juan carlos reyes
DESCRIPTION
Una Realidad Cercana Una Realidad Cercana Juan Carlos Reyes Mu Juan Carlos Reyes Muñ ñoz oz – – [email protected] [email protected] Agenda • Conceptualización • Justificación de la Necesidad en Seguridad de la Información • Entendiendo las amenazas • Definición de los Ataques • El Impacto • Los Crímenes por ComputadoraTRANSCRIPT
FRAUDES INFORMATICOSFRAUDES INFORMATICOSUna Realidad CercanaUna Realidad Cercana
Juan Carlos Reyes MuJuan Carlos Reyes Muññoz oz –– [email protected]@seltika.com
Agenda
• Conceptualización• Justificación de la Necesidad en Seguridad de la Información• Entendiendo las amenazas• Definición de los Ataques• El Impacto• Los Crímenes por Computadora
Conceptualización
• Seguridad Informática vs. Seguridad de la Información
• Los Asuntos de Seguridad de la Información han sido:– Un Problema Técnico– Afecta sólo al departamento de IT– Un Costo– Acción Táctica centrada en la práctica– Una meta de supervivencia
• Ahora son:– Un Problema de Negocio– Afecta a toda la organización– Una Inversión– Administrados estratégicamente, orientados a proceso– Una meta de continuidad de operación
Justificación de la Necesidad
• Amenazas a la Información– Empleados Descontentos– Baja Concientización– Crecimiento de Redes– Efectividad del Malware– Falta de contingencias– Falta de Políticas– Desastres Naturales
• El hacking trasciende de lo académico al delito y al terrorismo, generando Nuevas tendencias de ataque en constante desarrollo
• Protección de la Infraestructura• Confianza creciente en los sistemas de información
El Riesgo (Informático) – Motivo vs. Oportunidad
• Resultado concreto de que un AMENAZA se produzca a consecuencia de haberse explotado una VULNERABILIDAD, habiendo producido además un costo por el impacto de dicho evento.
Plano Informático
RIESGO = AMENAZA X VULNERABILDAD = COSTO
Motivo
Oportunidad
Intereses Personales
Escalas de oportunidad
Consumidores / Usuarios
Usuarios Internos y EmpleadosMayor Oportunidad
NoConsumidores
Menor Oportunidad
Tres perspectivas para el análisis del fraude
• Como vimos en el slide anterior,– Perspectiva Interna– Perspectiva del Usuario Consumidor– Perspectiva Externa (Ajena)
• Cada perspectiva tiene su motivación y su oportunidad, dada en amenazas, riesgos y facilitadores
• Tenga en cuenta los Tres Actores de la Seguridad
Tipos de Amenazas Informáticas
• Virus• Caballos de Troya• Explotación de Vulnerabilidades, tanto a nivel de host como a nivel de
arquitectura de red (vulnerabilidades de la seguridad perimetral)• Explotación de la información sensible que es involuntariamente expuesta• Explotación de vulnerabilidades en protocolos de comunicación• Falsificación de Identificaciones (biométricas, de autenticación o de
encabezados de paquetes)• Robo de información confidencial• Violación a la Privacidad• Ingeniería social (particularmente peligrosa)• Trashing (también)• Network Diving (wireless)
Entendiendo las Amenazas
• Las redes actuales permiten la conectividad de un gran número de usuarios.
• Aumento de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.
• Se puede modelar el sistema como un flujo de información desde una fuente (un archivo, usuario, sistema, etc.) a un destino (otro archivo, usuario, sistema, etc.).
Entendiendo las Amenazas
• Interrupción– Parte del sistema queda destruido o
no disponible.– Destrucción hardware o software,
corte de una línea de comunicación.
• Intercepción– Una entidad no autorizada accede a
parte de la información .– Interceptación de una línea
telefónica, copia ilícita de archivos, intercepción vía radio comunicaciones móviles.
Entendiendo las Amenazas
• Modificación– Una entidad no autorizada
accede a parte de la información y modifica su contenido.
– Alteración de archivos dedatos, alteración de programas, modificación
de mensajes trasmitidos por la red.
