Incidentes en Seguridad de la Información
¿Qué hemos aprendido?
Lic. Francisco Villegas Landin,
Jefe de Oficina de Seguridad de la Información (CSO)
Director Servicios de Seguridad, redIT (Metro Net)
CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
Agenda
• Casos basados en hechos reales
• Por confidencialidad los hechos y datos han sido alterados
• Se asumen conocimientos técnicos de la audiencia
INCIDENTES
Ataque de Anonymous
• Dia 3, notificación en el Underground #Operacion del ataque
• A marchas forzadas, el día 5 del mes se arranca una operación de contención y erradicación con el cliente
• Un fenómeno natural detiene el ataque
• Anonymous ataco en 4 ocasiones
• El incidente DDoS a las 12:00 por 3 horas, el segundo por 2 horas y los otros dos siguientes por una hora
• Se declaro por terminado el incidente el tercer día a las 12:00 horas
Estrategia de la Operación
� Obtener la mayor cantidad de información posible sobre
la naturaleza del incidente.
� En la medida de lo posible, contener o prevenir la
propagación del daño causado por el incidente.
� Reparar o coordinar la reparación del daño causado por el
incidente.
� Restaurar los servicios tan pronto sea posible.
� Preservar la evidencia del incidente.
� Asegurar que el incidente fuera apropiadamente
reportado y escalado.
� Tomar las medidas proactivas necesarias para mitigar
incidentes futuros.
Oportunidades en la preparación…
• No conocíamos a todos los involucrados (no había directorio)
• No contamos con el inventario de infraestructura de TI
• No contamos con el análisis de vulnerabilidades de toda la infraestructura
de Internet
• No pudimos hacer un cruce de infraestructura contra vulnerabilidades –
estuvimos prácticamente a “ciegas”
• En prácticamente 12 horas se estableció un “war room”
Factores Críticos de Exito…
• Establecimos un pequeño laboratorio y probamos los vectores de ataque
• Nuestro equipo de especialistas mediante “spoof” en el “underground” encontramos los patrones de los principales vectores de ataque
• Tomamos la decisión de pedir al carrier que bloquearan las redes de países con los que el cliente no tiene negocio y que eran posibles fuentes de ataque
• Bajamos el umbral de peticiones aceptadas por el firewall.
• En línea estuvimos bloqueando fuentes de ataque con el IPS
¿que aprendimos?
� Liderazgo / Coordinación / Colaboración y Trabajo en equipo
� Involucrar y que participen de todas las áreas de la Organización
� Conocer la infraestructura de IT (Inventario Actualizado)
� No responder, ni lanzar ataques
� Establecer un equipo y proceso de respuesta a incidentes
� Establecer un proceso de administración de la seguridad (vulnerabilidades)
� Monitoreo Continuo de la operación 7x24
Caso – Robo de Identidad
• Origen: Crimen Organizado y personal interno
• Destino: Javier, empresario
• Incidente: Robo de 200 mil pesos por clonación de tarjeta de crédito
• Impacto: Banco X determino que el incidente fue en la empresa de Javier, el perdió su dinero, no denuncio a las autoridades, despidió a las personas relacionadas.
• El Banco lanzo una investigación interna sobre el proceso de impresión de tarjetas de crédito
Caso – Robo de Identidad (2)
• Marzo 2012 - Denuncia del Banco y solicitud de apoyo
• Análisis en computadoras del usuario (3 Laptops)
• GSI Encase Forensics (Imagen Forense)
• Búsqueda
– Análisis de Bitácoras de Windows
– Código Malicioso
– Archivos Ocultos
– Usuarios, Correo, Navegación Web, Chat
– Revisión de los sistemas perimetrales (Firewall, Router)
– Revisión del servicio de correo electrónico «hosteado»
Caso – Robo de Identidad (3)
• Hallazgos del Caso - Evidencia
– Correos Electrónicos de personal interno con comunicación
relacionada hacia cuentas de correo externo
– Cache del Explorador con URL’s de Google y Hotmail con
direcciones de correo
– Conversaciones de MSN relacionadas
– Direcciones IP de Origen y Destino
– Imágenes de Credencial de Elector de la victima
– Archivos PDF con comprobantes de domicilio
Caso – Robo de Identidad (4)
• Lección aprendida
– En un proceso de cómputo forense debe buscarse por evidencia
electrónica contundente e irrefutable que indique al menos que y
como sucedió, cuando sucedió y quién lo hizo
Caso – Acceso no autorizado
• Origen: Personal Interno
• Destino: Miguel, Director General de área
• Incidente: Acceso no autorizado a 5 equipos de colaboradores e
inclusive a su máquina y extracción de documento crítico
• Impacto: Acceso a documentos confidenciales y a información
personal para toma de decisiones sobre compra de empresas
• La organización despidió a la persona involucrada que ejecuto el
incidente, y también a los autores intelectuales (otro Director)
Caso – Acceso no autorizado (2)
• Agosto 2012 - Denuncia del Cliente y solicitud de apoyo
• Análisis en computadoras del usuario (5 Laptops)
• GSI Encase Forensics (Imagen Forense)
• Búsqueda– Análisis de Bitácoras de Windows
– Código Malicioso
– Archivos Ocultos
– Usuarios, Correo, Navegación Web, Chat
– Revisión de los sistemas perimetrales (Firewall, Router)
– Revisión del servicio de correo electrónico «hosteado»
– Revisión del Filtrado Web
Caso – Acceso no autorizado (2)
• Hallazgos del Caso - Evidencia
– Windows no deja evidencia de copias
– Evidencia de logons Exitosos «Anonymous Logon»
– Dirección IP de Origen y «Hostname» que realizo los accesos
– No se encontró nada más en la computadora
• No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la copia del archivo.
• Pensé en buscar por evidencia en el sistema de Filtrado URL
– Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se
– Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy requería autenticación.
– La persona que lo ejecuto dio su user y su password para salir a internet.
Caso – Acceso no autorizado (3)
• Lección aprendida
– No necesariamente la evidencia hallada en un sistema de computo
nos llevará a la resolución de un caso, habrá que buscar en el
«Ecosistema» en su totalidad
Caso – Robo de Efectivo
• Origen: Personal Interno y Hacker
• Destino: Banco Y, Sucursal Z
• Incidente: Robo de dinero
• Impacto: Pérdida de 500,000 mil pesos
• La organización despidió a la persona involucrada y demando penalmente a los involucrados (el hacker y el ex empleado), a la fecha el proceso sigue, uno esta en la cárcel sin sentencia y el otro esta en proceso pero en su casa, no se logro identificar al tercero.
Caso – Robo de Efectivo (2)
• Oct 2010 – Llamada del Cliente y solicitud de apoyo
• Alerta del Sistema Antifraudes del Banco por extracción de efectivo
• Se asistió al sitio
• Revisión en vivo (GSI Encase Portable)
• Búsqueda
– Análisis de Bitácoras de Windows
– Código Malicioso
– Ejecución de Procesos
– Revisión de Memoria
Caso – Robo de Efectivo (3)
• Hallazgos del Caso - Evidencia
– Archivos Abiertos y ejecutados
– Montaje de USB y Lectura de DVD
– Horarios Ejecución de Programas
• Observe el «ambiente» había una cámara de videograbación
• Solicite revisar videos (de las 14:00 a las 14:30)
– En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular, fumando y montando el CD-ROM en el dispensador
– Con la evidencia electrónica y el video se «presiono» al ex-empleado
– Se observa como saca el dinero y lo guarda
– Se observa a un tercero que recoge el dinero (no se logra identificar)
Caso – Robo de Efectivo (4)
• Lección aprendida
– Hay que relacionar hechos del entorno «físico» con los del entorno
«digital» como son horarios y controles de seguridad física,
ejemplo, controles de acceso «tarjetas, registros bitácoras
manuales, cámaras de vídeo»
– En este caso la evidencia contundente fue la videograbación y el
sustento fue la actividad de la persona en la computadora.
¿PREGUNTAS?
Lic. Francisco Villegas Landin,
Jefe de Oficina de Seguridad de la Información (CSO)
Director Servicios de Seguridad, redIT (Metro Net)
CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE