jornada de derecho y delitos informáticos
TRANSCRIPT
La custodia y análisis forense en plataformas abiertas
Jornada de Derecho y Delitos Informáticos – Foro de Abogados de San Juan 2012
@nanomo
Caso de estudio
Caso de estudio
• Atacante, razones?
• Victima?
• Escenarios
Caso de estudio
VictimaAtacante
• Recaba información: redes sociales, entorno, comportamientos…
• Acoso• extorsión
Investigador
• Denuncia• análisis
equipamiento informático
• Evaluación de riesgos
• Tracking• Ubicación• Peritaje
equipamiento informático
Atacante: búsqueda de objetivos
Atacante
¿Cómo obtiene información de un objetivo?
Information gathering:
Google Dorks
Noticias relevantes, algo que llamó la tención de mucha gente…
Atacante: búsqueda de objetivos
Atacante
Google Dorks
filetype:php inurl:.php?*= intext:"Warning:"*(argument||sintax||columns)*"online "*
filetype:txt & intext:"email=" & intext:"pass=" & intext:"charset_test="
Atacante: búsqueda de objetivos
Atacante
Noticias relevantes
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
• Google Dorks <3
• Base de datos públicas (diarios, directorios)
• Base de datos privadas
• Herramientas automatizadas
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
• Bases de datos privadas: linkedin(7M), PSN(10M), wikileaks
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
• Herramientas automatizadas: Uso de Maltego
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
• Herramientas automatizadas: Creepy
• https://github.com/ilektrojohn/creepy/downloads
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
Google Dorks
Atacante
Atacante: objetivo encontrado, apunten, fuego!
Atacante: objetivo encontrado, apunten, fuego!
Atacante
¿Cómo obtiene información de un objetivo?
Ingeniería social:
Atacar a la víctima usando mayormente todos los sentidos posibles para engañarla buscando algún objetivo
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Características del «chamuyo»
• A mayor investigación mas oportunidad de éxito• Si el chamuyo involucra actividades o intereses, mejor.• Una planificación cuidadosa es necesaria para el éxito• La práctica de dialectos o expresiones que sea familiar a su objetivo es
esencial • El hecho de que el chamuyo sea a través del teléfono no minimiza el
riesgo en caso de una investigación• Simple• Espontáneo
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Características del «chamuyo»
• Debe parecer correcto o tener aspectos difíciles de verificar rápidamente por la víctima
• Debe conocer la inteligencia y el tipo de persona
• Proporcionar conclusión lógica
• Tenga en cuenta las leyes locales
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Medios «chamuyo»
• Online: email, redes sociales, telefonía, Skype…
• Offline: cartas, estafas piramidales, anuncios engañosos en diarios (televenta, teletrabajo…)
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Medios «chamuyo«
• Bloquear ID en celular para llamadas y SMS
• Spoof ID de llamada y SMS
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: tools
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Proyecto de estudio: http://www.social-engineer.org
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Proyecto de estudio: http://www.social-engineer.org
• Todos los vectores de ataque
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Proyecto de estudio: http://www.social-engineer.org
1) El menú de ataque de phishing se utiliza para llevar a cabo ataques de correo electrónico dirigidos contra una víctima.
2) The Social-Engineer Toolkit "Attack Web" vector es una forma única de utilizar múltiples ataques basados en Web con el fin de comprometer a la posible víctima.
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Proyecto de estudio: http://www.social-engineer.org
3) Infectious Media Generator nos permite crear medios infectados por medio de los payload de metasploit que utilizan autorun.inf file.
4) Create a Payload and Listener simplifica enormemte la creación de ficheros .exe apartir de los payloads de Metasploit y sus clientes.
5) Mass Mailer Attack nos permitirá el ataque masivo mandando correos electrónicos a múltiples víctimas y personalizar los mensajes.
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Atacante: objetivo encontrado, apunten, fuego!