• Fabricación– Una entidad no autorizada
envía mensajes haciéndosepasar por un usuario legítimo.
Mayor nMayor núúmero de mero de usuarios, musuarios, máás s
aplicaciones y maplicaciones y máás s dispositivos para dispositivos para
acceder a la acceder a la informaciinformacióónn
Mientras mas avanza Mientras mas avanza la tecnologla tecnologíía, los a, los
ataques se vuelven ataques se vuelven mmáás sofisticados y s sofisticados y
destructivosdestructivos
La protecciLa proteccióón de las n de las estaciones de trabajo estaciones de trabajo se vuelve compleja se vuelve compleja por la diversidad de por la diversidad de
sistemas operativos y sistemas operativos y cantidad de equiposcantidad de equipos
Las organizaciones Las organizaciones requieren de mayor requieren de mayor
conectividad y poseen conectividad y poseen estructuras mestructuras máás s
complejas. Uso de complejas. Uso de Internet como medioInternet como medio
Los Virus
• Código Malicioso• Usualmente buscan causar daño• Han evolucionado hasta el punto de “Gusanos”• Son de fácil propagación• Requieren la intervención del Usuario (consciente o inconscientemente)
Caballos de Troya
• Buscan intercambiar información• Generalmente sirven para espiar• Son difíciles de detectar• Rootkits
Explotación de Vulnerabilidades
• Vulnerabilidades en la codificación de programas, principalmente.• Vulnerabilidades en la arquitectura de red (falta de elementos de seguridad
perimetral o explotación de los hosts que los contienen)• Buffer overflow, format bug, sql injection• La seguridad es una cadena que se rompe por el eslabón más débil.
Información Sensible
• Los programas a veces utilizan usuarios y claves estáticas, preconfiguradas, diferentes a las utilizadas para autenticación
• Los servidores web proporcionan información propia del sistema• La falta de manejo de errores en los programas abre la puerta a
proporcionar información• Los servicios disponibles proporcionan información• Es un factor básico para la planeación de un ataque
EA
DFA
C
B
SA
O
U
J
Robo de Información Confidencial
• Utilizar troyanos para visualizar información confidencial• Monitorear tráfico de la red (sniffing)• No todo es digital:• Robo de printouts• Revisar “por encima del hombro”• Extracción de documentos• VoIP…
Wireless
• Auge de las redes inalámbricas• Se olvidan del espectro… y que los muros no lo detienen• Existen técnicas para acceder sin autorización a las redes inalámbricas• Internet Forwarding (qué qué??)• Existen sitios web dedicados a ofrecer información de Access Points
vulnerables…• Rogue AP
Trashing
• Se pierde el control de lo que se bota.• En la vida real, se puede desechar documentación importante, con
información sensible.• No solo se desecha documentación…• En el mundo digital, es todo lo que va a /tmp o a windows/temp ☺• Archivos de auto recuperación (editores de texto, especialmente)
Ingeniería Social
• Los componentes: Amor y Confianza y Confidencia• Todo el mundo busca ser amado. Es la llave de la ingeniería social• Se puede recolectar mucha información con solo construir una relación de
confianza.• Las debilidades: personas que buscan ser siempre serviciales, no importa
con quien. El orgullo, enseñar a otros lo que saben• Caras vemos…
Falsificación de Identificaciones
• Difícil, pero no imposible• Ingeniería reversa de elementos de autenticación• Romper códigos o “desencriptar” información• Predicción de las secuencias de IP• Falsificación de las cabeceras de los paquetes
Phishing
• Es una forma de Ingeniería Social y se le conoce al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas, información de tarjetas de crédito, entre otros.
• El método utilizado con más frecuencia en los casos de phishing masivo consiste en el envío de mensajes que simulan ser enviados por alguien sobre quien en teoría confiamos y donde se nos informe que, por cualquier circunstancia, es preciso revelar nuestra contraseña de usuario o bien "verificar" nuestros datos rellenando un formulario..
