• No se han encontrado resultados

Auditorias Especiales en SI I S R A E L R O S A L E S M A R C O. I N G, C E H, A S I C

N/A
N/A
Info
Descargar
Protected

Academic year: 2022

Share "Auditorias Especiales en SI I S R A E L R O S A L E S M A R C O. I N G, C E H, A S I C"

Copied!
44
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 44 página )

Texto completo

(1)

I S R A E L R O S A L E S M A R C O . I N G , C E H , A S I C

Auditorias Especiales en SI

(2)

Respuesta a Incidentes de Seguridad

Los incidentes ocurren porque las vulnerabilidades no son resueltas debidamente

Idealmente se debe crear un equipo de respuesta a incidentes de seguridad informáticos (CSIRT) /

equipo de respuesta de emergencias informáticas CERT.

Ambos deben difundir alertas de seguridad, directrices de seguridad, actualizaciones.

(3)

CSIRT

El Auditor de SI debe:

- Asegurar que el equipo CSIRT esté participando activamente con los usuarios para ayudarlos en la mitigación de riegos.

- Asegurar que haya un plan formal documentado que contenga identificación de vulnerabilidades, reporte y procedimientos de respuesta a

amenazas o problemas comunes:

(4)

CSIRT

Epidemias de Gusanos.

Alteración de páginas Web (Defacements)

Notificaciones de abuso de servicios

Alertas en los IDSs

Malware y troyanos detectados en PCs.

Investigaciones Pre-Forenses.

(5)

Cómputo Forense

Ciencia que permite:

Identificar, preservar, analizar y presentar evidencia digital en forma aceptable en un proceso legal.

Existen dos tipos de investigación en informática forense:

- - Investigación Legal

- - Investigación Casual

(6)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE

Ámbito Legal .- Bolivia y Paraguay son los dos únicos

países en Latinoamérica que no cuentan con una ley para delitos informáticos tipificados. El Código Penal está

obsoleto en relación con la sociedad de la información.

Actualmente sólo se cuenta con un proyecto de ley para transacciones electrónicas: PROYECTO DE LEY DE

DOCUMENTOS, FIRMAS Y COMERCIO ELECTRÓNICO La puesta en vigencia de esta ley, apoyaría en gran medida la

investigación forense y el peritaje informático

(7)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Delitos Informáticos .- Los delitos informáticos se manifiestan en dos sentidos: como delitos de resultado (directos) y como

delitos de medio (indirectos).

Listas de Peritos.- El Poder judicial en Bolivia debía contar con una lista de peritos para ser asignados a determinados casos, según especialidad, tal cual lo hacen los demás países en

Latinoamérica

El Código de Procedimiento Penal anula el valor de toda prueba que haya sido conseguida con un procedimiento ilícito.

(8)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Ámbito Académico

A nivel Internacional

Si bien aún no existen maestrías en el campo de informática forense a nivel internacional.

Existen las siguientes certificaciones:

ENCE (EnCase Certified Examiner) de Guidance Software.

ACE(AccessData Certified Examiner).

CFEC (Computer Forensic External Certification), de IACIS.

CCCI (Certified Computer Crime Investigador), nivel básico y avanzado, de HTCN, ofrece diversas certificaciones en la línea forense en informática.

CHFI (Computer Hacking Forensic Investigator), de EcCouncil.

CFE (Certified Fraud Examiner), de Association of Certified Fraud Examiners – ACFE.

GCFA(GIAC Certified Forensics Analyst), de SANS.

CFCE (Certified Forensic Computer Examiner), de International Association of Computer Investigative Specialists – IACIS.

CCE (Certified Computer Examiner) de International Society of Forensic Computer Examiners – ISFCE.

CCFT (Certified Computer Forensic Technician) de High-Tech Crime Network – HTCN.

CCFI (Certified Computer Forensic Investigator) de Regius Security.

(9)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

A nivel Nacional

Si bien aún no existen maestrías ni diplomados en el

campo de informática forense a nivel Nacional. Existen las siguientes certificaciones:

FCA (Forensic Computer Advisor), de YANAPTI. Desde el año 2007.

CCFP (Profesional Certificado en Informática Forense) por COSIM – Ti, desde el año 2009.

(10)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Ámbito Tecnológico

Hardware forense a nivel internacional

- Duplicador forense de Discos Duros – TD1, de Tableau.

- Conversor SATA y Bloqueador forense contra escritura – T8, de Tableau.

- Acelerador de hardware forense – TACC, de Tableau.

- Línea Fastbloc, de EnCase.

- Y muchos otros más

Hardware forense a nivel nacional

- En Bolivia tan sólo se cuenta con los dispositivos de duplicado forense para discos duros (TD1), desde 2008.

