Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investigaciones digitales
1. Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investigaciones digitalesDaniel Torres Falkonert daniel@paradoja.comtwitter: @bytemarehackhttp://www.lownoisehg.org
2. Agenda El entorno tecnológico Actual y Delincuencia de alta tecnología La Evolución del Malware Nuevos retos para el proceso forense en informática Conclusiones
3. Quién soy En el mundo de los computadores desde los 4 años (Gracias papá!!) En el mundo de la seguridad desde el año 96 Ingeniero de Sistemas (Uniandes) Especialista en seguridad de la información (Uniandes) Trabajo en Informática Forense desde el 2003 Mi primer computador
4. El mundo es cada vez más pequeño Las TIC (Tecnologías de la Información y la Comunicación) dan a las personas la posibilidad de crear, producir y acceder a contenidos a una escala hasta hace poco impensable. Software, textos, música, imágenes, videos, estas obras están a un click de distancia. Gracias a las TIC el ciberespacio se ha convertido en una extensión de los espacios físicos
5. Pero también tiene su lado oscuro Efectos Secundarios de la masificación de las TICs 5
17. STUXNET: Primer ciberarma? Utiliza varios ataques de día cero (zero-day) para Windows!!! Infecta sistemas de control Industrial (SCADA) Demasiado sofisticado para ser desarrollado por un grupo independiente (inclusive por una organización criminal) Firmado digitalmente con 2 certificados robados a empresas taiwanesas (Jmicron y Realtek) Se cree que es financiado por un estado. ¿Primera Ciber-arma?
44. Ransomware GPcode (2008) Gpcode es el primer malware que utiliza criptografía de alto grado Los autores piden entre $100 y $200 por el programa de descifrado. Para romper su llave encripción se necesitarían aproximadamente 15M de computadores actuales Ref: http://blogs.zdnet.com/security/?p=1259
46. Además los intrusos han cambiado sus objetivos Antes El objetivo era entrar al sistema Ahora El objetivo es mantenerse en el sistema The King One Hit Wonder
59. Phishing Hola! Usted tiene correo nuevo El usuario es atraído a hacer clic en el mensaje y, con esto iniciar la infección de su computador Cuando acceda a la entidad financiera, los datos de acceso son capturados del sistema del usuario Internet
61. Vías de difusión Las vías de difusión más habituales de esta técnica son: Correo electrónico Sistemas de mensajería instantánea Chats y foros Teléfono Fax …
72. Servicio de Robo de identidad Consigue la contraseña hotmail deseada, es tu oportunidad Averiguaquedicentus 'amigos' de ti, situ 'novia'(o) estuverdadera(o) 'novia'(o) o deseas saber algo de tusmáscercanos, estaestuoportunidad
86. Visión tradicional de la Seguridad Defender la fortaleza. Perímetros definidos Poner seguros, guardias, etc. …
87. La realidad Perímetros difusos Descentralización Participantes desconocidos Múltiples tecnologías La ciudad abierta
88. Tecnología omnipresente En el camino Trabajando De compras ♪ ContenidosDigitales Informacióncorporativa Información Personal Informacióngeográfica Juegos DVC Fuera de la ciudad TV PC Audio DVD Hogar teléfonos Todosparticipan!!! La tecnología cada vez llega a nuevos espacios
89. Conocimientos oficial de seguridad Antes Conocimiento específico del sistema No había tantas cosas que administrar El Software no era muy complejo Pocos usuarios Infraestructuras relativamente pequeñas El alcance de su trabajo era reducido Administración de servicios básicos (http, ftp, smtp) Seguridad física y lógica independientes Ahora Prácticamente Imposible conocer todas las intimidades de los sistemas actuales Miles o millones de archivos Gran variedad de servicios y funcionalidades Muchos usuarios Infraestructuras de gran escala Sistemas distribuidos Dispositivos móviles CAs, Web Services … Seguridad física y lógica codependientes
90. Conocimientos del intruso Antes Debía conocer las intimidades del sistema para poder explotarlo. Grupos de investigación aislados Difícil acceso al conocimiento No existiagoogle!!!!!!!! “YouWantit, youcodeit” Ahora Gran variedad de herramientas que utilizan el Protocolo SSF Poison IVY Hacker defender Trabajo colaborativo e intercambio/venta de información Miles de sitios con información Mercado negro de vulnerabilidades/herramientas Youwantit, googleit!!!
91. El problema es muy complejo Mientras el Oficial de seguridad debe pensar en mayor cantidad de posibles vectores de ataque, el atacante debe encontrar unas pocas vulnerabilidades para comprometer todo un sistema. Y para colmo de males…
95. El Reto: Autenticidad de la Evidencia 3 preguntas clave: ¿Se alteraron los datos? Cadena de custodia Documentación Sumas de verificación criptográficas (Sha1) ¿El programa que produjo la información es confiable? (Representación de los datos) Software aceptado por la comunidad. Software legal Otros aspectos legales ¿Se puede determinar la identidad del autor? Uso de otra evidencia circunstancial pero que lo corrobore (Cámaras de seguridad, acceso a otras cuentas, logs sistemas de control de acceso, libro de visitas, etc.)
96. Primera Respuesta Después de la detección del incidente Indagar Contaminación escena del crimen Determinar presuntos actores (informáticos) Identificar problema aparente (Clasificación del incidente) Entrevistar usuarios Definir cuales son las mejores herramientas. Iniciar cadena de custodia
97. Lectura Recomendada “Electronic Crime Scene Investigation: A Guide for First Responders” U.S. Department of Justice Office of Justice Programs National Institute of Justice Descarga: http://www.ncjrs.gov/pdffiles1/nij/187736.pdf
98. Primera Respuesta La persona que realice la primera respuesta debe entender la naturaleza de los datos a recolectar. En muchos casos solo se tiene una oportunidad de realizar el proceso. Generalmente los errores en esta fase son irreversibles!!!!