Pharming
• Phishing basado en troyanos• Se trata de una táctica fraudulenta que consiste en cambiar los contenidos
del DNS ya sea a través de la configuración del protocolo TCP/IP o del archivo "hosts" del ordenador o "%systemroot%/System32/Drivers/etc/lmhosts“, de manera que la victima acceda a paginas y servidores falsificados pensando que son los auténticos.
E
A DFA
CB
SA
O
U
J
Pérdida de Beneficios
Deterioro de la confianza de los
inversores
Daños en la reputación
Datos comprometidos
Interrupción de los procesos de
Negocio
Daños en la confianza de los
clientesConsecuencias
legales
Qué es el Crimen por Computadora?
• Alterar, dañar, borrar, o utilizar datos electrónicos para ejecutar un esquema de fraude, engaño, extorsión u obtención de dinero, propiedades, o datos; utilizando servicios de computadora sin permiso, interrumpiéndolos, asistiendo a otros en el acceso ilegal a sistemas de cómputo o introduciendo contaminantes en un sistema o una red. (California Penal Code, Sect. 502)
• Cualquier violación de las leyes, que involucre el conocimiento de la tecnología para su perpetración, persecución e investigación (DoJ)
• Dos conceptos: Computer Crime y Computer Related Crime (10th U.N. Congress)
Qué es el Crimen por Computadora?
• Computer Crime:– Cualquier comportamiento ilegal realizado mediante operaciones electrónicas
cuyo blanco es la seguridad de los sistemas de cómputo y/o los datos procesados en ellos
• Computer Related Crime:– Cualquier comportamiento ilegal cometido mediante, o en relación a, un sistema
de cómputo o una red; incluyendo crímenes como posesión ilegal y oferta o distribución de información por medio de un sistema de cómputo o una red.
Categorización de los Crímenes
• Acceso no autorizado• Daño a computadores o programas (software)• Sabotaje digital• Intercepción no autorizada de comunicaciones• Espionaje digital• Creación, distribución, utilización y acceso ilegal de datos almacenados en
computadores
Violentos o Potencialmente
• Cyber-terrorismo (Terrorismo planeado, coordinado o cometido en el cyberespacio)
• Asalto por amenaza (Amenazas enviadas por e-mail, o amenazas en razón de una bomba lógica)
• Cyber-acecho (Hostigamiento, amenazas físicas escalables a la vida real)
• Pornografía Infantil (Creación, distribución y acceso)
No Violentos
• Cyber-Infracciones (Accesos no autorizados, típicamente sin daño en los datos)
• Cyber-Robo– Malversación (Dinero o propiedades, con acceso al sistema)– Apropiación ilegal (Dinero o propiedades, sin acceso al sistema)– Espionaje Industrial– Plagio– Piratería– Robo de identidades– Envenenamiento de DNS caché
• Cyber-Fraude (falsedad para la obtención de un valor o beneficio)
No Violentos
• Crímenes por computador destructivos– Hacking + Borrado o alteración de datos– Web Defacement– Virus o código malicioso en computadores y redes– Ataques de denegación de servicio
• Otros crímenes por computador– Prostitución, apuestas, venta de narcóticos, lavado de activos, contrabando;
todo por Internet.
