Tratamiento de los Delitos Informáticos en

Entorno Corporativo

Un Caso Practico

Ezequiel Sallis Policía Metropolitana División Cibercrimen

@simubucks

Segurinfo 2014 Gustavo Presman

EIF Estudio Informática Forense

@gpresman

Índice

Investigación Teoría y Practica

Introducción / Presentación del caso

Conclusiones

Pericia Teoría y Practica

Delitos Informáticos: Tipos

Confidencialidad

La Tecnología es el medio

Disponibilidad

Integridad

La Tecnología es el fin

La Tecnología es incidental

Personas

Información

Leyes Falta de Marco Legal

Falta de Capacitación

Falta de Recursos

Procesos

Protocolos

Herramientas

Acuerdos

Tratados

Globalización

Tecnología y Sociedad

Delitos Informáticos: Desafíos

Factor Tiempo

Caso

Investigador

Metodología

Colaboración de Terceras

Partes

Factor Suerte

Marco Legal

Entorno

Información Inicial

Delitos Informáticos: Desafíos

Fuerza del Ley

Empresa 2.0

Proveedor de Servicio

Terceras Partes

Investigación: Teoría

Investigación: Teoría

Fuerzas de la Ley

Internacionales

Nacionales

Interpol

FBI HSI DEA SS

Policia Otros

Investigación: Practica

Investigación: Practica

Investigación: Practica

Investigación: Practica

Investigación: Practica

Telefonía Celular

Telefonía Tierra

Internet

Trunking

Satélites

Carrier

Registros

Contenido

Proveedores de Servicios

Investigación: Teoría

Investigación: Practica

Investigación: Practica

Si bien existen centenares de redes sociales y aplicaciones Web, a la hora de brindar información

a las fuerzas de la ley, todas tienen puntos en común.

Investigación: Teoría

Solicitudes Tradicionales:

En donde el asunto bajo investigación no pone en juego daño físico o psicológico o bien la muerte de

una persona.

Solicitudes de Emergencia:

En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien la

muerte de una persona. La emergencia toma mayor relevancia cuando la víctima es

menor de edad. En todos los casos en que se realice esta solicitud debe manifestarse de

forma explícita y evidente la emergencia.

Investigación: Teoría

Preservación: Refiere a solicitar que la empresa resguarde el contenido asociado a un

determinado usuario, independientemente de que el usuario lo borre o lo altere, es

decir que preservara la información de la cuenta por un determinado periodo de

tiempo. Este tipo de pedido no necesariamente requiere de una orden

o autorización de un juzgado. Registros: Refiere a que la empresa brindara registros (direcciones IP, fechas, horas, zona

horaria) de todas las interacciones que se han tenido con la cuenta o perfil

en cuestión, es decir, fecha y lugar de creación, fecha y lugar de accesos exitosos a

la cuenta, fecha y lugar de acceso fallidos a la cuenta y otros. Este tipo de pedidos

siempre requiere de la autorización de un Juzgado. Contenido: Refiere a que la empresa brindara el contenido asociado a una cuenta, perfil o servicio,

siempre teniendo en cuenta la información disponible y permitida en su política de

privacidad, preservación o destrucción de información. Este tipo de pedidos siempre

requiere de la autorización de un Juzgado. Este tipo de contenido solo puede ser

solicitado a través de un MLAT Mutual Legal Assistance Treaties entre el país

solicitante y el país de destino de los datos.

Investigación: Teoría

Importante:

La autorización por parte del juzgado que habilita a solicitar información relevante en base a un determinado caso bajo

investigación debe especificar de forma clara:

Tipo de delito que se investiga

Ley que aplica al delito investigado

Valor que la información aportara a la investigación

Investigación: Teoría

Ninguna de las empresas brindara información si el requerimiento no cumple con las

siguientes características: •La información solicitada no se encuadra bajo un

proceso legal.

•La información solicitada no es lo suficientemente completa.

•La información solicitada es excesiva, poco clara y puede

generar una carga de trabajo elevada para la empresa que la

provee.

•La información solicitada no se realiza por las vías adecuadas e

informadas por la empresa. •La información solicitada no proviene de un dominio asociado a un gobierno

o fuerza de la ley.

Investigación: Teoría

Investigación: Practica

Investigación: Practica

Investigación: Practica

La Pericia Informática

Recolección de la Evidencia

Procesamiento de la Evidencia

*Evidencia Local *Evidencia en la nube

(Dropbox, Skydrive…)

Acceso a la Evidencia local

• Durante el allanamiento

• Preconstitución Notarial (si el incidente es detectado internamente)

Recolección de Evidencia local mediante acta Notarial Rol del:

ESCRIBANO

REQUIRENTE

PERITO

Validez de la Escritura Redarguciones de Falsedad

Plazo : Tiempo transcurrido del incidente a la recolección

Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Informático : Audiencia Testimonial o

de peritos Autorización Expresa : Al perito en caso de solicitar

informe Material Recolectado : Autenticacion y Sellado Custodia : Notarial o del Requirente ?

El Acta Notarial

Imágenes Forenses 101 EVIDENCIA FISICA

ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO

MAGNETICO AUTENTICACION DE EVIDENCIA POR MEDIO DE UN ALGORITMO

DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA

5b748e186f622c1bdd6ea9843d1609c1

HASHES USUALES

MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)

Obtención de Imágenes Forenses

•De Forma directa

•De Forma Indirecta

No disponemos de los datos No tenemos acceso a la infraestructura física Son sistemas distribuídos y virtuales Tienen espacio de almacenamiento distribuido en ubicaciones cambiantes Pueden compartir espacio fisico entre usuarios Frecuentemente transnacionales Con poca o nula colaboración del CSP

Desafios para la recolección de Evidencia en la nube

La misma puede ser recolectada voluntariamente por la

parte* u ordenada por las autoridades legales *Siempre que tenga validez legal y técnica

Por vía indirecta (Artefactos locales en almacenamiento masivo o memoria

RAM y en Tráfico de red )

Por vía directa: Con acceso de “bajo nivel” a la nube

Recolección de Evidencia en la nube

Investigaciones de Pornografía Infantil en Internet (PI)

El análisis forense puede auxiliar en dos áreas :

Identificación del sospechoso Análisis de contenido digital de medios

De la Ley 26388/08 Art. 2 ”…Tenencia de pornografía infantil para distribución o comercialización…”

Identificación del sospechoso

Identificación Casual : Politicas corporativas , simple observación , denuncia

Ciberpatrullajes Interpol , Guardia Civil Española … Proveen : IP del usuario

Email de conexión (usualmente Webmail)

Investigaciones de Pornografía Infantil en Internet (PI)

MD5

SHA1

Flujo de Investigación PI

Material Secuestrado

Análisis del contenido de medios digitales en PI

Imágenes (JPG/JPEG/BMP…) Videos (MPG/AVI/MP4/3GP…)

Análisis del contenido de medios digitales en PI

Cruzamiento de Hahes con bases de datos de fuerzas de la ley (INTERPOL)

Sitios de intercambio Peer to Peer (P2P)

usuario

usuario usuario

usuario

NAPSTER MORPHEUS EMULE

BIT TORRENT LIMEWIRE iTUNES

Artefactos P2P

Instalación del producto (manual/automatico)

Cantidad de ejecuciones Archivos descargados

Archivos en progreso de descarga (contenido parcial)

Archivos compartidos Direcciones IP de descargas en progreso

Listados de búsquedas

Conclusiones

Existe un comité de investigación y respuesta a incidentes ?

Esto podría esta ocurriendo hoy en su organización…

Están otras áreas preparadas para interactuar (RRHH, Legales … ?

Preguntas ?

Tratamiento de los Delitos Informáticos en

Entorno Corporativo

Ezequiel Sallis Policía Metropolitana División Cibercrimen

@simubucks

Muchas gracias

Gustavo Presman EIF

Estudio Informática Forense @gpresman