FRAUDES INFORMATICOSFRAUDES INFORMATICOSUna Realidad CercanaUna Realidad Cercana

Juan Carlos Reyes MuJuan Carlos Reyes Muññoz oz –– jcreyes@seltika.comjcreyes@seltika.com

Agenda

• Conceptualización• Justificación de la Necesidad en Seguridad de la Información• Entendiendo las amenazas• Definición de los Ataques• El Impacto• Los Crímenes por Computadora

Conceptualización

• Seguridad Informática vs. Seguridad de la Información

• Los Asuntos de Seguridad de la Información han sido:– Un Problema Técnico– Afecta sólo al departamento de IT– Un Costo– Acción Táctica centrada en la práctica– Una meta de supervivencia

• Ahora son:– Un Problema de Negocio– Afecta a toda la organización– Una Inversión– Administrados estratégicamente, orientados a proceso– Una meta de continuidad de operación

Justificación de la Necesidad

• Amenazas a la Información– Empleados Descontentos– Baja Concientización– Crecimiento de Redes– Efectividad del Malware– Falta de contingencias– Falta de Políticas– Desastres Naturales

• El hacking trasciende de lo académico al delito y al terrorismo, generando Nuevas tendencias de ataque en constante desarrollo

• Protección de la Infraestructura• Confianza creciente en los sistemas de información

Actores que intervienen en la Seguridad

Infraestructura

Factor HumanoAdministración

El Riesgo (Informático) – Motivo vs. Oportunidad

• Resultado concreto de que un AMENAZA se produzca a consecuencia de haberse explotado una VULNERABILIDAD, habiendo producido además un costo por el impacto de dicho evento.

Plano Informático

RIESGO = AMENAZA X VULNERABILDAD = COSTO

Motivo

Oportunidad

Intereses Personales

Escalas de oportunidad

Consumidores / Usuarios

Usuarios Internos y EmpleadosMayor Oportunidad

NoConsumidores

Menor Oportunidad

Tres perspectivas para el análisis del fraude

• Como vimos en el slide anterior,– Perspectiva Interna– Perspectiva del Usuario Consumidor– Perspectiva Externa (Ajena)

• Cada perspectiva tiene su motivación y su oportunidad, dada en amenazas, riesgos y facilitadores

• Tenga en cuenta los Tres Actores de la Seguridad

Tipos de Amenazas Informáticas

• Virus• Caballos de Troya• Explotación de Vulnerabilidades, tanto a nivel de host como a nivel de

arquitectura de red (vulnerabilidades de la seguridad perimetral)• Explotación de la información sensible que es involuntariamente expuesta• Explotación de vulnerabilidades en protocolos de comunicación• Falsificación de Identificaciones (biométricas, de autenticación o de

encabezados de paquetes)• Robo de información confidencial• Violación a la Privacidad• Ingeniería social (particularmente peligrosa)• Trashing (también)• Network Diving (wireless)

Entendiendo las Amenazas

• Las redes actuales permiten la conectividad de un gran número de usuarios.

• Aumento de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.

• Se puede modelar el sistema como un flujo de información desde una fuente (un archivo, usuario, sistema, etc.) a un destino (otro archivo, usuario, sistema, etc.).

Entendiendo las Amenazas

• Interrupción– Parte del sistema queda destruido o

no disponible.– Destrucción hardware o software,

corte de una línea de comunicación.

• Intercepción– Una entidad no autorizada accede a

parte de la información .– Interceptación de una línea

telefónica, copia ilícita de archivos, intercepción vía radio comunicaciones móviles.

Entendiendo las Amenazas

• Modificación– Una entidad no autorizada

accede a parte de la información y modifica su contenido.

– Alteración de archivos dedatos, alteración de programas, modificación

de mensajes trasmitidos por la red.

• Fabricación– Una entidad no autorizada

envía mensajes haciéndosepasar por un usuario legítimo.