Legislación Actual
• Artículo 195 C.P.– “El que abusivamente se introduzca en sistema informático protegido con
medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa”
• Art. 192 y 194 C.P.– Sustracción, ocultamiento, extravío, destrucción, interceptación, control o
impedimento de comunicaciones privadas y de carácter oficial• Daño en Bien ajeno (Art. 265)• Sabotaje (Art. 199)• Daño en instrumento necesario para la producción, distribución de materia
prima producto agropecuario o industrial (Art. 304)• Falsedad de Documento Electrónico (Art. 294)• Let 527 de 1999 (Comercio Electrónico)• Ley 603 de 2000 (Antipiratería)
Evolución del Delito Informático
Interés Académico y Personal
Hasta 1997
Poca Seguridad PerimetralInicio de redes de ComputadorasSistemas UNIX PredominantesPoca Regulación
Acceso a la Información restringida
Hasta 2001
Masificación de VulnerabilidadesInterés en la Manipulación de InfoMasificación del Internet
Fraude / Delito Informático
2002 en Adelante
Confianza en los SistemasAplicaciones Financieras en WebComercio en Línea
Exploits ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)Virus y Troyanos
ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)Virus y TroyanosIngeniería SocialManipulación Aplicac. Web
Tendencia del Ciber Delincuente
2002 2003 2004 2005•Fraudes en sitios de compra y venta en línea•Delitos contra la integridad moral (Calumnias, Injurias, Amenazas)•Violación a la Propiedad Intelectual•Pornografía Infantil
•Fraudes en sitios de compra y venta en linea•Estafas nigerianas•Falsas Ofertas de Trabajo•Narcotrafico y Terrorismo
•Uso de spyware•Transferencias de Dinero ilicitas•Vulnerabilidades en servicios de banca On line•Denegacion de Servicios•Trafico de bases de datos•Dialers•Narcotrafico y Terrorismo
•Phishing•Revelación de Secretos industriales•Secuestros de Cuentas de Correo•Suplantacion de identidad en el Sistema Financiero
Fuente: DIJIN - Policía Nacional
Preparación
Detección
Contención
Erradicación Recuperación Seguimiento(Follow-Up)
Computación Forense
No Violentos
Cómputo Forense
• Recolección, preservación y presentación de evidencia digital frente a un crimen o incidente de seguridad informática, para la creación de un caso sostenible
• Utiliza procedimientos técnicos y legales muy rigurosos para garantizar la aceptabilidad de la evidencia digital en una corte o como parte de un proceso legal
• Ayudar a determinar aspectos como:
Qué ocurrió Causas probables y cronología (Línea de tiempo)
Cómo ocurrió Reconstrucción de los hechos
Quién lo hizo Evitar el no-repudio a partir de la evidencia recolectada
Principios Forenses
• 4 Principios Básicos:– Minimizar la Pérdida de Datos– Grabar y documentar todo (fotografías, notas, grabaciones, etc)– Analizar todos los datos recolectados– Reportar sus hallazgos
Evidencia Digital
• Busca Probar o Descartar un hecho
• Recolección– Proceso más crítico– Evidencia Física (huellas, tejidos, capilares, impresiones…)– Evidencia informática (imágenes de medios no volátiles, descargas de medios
volátiles, revisión de datos en impresoras, PDAs, teléfonos, etc)– Control de los equipos (físicamente)
Volatilidad de la Evidencia
• Memoria
• Swap Space – PageFile
• Conexiones de Red
• Procesos ejecutándose
• Medios Rígidos
• Medios Removibles
Evidencia Digital
• Preservación– Ubicación en contenedores destinados para ello– Etiqueta– Medios Estériles– Análisis sobre las copias realizadas
• Análisis– Cadena de custodia– Análisis sobre copias estériles– Manejo del acceso a la evidencia– Información de quien tiene la evidencia permanentemente
Cadena de Custodia
• Establece cada persona que tiene la custodia de la evidencia• Establece continuidad en la posesión de la evidencia• Prueba la integridad en el manejo de la evidencia
– Fecha y Hora de la posesión de la evidencia– Origen (Localización y Poseedor)– Marca, Modelo, Numero Serial, etc– Nombre de los investigadores que recolectaron la evidencia– Descripción de la evidencia– Nombre y Firma de la persona que recibe la evidencia– Identificador de Caso e Identificador de Evidencia (item)– Valores Hash (Prueba de integridad)– Datos Técnicos
Errores Comunes
• Añadir datos al sistema
• “Matar” procesos del sistema
• Tocar accidentalmente los TimeStamps
• Usar herramientas o comandos no confiables
• Ajustar el sistema antes de recolectar la evidencia (apagarlo, parcharlo, actualizarlo)
FRAUDES INFORMATICOSFRAUDES INFORMATICOSUna Realidad CercanaUna Realidad Cercana
Juan Carlos Reyes MuJuan Carlos Reyes Muññoz oz –– [email protected]@seltika.com