Download Descargar Presentación
Document related concepts
no text concepts found
Transcript
Casos de Éxito en Investigaciones Forenses Corporativas Presentada por: Bendinelli Maximiliano CySI ACLARACIÓN: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso. AGENDA Informática Evidencia Manejo ¿Que Forense Digital de la Evidencia Digital hacer ante un incidente? Casos Factores claves para el éxito INFORMÁTICA FORENSE ¿Qué es? Es la ciencia de adquirir, preservar, analizar y presentar datos que han sido procesados electrónicamente y almacenados en un medio informático. Intenta determinar: ¿Cuándo? ¿Quién? ¿Cómo? ¿Dónde? ¿Por qué? ¿Para qué? INFORMÁTICA FORENSE Las etapas para desarrollar un correcto análisis forense son: Identificación Adquisición Preservación Análisis Reporte EVIDENCIA DIGITAL ¿Qué es? ... “ Datos que han sido procesados electrónicamente y almacenados o transmitidos a través de un medio informático”... o “…cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal.” Discos Rígidos, Pendrives, Memorias flash, Smartphones, Cámaras Fotográficas, Memoria RAM, Tráfico de red MANEJO DE LA EVIDENCIA DIGITAL Cadena de custodia Permite conocer la trazabilidad de la manipulación de la evidencia para saber: 1. Identificar la evidencia 2. Quién la resguardo 3. Cuándo 4. Dónde 5. Trabajos realizados 6. Cuándo es trasladada CADENA DE CUSTODIA ¿QUÉ HACER ANTE UN INCIDENTE? IDENTIFICAR EL MATERIAL INVOLUCRADO EVITAR LA INCORRECTA MANIPULACIÓN (Y CONSECUENTE CONTAMINACIÓN) DE LA EVIDENCIA NO UTILIZAR LOS EQUIPOS QUE PUEDAN ESTAR INVOLUCRADOS EN EL INCIDENTE SEGUIR LAS MEJORES PRÁCTICAS PARA LA CORRECTA EXTRACCIÓN Y PRESERVACIÓN DE LA EVIDENCIA CASOS CASOS Empleados (3) se vinculan para cometer un fraude millonario en la que logran evadir controles de auditoria contable. Elementos de valor encontrados 1. Intercambio de mails 2. Chats entre los involucrados 3. Transferencias bancarias a familiares directos 4. Resúmenes bancarios 5. Facturas apócrifas 6. Un documento con detallada información de las operaciones realizadas. CASOS Ex empleado del área de sistemas, el cual aún mantiene acceso remoto por medio de VPN a la red de la empresa y a sus servidores, borra varias bases de datos e información sensible de la compañía. Elementos de valor encontrados 1. Logs de servidores 2. Actividad realizada por el atacante sobre los servidores involucrados 3. En la máquina del atacante se encontró información relacionada con los eventos CASOS Ex Socio de una empresa que mientras estaba trabajando en ella, comienza a armar una empresa paralela que compite con la propia, utilizando recursos y personal de la empresa de origen. Elementos de valor encontrados 1. Intercambio de correos electrónicos 2. Documentos relacionados con la empresa en su propia computadora 3. Dominios de internet de la nueva compañía a nombre del socio involucrado 4. Información relacionada con la actividad guardada en discos compartidos CASOS Servidor de correo electrónico vulnerado, en el cual el atacante tomo el control de las cuentas de los directivos y se reenviaba los mails a otras casillas de correo. Elementos de valor encontrados: 1. Rastros de los programas que utilizó para la elevación de privilegios 2. IPs y horarios desde los cuales se conectaba 3. Logs que demostraban la actividad del intruso 4. Casilla de correo externa hacia la cual se reenviaban los correos electrónicos. FACTORES CLAVE PARA EL ÉXITO Reportar Tomar el incidente medidas de manera temprana Identificar los elementos que estuvieron involucrados en el incidente. Extraer y preservar la evidencia (tener en cuenta un notario y un especialista) ¿QUE SE DEBE EVITAR? Utilizar los elementos involucrados Dilatar el tiempo… Esconder y no dar a conocer a las autoridades el incidente Manipular de manera incorrecta la evidencia GRACIAS POR ASISTIR A ESTA SESIÓN… PARA MAYOR INFORMACIÓN: Ing. Maximiliano Bendinelli - ENCE mbendinelli@cysi.com.ar @mbendinelli Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en