- Dispositivo forense conversor SATA con bloqueo contra escritura (T8), desde 2008.

- Estación Forense, adquirida por Yanapti (2008).

- Neutrino también por Yanapti

- Sim card Seizure y Strong Hold de Paraben Corporation . Adquirido por Cosim Ti

- UFED de Cellebirte para celulares

- Otros de utilidad.

(11)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Software forense a nivel internacional

EnCase, de Guidance Software.

Forensic Tool Kit – FTK, de Access Data.

Helix 2.0, de E-fense. Distribución Libre.

Caine, Distribución Libre.

WinHex, de x-ways Software Technology AG.

Software forense a nivel Nacional

EnCase, desde Octubre 2008 Yanapti representante oficial en Bolivia.

Helix 2.0, de libre descarga en Internet. Yanapti como

Autoridad Certificadora de autenticación de copias en Bolivia.

(12)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Laboratorios a Nivel Internacional

En Sur América, Colombia tiene los mejores laboratorios para el análisis de evidencia digital, certificados con la ISO 17025.

Chile, Argentina y Brasil cuentan con salas blancas/limpias clase 100, para la recuperación de datos.

Laboratorios a Nivel Nacional

En Bolivia, Yanapti posee el único laboratorio equipado para realizar análisis forense de equipos electrónicos.

(13)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Consorcios de informática forense a nivel internacional

En Europa está presente el INTERNATIONAL

ORGANIZATION OF COMPUTER EVIDENCE –IOCE

En EEUU, se encuentra NIST (National Institute of Standards and Technology)

Asia presenta el ISFS, Information Security and Forensic Society

En Latinoamérica, el mayor referente en informática forense es el profesor Jeimy J. Cano

(14)

ESTADO DEL ARTE RELACIONADO CON INFORMÁTICA FORENSE - Cont.

Investigación Forense

- Investigación Legal

- Investigación Casual (Interna-Administrativa)

(15)

Informática Forense

Se divide en dos grandes fases.

1.- Tratamiento de la escena del hecho 2.- Análisis de evidencia digital.

(16)

Adquisición de Evidencia

Apagar el equipo???

En que situaciones no es recomendable desconectar el poder inmediatamente?

Cuando esta activo:

1.- Chat

2.- Documentos abiertos

3.- Almacenamiento remoto de datos 4.- Pornografía Infantil

5.- Contrabando

6.- Documentos financieros 7.- Encriptación de datos

8.- Actividades obviamente ilegales

(17)

En la Opcion de No apagar

Volcado de memoria principal (dumpeo de RAM)

Adquisición de memoria volátil con Helix 2.0 sobre Windows.

(18)

Generación de imágenes

Proceso para obtener copia bit a bit (raw) de datos para evitar daños a los datos “originales”.

Nota.- Hacerlo con herramientas forenses NO DE SOPORTE TÉCNICO.

El propósito es obtener datos residuales - File Slack y Archivos eliminados – Unallocated File Space

Duplicación sector por sector.

(19)

Análisis forense

Los puntos periciales generalmente pueden girar entorno a las Políticas de seguridad de acceso al computador:

- Eventos del sistema: AppEvent.evt, SysEvent.evt, SecEvent.evt.

- Virus y troyanos de acceso remoto instalados.

- Archivo hosts de los drivers de Windows para verificar Pharming.

- Archivos Temporales, cookies, caché

(20)

Técnicas Anti-forenses

Desfragmentación

Degaussers

Esteganografía (DEMO)

Borrado seguro

Formateo de bajo nivel

Navegación anonima

- Software Proxy

- En línea: “anonymouse.org”

- Aplicaciones tipo TOR

(21)

Reporte Computo Forense

El auditor de SI debe escribir por qué se revisó el sistema, cómo se revisaron los datos de la

computadora y que conclusiones se hicieron de este análisis.

(22)

Metas del reporte

Describir con precisión los detalles de un incidente.

Ser comprensible para los que toman las decisiones.

Ser capaz de resistir una andanada de escrutinios legales

No ser ambiguo y no ser abierto a las malas interpretaciones.

Ser facilmente tomado como referencia.

Contener toda la información requerida para explicar sus conclusiones.

Ofrecer conclusiones válidas, opiniones o recomendaciones cuando sea necesario.

Ser creado en forma oportuna.

(23)

FACEBOOK UN PELIGRO???

A través de los indexadores de Google y otros

buscadores se puede acceder a información privada de cuentas Facebook u otras redes sociales.

Datos obtenidos de Facebook ayudan al phishing.

(Video)

Las redes sociales son ideales para coleccionistas de perfiles.

(24)

Falta de Documentación

NO existen estándares ni ISOs para informática forense.

RFC3227 que es lo más cercano a una ISO en el

orden jerárquico. Sin embargo esta RFC nos indica simplemente el orden de volatilidad

(25)

Que procedimientos seguir?

Método del Octágono. Método basado en “La Autopsia” del Dr. Jorge Núñez de Arco.

Método de las 6Rs.

Ambas concebidas por Cosim – Ti y Yanpati

(26)

Método del Octágono

Protección Evaluación

Fijación

Rastreo

Reconocimiento Hipótesis

Colecta Cadena de

Custodia

(27)

Etapa 1. Protección de la escena del hecho

Objetivo.-

Conservar la escena en su forma primitiva Resumen.-

Tras la sospecha de incidente, Llegar con rapidez a la escena de los hechos.

Detener al presunto autor (físicamente) Acordonar el lugar del hecho

No mover ni tocar nada

Fotografiar el estado del monitor Protección inalámbrica

Prestar auxilio a la victima

a) Desconectar el equipo b) Dumpeo de RAM Tomar declaración voluntaria a los testigos

Registrar fecha y hora exacta (UTC), Hora de Bolivia. Referencia -Observatorio Astronómico de Santa Ana en Tarija

Seleccionar las áreas por donde se debe caminar

(28)

Etapa 1. Protección de la escena del hecho

Recomendación

- SINCRONIZAR la hora con relojes atómicos de Internet (UTC-4, en lugar de GMT-4).

- Inhibidores inalámbricos (Jammers)

(29)

Etapa 2. Evaluación

Objetivo.- Observar el tipo de escena para determinar posibles otros objetivos del atacante.

Resumen

Seleccionar las áreas para el desplazamiento de los peritos y el fotógrafo.

Asegurarse que no hay otras escenas asociadas al área investigada y protegida

Localizar las evidencias asociadas al hecho para la señalectica.

Calificar si el tipo de escena es cerrada, abierta o mixta.

(30)

Etapa 2. Evaluación

Recomendación

- Scanning de host vivos y Sniffing (Pasivo).

Herramienta recomendada - Wireshark embebido en HELIX

- Utilizar la indumentaria HAZMAT (para escenarios con sustancias)

- Contar con una linterna

(31)

Objetivo.- Registrar de manera confiable el o los hechos

producidos, de forma tal, que permita el estudio posterior, o la reconstrucción en una época alejada de la ocurrencia.

Resumen.-

La fijación se realiza en 4 fases.

Narración de la escena de los hechos.

Fijación con fotografía, ó video grabación.

Señalectica, CODIFICACION PROPIA

Fijación Planimétrica, en sus formas de planta o abatimiento.

Etapa 3. Fijación

(32)

Etapa 3. Fijación - Cont.

Recomendación Mínima.-

- Reglas de medición forense, utilizar stickers adhesivos para señalar los medios.

- Caracterizar los medios en base a datos del fabricante:

No descuidar la identificacación y caracterización de los cables

(33)

Etapa 3. Fijación - Cont.

No obviar la señaléctica. No hay muestreo, la colecta es al 100% de lo fijado

(34)

Etapa 3. Fijación

Recomendación

- Utilizar reglas de medicion

- Utilizar nuestra propia rubrica

- Etiquetar computadoras, cables de poder y cables de coneccion.

(35)

Etapa 4. Rastreo de evidencias o indicios

Recolectar elementos identificados como concurrentes al hecho.

En el sitio del suceso pueden encontrarse discos duros externos en racks, memorias, dvds, CDs, blu-ray, disketes, elementos potencialmente utilizados para causar ataques como dispositivos de hacking, wire-tapps, rogue acces points, keyloggers físicos, duplicadores de disco, degaussers, electroimanes, antenas caseras, celulares, PDAs (Personal Digital Assistant), discos ZIPs, GPSs (Global Positioning System), agendas electrónicas, impresoras

matriciales, pen drives, otros documentos, cartas, etc., Recomendación.-

La copia bit a bit puede ser realizada de dispositivo a dispositivo, utilizando Software forense: Helix, WinHex, EnCase. O mediante hardware con TD1

(36)

Etapa 4. Rastreo de indicios – Cont.

Aplicación de T8 (bloquear escritura – izq.) y TD1 (duplicar origen – der.)

(37)

4. Rastreo

Copia imagen de disco duro comprometido

Hash de disco origen. SHA-256:

C71CE8C5CB27E07A0357847D54F2C9EF0202C63569291214CF0F4 AF29FC20BEA

Hash de file destino. SHA-256:

C71CE8C5CB27E07A0357847D54F2C9EF0202C63569291214CF0F4 AF29FC20BEA

CRC32: 41D787A4

MATCH

(38)

Etapa 5. Reconocimiento

Objetivo.-

Examen técnico del equipo comprometido y/o medio de ataque.

