Download Descargar Presentación

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
Document related concepts
no text concepts found
Transcript 
Casos de Éxito en
Investigaciones
Forenses Corporativas
Presentada por:
Bendinelli Maximiliano
CySI
ACLARACIÓN:
©
Todos los derechos reservados. No está permitida
la reproducción parcial o total del material de
esta sesión, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido
concebido para difusión y promoción en el
ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización
por escrito y mediar la debida aprobación para
su uso.
AGENDA
 Informática
 Evidencia
 Manejo
 ¿Que
Forense
Digital
de la Evidencia Digital
hacer ante un incidente?
 Casos
 Factores
claves para el éxito
INFORMÁTICA FORENSE
¿Qué es?
Es la ciencia de adquirir, preservar, analizar y
presentar datos que han sido procesados
electrónicamente y almacenados en un medio
informático.
Intenta determinar:
¿Cuándo? ¿Quién? ¿Cómo? ¿Dónde? ¿Por
qué? ¿Para qué?
INFORMÁTICA FORENSE
Las etapas para desarrollar un correcto análisis forense son:

Identificación

Adquisición

Preservación

Análisis

Reporte
EVIDENCIA DIGITAL
¿Qué es?
... “ Datos que han sido procesados electrónicamente y
almacenados o transmitidos a través de un medio
informático”...
o
“…cualquier registro generado o almacenado en un
sistema computacional que puede ser utilizado como
prueba en un proceso legal.”
Discos Rígidos, Pendrives, Memorias flash, Smartphones,
Cámaras Fotográficas, Memoria RAM, Tráfico de red
MANEJO DE LA EVIDENCIA DIGITAL
Cadena de custodia
Permite conocer la trazabilidad de la
manipulación de la evidencia para saber:
1.
Identificar la evidencia
2.
Quién la resguardo
3.
Cuándo
4.
Dónde
5.
Trabajos realizados
6.
Cuándo es trasladada
CADENA DE CUSTODIA
¿QUÉ HACER ANTE UN INCIDENTE?
IDENTIFICAR EL MATERIAL INVOLUCRADO
EVITAR LA INCORRECTA MANIPULACIÓN (Y
CONSECUENTE CONTAMINACIÓN) DE LA
EVIDENCIA
NO UTILIZAR LOS EQUIPOS QUE PUEDAN
ESTAR INVOLUCRADOS EN EL INCIDENTE
SEGUIR LAS MEJORES PRÁCTICAS PARA LA
CORRECTA EXTRACCIÓN Y PRESERVACIÓN
DE LA EVIDENCIA
CASOS
CASOS
Empleados (3) se vinculan para cometer un fraude
millonario en la que logran evadir controles de
auditoria contable.
Elementos de valor encontrados
1.
Intercambio de mails
2.
Chats entre los involucrados
3.
Transferencias bancarias a familiares directos
4.
Resúmenes bancarios
5.
Facturas apócrifas
6.
Un documento con detallada información de las
operaciones realizadas.
CASOS
Ex empleado del área de sistemas, el cual aún mantiene acceso
remoto por medio de VPN a la red de la empresa y a sus
servidores, borra varias bases de datos e información sensible de
la compañía.
Elementos de valor encontrados
1.
Logs de servidores
2.
Actividad realizada por el atacante sobre los servidores
involucrados
3.
En la máquina del atacante se encontró información
relacionada con los eventos
CASOS
Ex Socio de una empresa que mientras estaba trabajando en ella,
comienza a armar una empresa paralela que compite con la
propia, utilizando recursos y personal de la empresa de origen.
Elementos de valor encontrados
1.
Intercambio de correos electrónicos
2.
Documentos relacionados con la empresa en su propia
computadora
3.
Dominios de internet de la nueva compañía a nombre del
socio involucrado
4.
Información relacionada con la actividad guardada en discos
compartidos
CASOS
Servidor de correo electrónico vulnerado, en el cual el atacante
tomo el control de las cuentas de los directivos y se reenviaba los
mails a otras casillas de correo.
Elementos de valor encontrados:
1.
Rastros de los programas que utilizó para la elevación de
privilegios
2.
IPs y horarios desde los cuales se conectaba
3.
Logs que demostraban la actividad del intruso
4.
Casilla de correo externa hacia la cual se reenviaban los
correos electrónicos.
FACTORES CLAVE PARA EL ÉXITO
 Reportar
 Tomar
el incidente
medidas de manera temprana
 Identificar
los elementos que estuvieron
involucrados en el incidente.
 Extraer
y preservar la evidencia (tener en
cuenta un notario y un especialista)
¿QUE SE DEBE EVITAR?
 Utilizar
los elementos involucrados
 Dilatar
el tiempo…
 Esconder
y no dar a conocer a las
autoridades el incidente
 Manipular
de manera incorrecta la evidencia
GRACIAS POR ASISTIR A ESTA SESIÓN…
PARA MAYOR INFORMACIÓN:
Ing. Maximiliano Bendinelli - ENCE
[email protected]
@mbendinelli
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en
Related documents
Ing. Maximiliano Bendinelli (MP 1883
Ing. Maximiliano Bendinelli (MP 1883
Informática Forense - Internet Security Auditors
Informática Forense - Internet Security Auditors
Metodología para realizar el manejo de
Metodología para realizar el manejo de
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
Introducción - DSpace de la Universidad Catolica de Cuenca
Introducción - DSpace de la Universidad Catolica de Cuenca
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
Guía Metodológica para el análisis forense
Guía Metodológica para el análisis forense
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
Diseño de un Laboratorio Forense Digital
Diseño de un Laboratorio Forense Digital
framework para la computación forense en colombia framework for
framework para la computación forense en colombia framework for
Informe sobre el Peritaje Informático
Informe sobre el Peritaje Informático