Mayor nMayor núúmero de mero de usuarios, musuarios, máás s

aplicaciones y maplicaciones y máás s dispositivos para dispositivos para

acceder a la acceder a la informaciinformacióónn

Mientras mas avanza Mientras mas avanza la tecnologla tecnologíía, los a, los

ataques se vuelven ataques se vuelven mmáás sofisticados y s sofisticados y

destructivosdestructivos

La protecciLa proteccióón de las n de las estaciones de trabajo estaciones de trabajo se vuelve compleja se vuelve compleja por la diversidad de por la diversidad de

sistemas operativos y sistemas operativos y cantidad de equiposcantidad de equipos

Las organizaciones Las organizaciones requieren de mayor requieren de mayor

conectividad y poseen conectividad y poseen estructuras mestructuras máás s

complejas. Uso de complejas. Uso de Internet como medioInternet como medio

Los Virus

• Código Malicioso• Usualmente buscan causar daño• Han evolucionado hasta el punto de “Gusanos”• Son de fácil propagación• Requieren la intervención del Usuario (consciente o inconscientemente)

Caballos de Troya

• Buscan intercambiar información• Generalmente sirven para espiar• Son difíciles de detectar• Rootkits

Explotación de Vulnerabilidades

• Vulnerabilidades en la codificación de programas, principalmente.• Vulnerabilidades en la arquitectura de red (falta de elementos de seguridad

perimetral o explotación de los hosts que los contienen)• Buffer overflow, format bug, sql injection• La seguridad es una cadena que se rompe por el eslabón más débil.

Información Sensible

• Los programas a veces utilizan usuarios y claves estáticas, preconfiguradas, diferentes a las utilizadas para autenticación

• Los servidores web proporcionan información propia del sistema• La falta de manejo de errores en los programas abre la puerta a

proporcionar información• Los servicios disponibles proporcionan información• Es un factor básico para la planeación de un ataque

EA

DFA

C

B

SA

O

U

J

Robo de Información Confidencial

• Utilizar troyanos para visualizar información confidencial• Monitorear tráfico de la red (sniffing)• No todo es digital:• Robo de printouts• Revisar “por encima del hombro”• Extracción de documentos• VoIP…

Wireless

• Auge de las redes inalámbricas• Se olvidan del espectro… y que los muros no lo detienen• Existen técnicas para acceder sin autorización a las redes inalámbricas• Internet Forwarding (qué qué??)• Existen sitios web dedicados a ofrecer información de Access Points

vulnerables…• Rogue AP

Trashing

• Se pierde el control de lo que se bota.• En la vida real, se puede desechar documentación importante, con

información sensible.• No solo se desecha documentación…• En el mundo digital, es todo lo que va a /tmp o a windows/temp ☺• Archivos de auto recuperación (editores de texto, especialmente)

Ingeniería Social

• Los componentes: Amor y Confianza y Confidencia• Todo el mundo busca ser amado. Es la llave de la ingeniería social• Se puede recolectar mucha información con solo construir una relación de

confianza.• Las debilidades: personas que buscan ser siempre serviciales, no importa

con quien. El orgullo, enseñar a otros lo que saben• Caras vemos…

Falsificación de Identificaciones

• Difícil, pero no imposible• Ingeniería reversa de elementos de autenticación• Romper códigos o “desencriptar” información• Predicción de las secuencias de IP• Falsificación de las cabeceras de los paquetes

Phishing

• Es una forma de Ingeniería Social y se le conoce al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas, información de tarjetas de crédito, entre otros.

• El método utilizado con más frecuencia en los casos de phishing masivo consiste en el envío de mensajes que simulan ser enviados por alguien sobre quien en teoría confiamos y donde se nos informe que, por cualquier circunstancia, es preciso revelar nuestra contraseña de usuario o bien "verificar" nuestros datos rellenando un formulario..

Pharming

• Phishing basado en troyanos• Se trata de una táctica fraudulenta que consiste en cambiar los contenidos

del DNS ya sea a través de la configuración del protocolo TCP/IP o del archivo "hosts" del ordenador o "%systemroot%/System32/Drivers/etc/lmhosts“, de manera que la victima acceda a paginas y servidores falsificados pensando que son los auténticos.

E

A DFA

CB

SA

O

U

J

Reportes de Phishing

Fuente: APWG

Visite: http://www.antiphishing.org

Phishing en Colombia

Mensaje enviado al usuario:

Enlace mostrado en el mensaje:

Enlace real:

Pérdida de Beneficios

Deterioro de la confianza de los

inversores

Daños en la reputación

Datos comprometidos

Interrupción de los procesos de

Negocio

Daños en la confianza de los

clientesConsecuencias

legales

Qué es el Crimen por Computadora?

• Alterar, dañar, borrar, o utilizar datos electrónicos para ejecutar un esquema de fraude, engaño, extorsión u obtención de dinero, propiedades, o datos; utilizando servicios de computadora sin permiso, interrumpiéndolos, asistiendo a otros en el acceso ilegal a sistemas de cómputo o introduciendo contaminantes en un sistema o una red. (California Penal Code, Sect. 502)

• Cualquier violación de las leyes, que involucre el conocimiento de la tecnología para su perpetración, persecución e investigación (DoJ)

• Dos conceptos: Computer Crime y Computer Related Crime (10th U.N. Congress)

Qué es el Crimen por Computadora?

• Computer Crime:– Cualquier comportamiento ilegal realizado mediante operaciones electrónicas

cuyo blanco es la seguridad de los sistemas de cómputo y/o los datos procesados en ellos

• Computer Related Crime:– Cualquier comportamiento ilegal cometido mediante, o en relación a, un sistema

de cómputo o una red; incluyendo crímenes como posesión ilegal y oferta o distribución de información por medio de un sistema de cómputo o una red.

Categorización de los Crímenes

• Acceso no autorizado• Daño a computadores o programas (software)• Sabotaje digital• Intercepción no autorizada de comunicaciones• Espionaje digital• Creación, distribución, utilización y acceso ilegal de datos almacenados en

computadores

Violentos o Potencialmente

• Cyber-terrorismo (Terrorismo planeado, coordinado o cometido en el cyberespacio)

• Asalto por amenaza (Amenazas enviadas por e-mail, o amenazas en razón de una bomba lógica)

• Cyber-acecho (Hostigamiento, amenazas físicas escalables a la vida real)

• Pornografía Infantil (Creación, distribución y acceso)

No Violentos

• Cyber-Infracciones (Accesos no autorizados, típicamente sin daño en los datos)

• Cyber-Robo– Malversación (Dinero o propiedades, con acceso al sistema)– Apropiación ilegal (Dinero o propiedades, sin acceso al sistema)– Espionaje Industrial– Plagio– Piratería– Robo de identidades– Envenenamiento de DNS caché

• Cyber-Fraude (falsedad para la obtención de un valor o beneficio)

No Violentos

• Crímenes por computador destructivos– Hacking + Borrado o alteración de datos– Web Defacement– Virus o código malicioso en computadores y redes– Ataques de denegación de servicio

• Otros crímenes por computador– Prostitución, apuestas, venta de narcóticos, lavado de activos, contrabando;

todo por Internet.

Legislación Actual

• Artículo 195 C.P.– “El que abusivamente se introduzca en sistema informático protegido con

medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa”

• Art. 192 y 194 C.P.– Sustracción, ocultamiento, extravío, destrucción, interceptación, control o

impedimento de comunicaciones privadas y de carácter oficial• Daño en Bien ajeno (Art. 265)• Sabotaje (Art. 199)• Daño en instrumento necesario para la producción, distribución de materia

prima producto agropecuario o industrial (Art. 304)• Falsedad de Documento Electrónico (Art. 294)• Let 527 de 1999 (Comercio Electrónico)• Ley 603 de 2000 (Antipiratería)

Evolución del Delito Informático

Interés Académico y Personal

Hasta 1997

Poca Seguridad PerimetralInicio de redes de ComputadorasSistemas UNIX PredominantesPoca Regulación

Acceso a la Información restringida

Hasta 2001

Masificación de VulnerabilidadesInterés en la Manipulación de InfoMasificación del Internet

Fraude / Delito Informático

2002 en Adelante

Confianza en los SistemasAplicaciones Financieras en WebComercio en Línea

Exploits ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)Virus y Troyanos

ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)Virus y TroyanosIngeniería SocialManipulación Aplicac. Web

Tendencia del Ciber Delincuente

2002 2003 2004 2005•Fraudes en sitios de compra y venta en línea•Delitos contra la integridad moral (Calumnias, Injurias, Amenazas)•Violación a la Propiedad Intelectual•Pornografía Infantil

•Fraudes en sitios de compra y venta en linea•Estafas nigerianas•Falsas Ofertas de Trabajo•Narcotrafico y Terrorismo

•Uso de spyware•Transferencias de Dinero ilicitas•Vulnerabilidades en servicios de banca On line•Denegacion de Servicios•Trafico de bases de datos•Dialers•Narcotrafico y Terrorismo

•Phishing•Revelación de Secretos industriales•Secuestros de Cuentas de Correo•Suplantacion de identidad en el Sistema Financiero

Fuente: DIJIN - Policía Nacional

Estadísticas

Estadísticas

Preparación

Detección

Contención

Erradicación Recuperación Seguimiento(Follow-Up)

Computación Forense

No Violentos

Cómputo Forense

• Recolección, preservación y presentación de evidencia digital frente a un crimen o incidente de seguridad informática, para la creación de un caso sostenible

• Utiliza procedimientos técnicos y legales muy rigurosos para garantizar la aceptabilidad de la evidencia digital en una corte o como parte de un proceso legal

• Ayudar a determinar aspectos como:

Qué ocurrió Causas probables y cronología (Línea de tiempo)

Cómo ocurrió Reconstrucción de los hechos

Quién lo hizo Evitar el no-repudio a partir de la evidencia recolectada

Principios Forenses

• 4 Principios Básicos:– Minimizar la Pérdida de Datos– Grabar y documentar todo (fotografías, notas, grabaciones, etc)– Analizar todos los datos recolectados– Reportar sus hallazgos

Evidencia Digital

• Busca Probar o Descartar un hecho

• Recolección– Proceso más crítico– Evidencia Física (huellas, tejidos, capilares, impresiones…)– Evidencia informática (imágenes de medios no volátiles, descargas de medios

volátiles, revisión de datos en impresoras, PDAs, teléfonos, etc)– Control de los equipos (físicamente)

Volatilidad de la Evidencia

• Memoria

• Swap Space – PageFile

• Conexiones de Red

• Procesos ejecutándose

• Medios Rígidos

• Medios Removibles

Evidencia Digital

• Preservación– Ubicación en contenedores destinados para ello– Etiqueta– Medios Estériles– Análisis sobre las copias realizadas

• Análisis– Cadena de custodia– Análisis sobre copias estériles– Manejo del acceso a la evidencia– Información de quien tiene la evidencia permanentemente

Cadena de Custodia

• Establece cada persona que tiene la custodia de la evidencia• Establece continuidad en la posesión de la evidencia• Prueba la integridad en el manejo de la evidencia

– Fecha y Hora de la posesión de la evidencia– Origen (Localización y Poseedor)– Marca, Modelo, Numero Serial, etc– Nombre de los investigadores que recolectaron la evidencia– Descripción de la evidencia– Nombre y Firma de la persona que recibe la evidencia– Identificador de Caso e Identificador de Evidencia (item)– Valores Hash (Prueba de integridad)– Datos Técnicos

Errores Comunes

• Añadir datos al sistema

• “Matar” procesos del sistema

• Tocar accidentalmente los TimeStamps

• Usar herramientas o comandos no confiables

• Ajustar el sistema antes de recolectar la evidencia (apagarlo, parcharlo, actualizarlo)

FRAUDES INFORMATICOSFRAUDES INFORMATICOSUna Realidad CercanaUna Realidad Cercana

Juan Carlos Reyes MuJuan Carlos Reyes Muññoz oz –– jcreyes@seltika.comjcreyes@seltika.com