105. Dinámica de la Evidencia Es una forma de describir y entender las fuerzas que pueden actuar sobre la evidencia y los efectos que tenga sobre esta. Clasificación: Fuerzas Humanas Fuerzas Naturales
106. Dinámica de la evidencia Mover/reacomodar evidencia Apagar el sistema Interactuar con el sistema Eliminar información Reinstalar el sistema …
107. Arqueología Vs Geología La Arqueología estudia los efectos directos de la actividad humana, tal como los artefactos dejados por los antiguos pobladores de una región La Geología estudia los procesos autónomos sobre los que los humanos no tienen un control directo, como la era del hielo, los terremotos, las inundaciones o la erosión. 10/07/2011 Daniel Torres Falkonert (c) 2011 100
108. Arqueología Digital Vs Geología Digital La Arqueología digital se refiere a los efectos directos de la actividad de los usuarios, tal como los contenidos de un archivo, el tiempo de acceso, información de los archivos borrados y los registros de la red La Geología Digital se refiere a los efectos autónomos del sistema sobre los que el usuario no tiene control directo como la asignación y reutilización de bloques de disco, los identificadores de los procesos o las páginas de memoria 10/07/2011 Daniel Torres Falkonert (c) 2011 101
109. Fuerzas Humanas Los investigadores Personal de emergencia La policía La víctima El sospechoso Curiosos Personal de TI Usuarios remotos …
110. Fuerzas naturales Las más comunes: Fuego Agua El Clima El Tiempo No tan comunes pero igual afectan la E.D. Electricidad estática Campos magnéticos La ley de Murphy
111. Procesos observados Vs Procesos ejecutados 10/07/2011 Daniel Torres Falkonert (c) 2011 104
114. La fosilización digital Eliminar información es más difícil de lo que uno puede imaginarse. Una vez borrados, los datos permanecen hasta que son sobre-escritos por nuevos datos
115. ¿Qué tanto se puede llegar a recuperar? Disco duro de 400 MB que se encontraba en el transbordador Columbia. El disco era parte del sistema utilizado para un experimento científico. Se pudo recuperar el 90 % de la información.
117. Persistencia de la información A pesar que la información borrada es cada vez más y más ambigua a medida que bajamos a través de los niveles de abstracción, se puede observar que los datos son cada vez más persistentes. El reto de buscar en la basura digital, es recuperar información que está parcialmente destruida y encontrarle algún sentido que sea relevante para la investigación.
118. Recolección de la Evidencia Orden Descendente de volatilidad Tomar fotos y etiquetar los equipos involucrados Usar ropa y equipo adecuados Utilizar Medios de almacenamiento estériles Documentar
119. Tenga en cuenta Lo que finalmente se busca es ser lo menos intrusivo posible. Pero tenga en cuenta el principio científico: “Solo el echo de observar algo, de alguna manera lo cambia”
120. Consejo En el entorno corporativo todo el personal de TI debe estar entrenado para ser primer respondiente. Así la organización no realice investigaciones internas, es posible que sea necesario recolectar datos para transferirlos a una autoridad competente.
121. ¿Y qué pasa en la nube? Replanteando los procesos de investigativos 10 de julio de 2011 Daniel Torres Falkonert (cc) 2011 114
122. Nuevo Escenario, Nuevos Obstáculos No hay acceso a los dispositivos activos de la Red (enrutadores, switches, balanceadores de carga, etc) No se tiene acceso a mecanismos de seguridad diferentes al del sistema operativo de la máquina virtual. No es viable contar o generar un diagrama de la topología de la red en donde está corriendo el servicio. Una vez se apague la máquina virtual se perderá toda la información almacenada en ella, incluyendo los logs. 115
123. También nuevas ventajas Gran capacidad de procesamiento. Posibilidad de almacenar grandes conjuntos de datos Restricción de acceso a los sistemas 10 de julio de 2011 Daniel Torres Falkonert (cc) 2011 116
124. La decisión de usar un proveedor de servicios de nube debe ser analizada no solo teniendo en cuenta qué servicios presta el proveedor, sino cómo serán usados en la compañía. 10 de julio de 2011 Daniel Torres Falkonert (cc) 2011 117
133. Conclusiones En el sector privado, la mayoría de las investigaciones de incidentes informáticos en Colombia son realizadas sin la utilización de ningún tipo de metodologías Existe una Carencia de: Recursos tecnológicos Personal Capacitado Personal interno para manejar este tipo de casos Es necesario adaptar las metodologías actuales al contexto y la ley colombiana Se debe preparar la infraestructura de TI para producir evidencia admisible
134. Conclusiones Tanto el desarrollo de las TIC como el acelerado avance de las técnicas y herramientas de los delincuentes, exige darle un nuevo enfoque a las investigaciones Se debe ser consiente de los riesgos que implica no preparar al personal de la organización para enfrentarse a un incidente 127
135. Conclusiones El enfoque tradicional de la informática forense de solo investigar los discos duros es insuficiente. Empaquetamiento de ejecutables, criptografía, medios de almacenamiento cada vez más grandes, etc. Cuando el caso es de malware la respuestas que se buscan están en la memoria. En especial en ataques dirigidos (no masivos) Casi nunca es recolectada (poca gente sabe analizarla)
136. Importante Absténgase de expresar opiniones personales durante la investigación. Concéntrese únicamente en lo encontrado, es decir en los hechos, las suposiciones no tienen cabida en los resultados de un análisis científico.