jornada de derecho y delitos informáticos

55
La custodia y análisis forense en plataformas abiertas Jornada de Derecho y Delitos Informáticos Foro de Abogados de San Juan 2012 @nanomo

Upload: institutoderechoinformatico

Post on 04-Jul-2015

95 views

Category:

Law


1 download

TRANSCRIPT

Page 1: Jornada de derecho y delitos informáticos

La custodia y análisis forense en plataformas abiertas

Jornada de Derecho y Delitos Informáticos – Foro de Abogados de San Juan 2012

@nanomo

Page 2: Jornada de derecho y delitos informáticos

Caso de estudio

Page 3: Jornada de derecho y delitos informáticos

Caso de estudio

• Atacante, razones?

• Victima?

• Escenarios

Page 4: Jornada de derecho y delitos informáticos

Caso de estudio

VictimaAtacante

• Recaba información: redes sociales, entorno, comportamientos…

• Acoso• extorsión

Investigador

• Denuncia• análisis

equipamiento informático

• Evaluación de riesgos

• Tracking• Ubicación• Peritaje

equipamiento informático

Page 5: Jornada de derecho y delitos informáticos

Atacante: búsqueda de objetivos

Atacante

¿Cómo obtiene información de un objetivo?

Information gathering:

Google Dorks

Noticias relevantes, algo que llamó la tención de mucha gente…

Page 6: Jornada de derecho y delitos informáticos

Atacante: búsqueda de objetivos

Atacante

Google Dorks

filetype:php inurl:.php?*= intext:"Warning:"*(argument||sintax||columns)*"online "*

filetype:txt & intext:"email=" & intext:"pass=" & intext:"charset_test="

Page 7: Jornada de derecho y delitos informáticos

Atacante: búsqueda de objetivos

Atacante

Noticias relevantes

Page 8: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

• Google Dorks <3

• Facebook

• Base de datos públicas (diarios, directorios)

• Base de datos privadas

• Herramientas automatizadas

Page 9: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

• Bases de datos privadas: linkedin(7M), PSN(10M), wikileaks

Page 10: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

• Herramientas automatizadas: Uso de Maltego

Page 11: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

• Herramientas automatizadas: Creepy

• https://github.com/ilektrojohn/creepy/downloads

Page 12: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

Page 13: Jornada de derecho y delitos informáticos

Google Dorks

Atacante

Atacante: objetivo encontrado, apunten, fuego!

Page 14: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

¿Cómo obtiene información de un objetivo?

Ingeniería social:

Atacar a la víctima usando mayormente todos los sentidos posibles para engañarla buscando algún objetivo

Page 15: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Características del «chamuyo»

• A mayor investigación mas oportunidad de éxito• Si el chamuyo involucra actividades o intereses, mejor.• Una planificación cuidadosa es necesaria para el éxito• La práctica de dialectos o expresiones que sea familiar a su objetivo es

esencial • El hecho de que el chamuyo sea a través del teléfono no minimiza el

riesgo en caso de una investigación• Simple• Espontáneo

Page 16: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Características del «chamuyo»

• Debe parecer correcto o tener aspectos difíciles de verificar rápidamente por la víctima

• Debe conocer la inteligencia y el tipo de persona

• Proporcionar conclusión lógica

• Tenga en cuenta las leyes locales

Page 17: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Medios «chamuyo»

• Online: email, redes sociales, telefonía, Skype…

• Offline: cartas, estafas piramidales, anuncios engañosos en diarios (televenta, teletrabajo…)

Page 18: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Medios «chamuyo«

• Bloquear ID en celular para llamadas y SMS

• Spoof ID de llamada y SMS

Page 19: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: tools

Page 20: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Page 21: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Proyecto de estudio: http://www.social-engineer.org

Page 22: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Proyecto de estudio: http://www.social-engineer.org

• Todos los vectores de ataque

Page 23: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Proyecto de estudio: http://www.social-engineer.org

1) El menú de ataque de phishing se utiliza para llevar a cabo ataques de correo electrónico dirigidos contra una víctima.

2) The Social-Engineer Toolkit "Attack Web" vector es una forma única de utilizar múltiples ataques basados en Web con el fin de comprometer a la posible víctima.

Page 24: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Proyecto de estudio: http://www.social-engineer.org

3) Infectious Media Generator nos permite crear medios infectados por medio de los payload de metasploit que utilizan autorun.inf file.

4) Create a Payload and Listener simplifica enormemte la creación de ficheros .exe apartir de los payloads de Metasploit y sus clientes.

5) Mass Mailer Attack nos permitirá el ataque masivo mandando correos electrónicos a múltiples víctimas y personalizar los mensajes.

Page 25: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Page 26: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Page 27: Jornada de derecho y delitos informáticos

Atacante: objetivo encontrado, apunten, fuego!

Atacante

Ingeniería social: Social Engineer Toolkit (SET)

Page 28: Jornada de derecho y delitos informáticos

Custodia

@nanomo

Page 29: Jornada de derecho y delitos informáticos

Caso de estudio

Page 30: Jornada de derecho y delitos informáticos

Caso de estudio

Informática Forense

Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional de manera que ésta sea legalmente aceptable.