Atacante
Ingeniería social: Social Engineer Toolkit (SET)
Custodia
@nanomo
Caso de estudio
Caso de estudio
Informática Forense
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional de manera que ésta sea legalmente aceptable.
Investigador
Caso de estudio
Objetivos de la Informática Forense
1. La compensación de los daños causados por los criminales o intrusos.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.
Investigador
Caso de estudio
La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recolección de evidencia computacional:
1. Al recolectar evidencia digital, las acciones tomadas, no deben alterarla.
2. Cuando es necesario que una persona tenga acceso a la evidencia digital original, esa persona debe ser un profesional forense.
Investigador
Caso de estudio
3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión.
4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que ésta esté en su posesión.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.
Características que conforman lo que llamamos «cadena de custodia»
Investigador
Caso de estudio
La evidencia digital son datos que:
1. Ayudan a reconstruir eventos pasados ubicándolos en una línea de tiempo.
2. Ayudan a determinar la posesión y manipulación de los datos digitales.
3. Muestran el uso y abuso de servicios e infraestructura de IT.
4. Muestran evidencia de uso ilegal o apropiación ilegal de datos digitales.
Investigador
Caso de estudio
Desafíos de la evidencia digital:
1. Fácil de destruir
2. Dificil de conseguir
Investigador
Herramientas
@nanomo
Caso de estudio
Áreas de desarrollo:
1. Adquisición de imagen forense en diversos formatos
2. Análisis de imagen forense, sistema de archivos, bloques no utilizados, archivos borrados, timeline de esos archivos
3. «Escarbar» los datos
Investigador
Víctima: resguardo de datos, imagen forense
Victima
Víctima: resguardo de datos, imagen forense
Investigador
Víctima: resguardo de datos, imagen forense
Proceso imaging
1. Usando caine booteamos desde la computadora a analizar2. Identificamos discos duros3. Montamos como solo lectura4. Tomamos el tamaño5. Creamos discos necesarios para guardar la imagen forense(IF)6. Formateamos el disco nuevo que contendrá la IF7. Con AIR iniciamos el proceso de imaging8. Validamos con algun hash usaremos md59. Creamos 2 copias10. A una copia la levantamos en maquina virtual
Investigador
Víctima: resguardo de datos
Victima
Proceso imaging: verificación copia de original
Víctima: data carving
Sleuth kit Forensic Suite y autopsy
Permite obtener información sobre archivos y carpetas, modificaciones a lo largo del tiempo (dependiendo del sistema de archivos y temporales, etc.)
Recuperar archivos borrados, restaurar particiones eliminadas
Generar una bitácora de lo realizado en todo el proceso
Investigador
Víctima: data carving
Sleuth kit Forensic Suite y autopsy
Investigador
Víctima: data carving
Victima
Foremost
Desarrollado por Jesse Kornblum y Kris Kendall (U.S.Air Force Office of Special Investigations),
Permite extraer archivos de formato conocido desde archivos o bases de datos sin formato aparente
Permite recuperar archivos borrados
Víctima: data carving
FOCA
Permite obtener información sobre archivos particulares para extraer metadata
Investigador
Caso de estudio
Investigador
Caso de estudio
Investigador
Caso de estudio
Investigador
¿PREGUNTAS?
@nanomo
Links• http://news.nationalpost.com/2012/07/12/gmail-hotmail-users-could-be-at-risk-after-hackers-steal-400000-
yahoo-passwords/• Maltego: https://www.paterva.com/• http://www.zdnet.com/anonymous-says-it-hacked-10m-psn-accounts-sony-disagrees-7000002695/• http://acc.icfs.uam.es/• http://www.social-engineer.org/wiki/index.php?title=Authority• http://www.spoofapp.com/• http://video.google.com/videoplay?docid=417390258297273732&ei=aWldStnXEozMqAK73oAx&q=kevin+mit
nick+last+hope#25m0s• http://www.social-
engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29• https://github.com/ilektrojohn/creepy/downloads• http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf