tratamiento de los delitos informáticos en entorno corporativo · solicitudes de emergencia: en...
TRANSCRIPT
Tratamiento de los Delitos Informáticos en
Entorno Corporativo
Un Caso Practico
Ezequiel Sallis Policía Metropolitana División Cibercrimen
@simubucks
Segurinfo 2014 Gustavo Presman
EIF Estudio Informática Forense
@gpresman
Índice
Investigación Teoría y Practica
Introducción / Presentación del caso
Conclusiones
Pericia Teoría y Practica
Delitos Informáticos: Tipos
Confidencialidad
La Tecnología es el medio
Disponibilidad
Integridad
La Tecnología es el fin
La Tecnología es incidental
Personas
Información
Leyes Falta de Marco Legal
Falta de Capacitación
Falta de Recursos
Procesos
Protocolos
Herramientas
Acuerdos
Tratados
Globalización
Tecnología y Sociedad
Delitos Informáticos: Desafíos
Factor Tiempo
Caso
Investigador
Metodología
Colaboración de Terceras
Partes
Factor Suerte
Marco Legal
Entorno
Información Inicial
Delitos Informáticos: Desafíos
Fuerza del Ley
Empresa 2.0
Proveedor de Servicio
Terceras Partes
Investigación: Teoría
Investigación: Teoría
Fuerzas de la Ley
Internacionales
Nacionales
Interpol
FBI HSI DEA SS
Policia Otros
Investigación: Practica
Investigación: Practica
Investigación: Practica
Investigación: Practica
Investigación: Practica
Telefonía Celular
Telefonía Tierra
Internet
Trunking
Satélites
Carrier
Registros
Contenido
Proveedores de Servicios
Investigación: Teoría
Investigación: Practica
Investigación: Practica
Si bien existen centenares de redes sociales y aplicaciones Web, a la hora de brindar información
a las fuerzas de la ley, todas tienen puntos en común.
Investigación: Teoría
Solicitudes Tradicionales:
En donde el asunto bajo investigación no pone en juego daño físico o psicológico o bien la muerte de
una persona.
Solicitudes de Emergencia:
En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien la
muerte de una persona. La emergencia toma mayor relevancia cuando la víctima es
menor de edad. En todos los casos en que se realice esta solicitud debe manifestarse de
forma explícita y evidente la emergencia.
Investigación: Teoría
Preservación: Refiere a solicitar que la empresa resguarde el contenido asociado a un
determinado usuario, independientemente de que el usuario lo borre o lo altere, es
decir que preservara la información de la cuenta por un determinado periodo de
tiempo. Este tipo de pedido no necesariamente requiere de una orden
o autorización de un juzgado. Registros: Refiere a que la empresa brindara registros (direcciones IP, fechas, horas, zona
horaria) de todas las interacciones que se han tenido con la cuenta o perfil
en cuestión, es decir, fecha y lugar de creación, fecha y lugar de accesos exitosos a
la cuenta, fecha y lugar de acceso fallidos a la cuenta y otros. Este tipo de pedidos
siempre requiere de la autorización de un Juzgado. Contenido: Refiere a que la empresa brindara el contenido asociado a una cuenta, perfil o servicio,
siempre teniendo en cuenta la información disponible y permitida en su política de
privacidad, preservación o destrucción de información. Este tipo de pedidos siempre
requiere de la autorización de un Juzgado. Este tipo de contenido solo puede ser
solicitado a través de un MLAT Mutual Legal Assistance Treaties entre el país
solicitante y el país de destino de los datos.
Investigación: Teoría
Importante:
La autorización por parte del juzgado que habilita a solicitar información relevante en base a un determinado caso bajo
investigación debe especificar de forma clara:
Tipo de delito que se investiga
Ley que aplica al delito investigado
Valor que la información aportara a la investigación
Investigación: Teoría
Ninguna de las empresas brindara información si el requerimiento no cumple con las
siguientes características: •La información solicitada no se encuadra bajo un
proceso legal.
•La información solicitada no es lo suficientemente completa.
•La información solicitada es excesiva, poco clara y puede
generar una carga de trabajo elevada para la empresa que la
provee.
•La información solicitada no se realiza por las vías adecuadas e
informadas por la empresa. •La información solicitada no proviene de un dominio asociado a un gobierno
o fuerza de la ley.
Investigación: Teoría
Investigación: Practica
Investigación: Practica
Investigación: Practica
La Pericia Informática
Recolección de la Evidencia
Procesamiento de la Evidencia
*Evidencia Local *Evidencia en la nube
(Dropbox, Skydrive…)
Acceso a la Evidencia local
• Durante el allanamiento
• Preconstitución Notarial (si el incidente es detectado internamente)
Recolección de Evidencia local mediante acta Notarial Rol del:
ESCRIBANO
REQUIRENTE
PERITO
Validez de la Escritura Redarguciones de Falsedad
Plazo : Tiempo transcurrido del incidente a la recolección
Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Informático : Audiencia Testimonial o
de peritos Autorización Expresa : Al perito en caso de solicitar
informe Material Recolectado : Autenticacion y Sellado Custodia : Notarial o del Requirente ?
El Acta Notarial
Imágenes Forenses 101 EVIDENCIA FISICA
ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO
MAGNETICO AUTENTICACION DE EVIDENCIA POR MEDIO DE UN ALGORITMO
DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA
5b748e186f622c1bdd6ea9843d1609c1
HASHES USUALES
MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)
Obtención de Imágenes Forenses
•De Forma directa
•De Forma Indirecta
No disponemos de los datos No tenemos acceso a la infraestructura física Son sistemas distribuídos y virtuales Tienen espacio de almacenamiento distribuido en ubicaciones cambiantes Pueden compartir espacio fisico entre usuarios Frecuentemente transnacionales Con poca o nula colaboración del CSP
Desafios para la recolección de Evidencia en la nube
La misma puede ser recolectada voluntariamente por la
parte* u ordenada por las autoridades legales *Siempre que tenga validez legal y técnica
Por vía indirecta (Artefactos locales en almacenamiento masivo o memoria
RAM y en Tráfico de red )
Por vía directa: Con acceso de “bajo nivel” a la nube
Recolección de Evidencia en la nube
Investigaciones de Pornografía Infantil en Internet (PI)
El análisis forense puede auxiliar en dos áreas :
Identificación del sospechoso Análisis de contenido digital de medios
De la Ley 26388/08 Art. 2 ”…Tenencia de pornografía infantil para distribución o comercialización…”
Identificación del sospechoso
Identificación Casual : Politicas corporativas , simple observación , denuncia
Ciberpatrullajes Interpol , Guardia Civil Española … Proveen : IP del usuario
Email de conexión (usualmente Webmail)
Investigaciones de Pornografía Infantil en Internet (PI)
MD5
SHA1
Flujo de Investigación PI
Material Secuestrado
Análisis del contenido de medios digitales en PI
Imágenes (JPG/JPEG/BMP…) Videos (MPG/AVI/MP4/3GP…)
Análisis del contenido de medios digitales en PI
Cruzamiento de Hahes con bases de datos de fuerzas de la ley (INTERPOL)
Sitios de intercambio Peer to Peer (P2P)
usuario
usuario usuario
usuario
NAPSTER MORPHEUS EMULE
BIT TORRENT LIMEWIRE iTUNES
Artefactos P2P
Instalación del producto (manual/automatico)
Cantidad de ejecuciones Archivos descargados
Archivos en progreso de descarga (contenido parcial)
Archivos compartidos Direcciones IP de descargas en progreso
Listados de búsquedas
Conclusiones
Existe un comité de investigación y respuesta a incidentes ?
Esto podría esta ocurriendo hoy en su organización…
Están otras áreas preparadas para interactuar (RRHH, Legales … ?
Preguntas ?
Tratamiento de los Delitos Informáticos en
Entorno Corporativo
Ezequiel Sallis Policía Metropolitana División Cibercrimen
@simubucks
Muchas gracias
Gustavo Presman EIF
Estudio Informática Forense @gpresman