. Se analizaron las conexiones al Servidor UNIX de Produccin el da del incidente y se detect que el usuario Maria haba entrado desde el Servidor de Desarrollo y tuvo una sesin abierta de 3 horas. 7. Se investig el Servidor de Desarrollo y se detect que unos minutos antes de conectarse el usuario Maria al UNIX de Produccin, el usuario Pedro haba entrado a Desarrollo desde su PC.
27


- Se busc los registros de la cmara de vigilancia de la entrada del edificio y Maria se haba retirado 1 hora antes del incidente.
Servidor BD Desarrollo PC Maria 1. Entra como Pedro 2. Entra como Mara Servidor BD Produccin PC Pedro del SQLPlus. 3. Ejecuta el Script - Script en directorio Maria
- Parte del script en un archivo temporal 28


Resultados obtenidos:
Se determin que el intruso fue Pedro y que trato de incriminar al usuario Maria.
29
Conclusiones
- Los incidentes de seguridad informtica suceden y cada vez se vuelven ms complejos tecnolgicamente. - Las metodologas de anlisis forense informtico estn siendo adoptadas por las Organizaciones en sus investigaciones. - Hoy en da existen herramientas y metodologas que nos permiten poder llegar a resolver qu fue lo que pas, quin fue y cmo lo hizo.
30
Gracias por acompaarnos.

Lic. Julio C. Ardita
jardita@cybsec.com
CYBSEC S.A. Security Systems
www.cybsec.com

Ardita Analisis Forense v2

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ardita Analisis Forense v2

Transféré par

Droits d'auteur :

Formats disponibles

Experiencias en Anlisis Forense Informtico

Lic. Julio C. Ardita

CYBSEC S.A. Security Systems

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Incidentes de Seguridad Informtica

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

32% 23% 10% 3% 3%

Experiencias en Anlisis Forense Informtico

Source: CMU Computer Emergency Response Team 6

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Por qu se generan ms incidentes que antes?

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Es necesario Investigar ONSITE?

Hacer imgenes Investigar en el Laboratorio S Volver a buscar ms

Experiencias en Anlisis Forense Informtico

Anlisis Forense Informtico en la Argentina

Experiencias en Anlisis Forense Informtico

CASO 1: Denegacin de servicio

Experiencias en Anlisis Forense Informtico

CASO 1: Denegacin de servicio

Experiencias en Anlisis Forense Informtico

CASO 1: Denegacin de servicio

Experiencias en Anlisis Forense Informtico

CASO 1: Denegacin de servicio

Experiencias en Anlisis Forense Informtico

CASO 1: Denegacin de servicio

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

Experiencias en Anlisis Forense Informtico

CASO 3: Modificacin de informacin

Experiencias en Anlisis Forense Informtico

CASO 3: Modificacin de informacin

Experiencias en Anlisis Forense Informtico

CASO 3: Modificacin de informacin

Experiencias en Anlisis Forense Informtico

CASO 3: Modificacin de informacin

- Parte del script en un archivo temporal 28

Experiencias en Anlisis Forense Informtico

CASO 3: Modificacin de informacin

Experiencias en Anlisis Forense Informtico

Gracias por acompaarnos.

CYBSEC S.A. Security Systems

Vous aimerez peut-être aussi