(TANATOLOGIA) Resumen.-

Determinar si el objetivo de ataque fue a/por:

Procesamiento

Almacenamiento

Transmisión

(39)

Etapa 5. Reconocimiento – Cont.

Recomendación.-

Fotografiar el BIOS setup (booteando la PC comprometida SIN DRIVES)

Aplicar método deductivo

Entrevistas aclaratorias.

(40)

Objetivos.- Elaborar una primera interpretación dinámica de cómo ocurrieron los hechos. MODUS OPERANDI

Resumen.-

¿Quién?

¿Cuándo?

¿Qué?

¿Dónde?

¿Cómo?

¿Con qué?

Ejemplo:

“Un usuario interno a las 02:00 hrs. realiza un acceso indebido a la Base de Datos centralizada en el servidor principal de producción a traves de la red local con privilegios de Administrador DB…”

Etapa 6. Primera Hipótesis

(41)

Objetivo.- Separar y empacar la evidencia de manera confiable e integra, tanto de manera digital como física.

Resumen.-

Aplicar algoritmos de hashing a evidencias y duplicados ->

MATCH.

Embalar físicamente la evidencia para su manejo y traslado a las instalaciones de BÓVEDA (ó fuerzas del orden), en Bolivia Fiscalía o FELCC

Paso 7. Colecta, embalaje y

transporte

(42)

Recomendación.-

Usar guantes/alfombras/spry antiestáticos

Guardar el disco duro y medios cada uno en el mismo envase que el fabricante.

Hashear medios con algoritmo SHA2 o superior. ->

64 Dig. Hex, 256 Bits, 32 carac.

Adjuntar sobres de sillica gel al envase del disco duro para evitar condensación por humedad.

Cubrir el envase con bolsas antiestáticas, burbujas antigolpes y si es posible antifuego (ignífugas).

Firmar también los sobres

Colectar incluso los cables y adaptadores de poder.

Paso 7. Colecta y embalaje – Cont.

(43)

Paso 8. Cadena de custodio

Objetivo.- Garantizar la autenticidad de los elementos probatorios recolectados y examinados.

a. La ruta seguida por las muestras, documento y oficios.

b. Las personas responsables que intervienen en la Cadena de Custodia.

c. Los procedimientos de transferencia y cambio de Custodia.

d. Los tiempos de permanencia y los sistemas de seguridad en cada eslabón.

e. Los lugares de permanencia de la evidencia física.

Recomendación.- Actas Físicas y Lógicas

(44)

Referencias

Descargar ahora ( PDF - 44 página - 1.12 MB )

Documento similar

H I S T O R I A R L A D A N Z A

El cuerpo femenino debía proyectarse en escena sin pretender serlo, al menos no como se había representado en la danza hasta el momento: dirigido por y hacia la mirada masculina

C O N S I D E R A N D O

Derivado del proceso de mejora administrativa en el procedimiento para integrar la Lista de personas que pueden fungir como peritos ante los órganos del Poder Judicial de

C O N S I D E R A N D O:

III. Deberán estar impermeabilizadas en su interior y en los muros colindantes con las fachadas y pasillos de circulación atendiendo lo que para tal efecto determine la

C O N S I D E R A N D O

Establecer las disposiciones operativas, administrativas y disciplinarias a las que deberá sujetarse el personal de la Secretaría, de acuerdo a lo establecido en la Ley General del

EDICIÓN FEBRERO DE Cons uyendo. tejido. social. Antioquia Integrando para el desarrollo

En consecuencia, hemos recorrido un camino l i d e r a n d o l a c o n f o r m a c i ó n d e r e d e s colaborativas solidarias en los territorios en los que

A S E S O R Í A Y A S I S T E N C I A J U R Í D I C A

En virtud de ello, han sido innumerables los convenios suscritos dentro de ese marco legal, con el fin de crear lazos comunes para regular las relaciones entre los

M A N U A L D E D E R E C H O S Y O B L I G A C I O N E S D E C O R R E D O R E S

Categoría C: normativa correspondiente a los sistemas de negociación electrónicos de instrumentos de renta fija (IRF) e intermediación financiera (IIF) de la

Script-O.V.A.: diseño, desarrollo e implementación de un objeto virtual de aprendizaje como mediación tecnológica en la producción textual a partir del uso de escritura creativa.

De manera preliminar y durante el proceso exploratorio en la elección del tema problema para este trabajo de profundización, se observó que dentro de las prácticas de