Investigador

Page 31: Jornada de derecho y delitos informáticos

Caso de estudio

Objetivos de la Informática Forense

1. La compensación de los daños causados por los criminales o intrusos.

2. La persecución y procesamiento judicial de los criminales.

3. La creación y aplicación de medidas para prevenir casos similares.Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.

Investigador

Page 32: Jornada de derecho y delitos informáticos

Caso de estudio

La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recolección de evidencia computacional:

1. Al recolectar evidencia digital, las acciones tomadas, no deben alterarla.

2. Cuando es necesario que una persona tenga acceso a la evidencia digital original, esa persona debe ser un profesional forense.

Investigador

Page 33: Jornada de derecho y delitos informáticos

Caso de estudio

3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión.

4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que ésta esté en su posesión.

5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.

Características que conforman lo que llamamos «cadena de custodia»

Investigador

Page 34: Jornada de derecho y delitos informáticos

Caso de estudio

La evidencia digital son datos que:

1. Ayudan a reconstruir eventos pasados ubicándolos en una línea de tiempo.

2. Ayudan a determinar la posesión y manipulación de los datos digitales.

3. Muestran el uso y abuso de servicios e infraestructura de IT.

4. Muestran evidencia de uso ilegal o apropiación ilegal de datos digitales.

Investigador

Page 35: Jornada de derecho y delitos informáticos

Caso de estudio

Desafíos de la evidencia digital:

1. Fácil de destruir

2. Dificil de conseguir

Investigador

Page 36: Jornada de derecho y delitos informáticos
Page 37: Jornada de derecho y delitos informáticos
Page 38: Jornada de derecho y delitos informáticos
Page 39: Jornada de derecho y delitos informáticos
Page 40: Jornada de derecho y delitos informáticos
Page 41: Jornada de derecho y delitos informáticos

Herramientas

@nanomo

Page 42: Jornada de derecho y delitos informáticos

Caso de estudio

Áreas de desarrollo:

1. Adquisición de imagen forense en diversos formatos

2. Análisis de imagen forense, sistema de archivos, bloques no utilizados, archivos borrados, timeline de esos archivos

3. «Escarbar» los datos

Investigador

Page 43: Jornada de derecho y delitos informáticos

Víctima: resguardo de datos, imagen forense

Victima

Page 44: Jornada de derecho y delitos informáticos

Víctima: resguardo de datos, imagen forense

Investigador

Page 45: Jornada de derecho y delitos informáticos

Víctima: resguardo de datos, imagen forense

Proceso imaging

1. Usando caine booteamos desde la computadora a analizar2. Identificamos discos duros3. Montamos como solo lectura4. Tomamos el tamaño5. Creamos discos necesarios para guardar la imagen forense(IF)6. Formateamos el disco nuevo que contendrá la IF7. Con AIR iniciamos el proceso de imaging8. Validamos con algun hash usaremos md59. Creamos 2 copias10. A una copia la levantamos en maquina virtual

Investigador

Page 46: Jornada de derecho y delitos informáticos

Víctima: resguardo de datos

Victima

Proceso imaging: verificación copia de original

Page 47: Jornada de derecho y delitos informáticos

Víctima: data carving

Sleuth kit Forensic Suite y autopsy

Permite obtener información sobre archivos y carpetas, modificaciones a lo largo del tiempo (dependiendo del sistema de archivos y temporales, etc.)

Recuperar archivos borrados, restaurar particiones eliminadas

Generar una bitácora de lo realizado en todo el proceso

Investigador

Page 48: Jornada de derecho y delitos informáticos

Víctima: data carving

Sleuth kit Forensic Suite y autopsy

Investigador

Page 49: Jornada de derecho y delitos informáticos

Víctima: data carving

Victima

Foremost

Desarrollado por Jesse Kornblum y Kris Kendall (U.S.Air Force Office of Special Investigations),

Permite extraer archivos de formato conocido desde archivos o bases de datos sin formato aparente

Permite recuperar archivos borrados

Page 50: Jornada de derecho y delitos informáticos

Víctima: data carving

FOCA

Permite obtener información sobre archivos particulares para extraer metadata

Investigador

Page 51: Jornada de derecho y delitos informáticos

Caso de estudio

Investigador

Page 52: Jornada de derecho y delitos informáticos

Caso de estudio

Investigador

Page 53: Jornada de derecho y delitos informáticos

Caso de estudio

Investigador

Page 54: Jornada de derecho y delitos informáticos

¿PREGUNTAS?

@nanomo

Page 55: Jornada de derecho y delitos informáticos

Links• http://news.nationalpost.com/2012/07/12/gmail-hotmail-users-could-be-at-risk-after-hackers-steal-400000-

yahoo-passwords/• Maltego: https://www.paterva.com/• http://www.zdnet.com/anonymous-says-it-hacked-10m-psn-accounts-sony-disagrees-7000002695/• http://acc.icfs.uam.es/• http://www.social-engineer.org/wiki/index.php?title=Authority• http://www.spoofapp.com/• http://video.google.com/videoplay?docid=417390258297273732&ei=aWldStnXEozMqAK73oAx&q=kevin+mit

nick+last+hope#25m0s• http://www.social-

engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29• https://github.com/ilektrojohn/creepy/downloads• http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf