Sesión 1 - Introduccion a la informatica forense

Introducción a la Computación Forense 01/04/2011

Daniel Torres Falkonert (c) 2011 1

Introducción al

entorno de los Delitos

de Alta tecnología

Ing. Daniel A. Torres Falkonert

Email: [email protected]

Especialista en Seguridad de la información

Sobre mi

• Descubrí el gusto por los computadores desde los 4 años (Gracias papá!!)

• En el mundo de la seguridad desde el año 96

• Ingeniero de Sistemas (Uniandes)

• Especialista en seguridad de la información (Uniandes)

• Trabajo en Informática Forense desde el 2003

Mi primer computador

Daniel Torres Falkonert (c) 201101/04/2011 2



El mundo es cada vez más pequeño

Las TIC (Tecnologías de la Información y la Comunicación) dan a las personas la posibilidad de crear, producir y acceder a contenidos a una escala hasta hace poco impensable.

Software, textos, música, imágenes, videos, estas obras están a un click de distancia.

Gracias a las TIC el ciberespacio se ha convertido en una extensión de los espacios físicos

01/04/2011 3Daniel Torres Falkonert (c) 2011

Bibliotecas virtuales

01/04/2011 Ciberseguridad y Cibercrimen 4



Cultura


Ahora es más fácil casarse




O divorciarse


¿Cura contra la catalepsia?




Participación Ciudadana


Libertad de expresión




Tecnología para combatir la

delincuencia


Tecnología omnipresente

En el camino Trabajando

Fuera de la ciudad

De compras

Informacióncorporativa

PersonalInformation

Información geográfica

♪ContenidosDigitales

La tecnología cada vez llega a nuevos espacios

Juegos

teléfonos

PC

DVD

Audio

TV

DVC

Hogar

Todos participan!!!




Podría pasarle a usted


¿Podemos vivir sin Tecnología?




Están cambiando las normas de

urbanidad


¿Qué Opinan?




Mal uso de la tecnología

Muchas veces la persona está

simplemente contestando correos de

amigos o actualizando su perfil en

Facebook.

Para muchos, su uso en estas ocasiones

es una falta de respeto para el resto de

los asistentes y una permanente causa

de distracción para los reunidos.


Chismes por internet




Las Redes Sociales


Tienen muchas ventajas!!

• Favorecen la participación y el trabajo colaborativo

• Permiten construir una identidad personal y/o virtual,

• Facilitan las relaciones entre las personas, evitando todo tipo de barreras tanto culturales como físicas.

• Facilitan la obtención de la información requerida en cada momento, debido a la actualización instantánea.

• Facilitan el aprendizaje integral fuera del aula escolar, y permiten poner en práctica los conceptos adquiridos.




Encontrar viejos amigos


Encontrar desaparecidos




S.O.S.


Podemos volvernos famosos




¿quién no la conoce?


Conocer a nuestra alma gemela




Herramienta policiaca





También tienen otros efectos

• Promueven el aislamiento entre las personas.

• Es posible volverse adicto a las redes sociales.

• Desalientan las actividades fuera del ordenador.

• Se corre el riesgo de ir sustituyendo las relaciones afectivas reales por relaciones virtuales.

• Son herramientas potenciales de estafadores, secuestradores y traficantes de personas.

• Pueden ser utilizadas como herramientas de desprestigio o difamación hacia alguna persona o institución.

• Los menores de edad son especialmente vulnerables al utilizarlas.

• Acceso a la información privada de los usuarios.

• Algunas legislaciones carecen de regulación en este aspecto





Problema sin control


Suplantación




Y la Privacidad y

la Reputación?



Definición

El Artículo 12 de la "Declaración Universal de los Derechos Humanos" adoptada por

la Asamblea General de Naciones Unidas establece que el derecho a la vida privada

es un derecho humano:

"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su

correspondencia, ni de ataques a su honra o su reputación. Toda persona tiene

derecho a la protección de la ley contra tales injerencias o ataques."

01/04/2011




Definición

01/04/2011

¿Qué tal esto?






¿Qué control tenemos sobre lo que

los demás publican de nosotros?

01/04/2011



Ciberseguridad Vs Cibercrimen 39

Observe las siguientes imágenes

¿Le suena conocido?




¿Merecen ser nominados a ser

los más iguazos del facebook?


The Dog Poop Girl

• Incidente ocurrido en Junio de

2005 en Corea del Sur

• En cuestión de días fue

identificada y sus datos

publicados en Internet, junto

con los de algunos familiares

• Fue tanta la presión que tuvo

que retirarse de la universidad




Tiene una entrada en Wikipedia



Star Wars Kid

• Noviembre de 2002

• Uno de los videos más vistos en la historia de internet. (900 millones de descargas aprox.)

• Se hicieron múltiples adaptaciones del video

• El video fue encontrado y publicado por un tercero.

• El protagonista se retiró del colegio y termino el año visitando a un psiquiatra.




Fenómeno Mundial


Numa Numa

• Publicado en diciembre de 2004

• Fue publicado por su autor, Gary Brolsma.

• Ha servido de inspiración para otras parodias de la canción




Fenómeno mundial

The New York Times Metro, Saturday, February 26, 2005, page B6.

Caso “Little Fatty”

•El fenómeno comenzó en china a

finales del año 2002 (circa).

•Quian tenia 16 años en ese entonces.

•Le tomaron una foto en una clase

•Debido a su expresión, la foto fue

usada para hacer montajes sobre

cuerpos de celebridades.

•Su imagen se propagó por cientos de

sitios web en cuestión de dias.

•Algunos la describieron como una de

las caras máss famosas de china

•Ahora tiene hasta su propia entrada

en wikipedia




“Little Fatty”


“Little Fatty”




“Yo hablo inglés pero despacio”


El tipo del tapabocas




El grupo de Fans tuvo un crecimiento

exponencial


Su foto también se uso para hacer

montajes




Hasta le hicieron una oración


Generó una búsqueda intensiva




Finalmente lo encontraron


¿adecuado o peligroso?




Caer en la eternidad del ciberespacio



¿Cómo sobrevivir a la

humillación en línea?

01/04/2011





Visión tradicional de la privacidad

PúblicoPrivado

01/04/2011



Privacidad 2.0

• Propuesta por Daniel Solove

• Consiste de 4 grupos

principales de actividades:

– Recolección de información

– Procesamiento de información

– Diseminación de información

– Invasión


Geolocalización





¿Será que el libre flujo de información

inherente al ciberespacio nos está

haciendo cada vez menos libres?

01/04/2011

Entonces ¿cómo vivir en este mundo si hasta

nosotros mismos somos peligrosos?




¿Pero quién paga los platos

rotos?

01/04/2011 Daniel Torres Falkonert (c) 2011 67

68



Según la Real Academia de la Lengua

Española

pirata informático. Traducción recomendada para la voz inglesa hacker, ‘persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos’: «Un pirata

informático logró jaquear

los sistemas de seguridad»

(Clarín@ [Arg.] 19.6.05).

69

¿Qué dice wikipedia?

• Hacker es el neologismo utilizado para referirse a un experto (véase gurú) en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.

• … en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.

70



¿Qué tal esta?

The word hacker has taken on many meaning ranging from a person who enjoys learning the details of a computer system and how to stretch their capabilities to a malicious or inquisitive meddler who tries to discover information by poking around, possibly be deceptive or illegal means.

— Guy Steel Jr., The Hacker’s Dictionary

71

¿Y qué dice Richard Stallman?

• Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil.

• No implica hacerlo con computadoras.

• Es posible ser un hacker de las bicicletas.

72



Pero no todo tiene que ver con

seguridad

73

Phreaker

• Los que inspiraron a los hackers

• Personas que estudian, experimentan o exploran los sistemas de comunicación de las redes telefónicas

• Lograban hacer llamadas de larga distancia gratis manipulando las centrales telefónicas

74



¿Y entonces qué es Cracker?

Según Wikipedia:

• Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.

• Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño.

75

Y Aún hay más…

El término deriva de la expresión "criminal hacker", y fue creado alrededor de 1985 por contraposición al término hacker, en defensa de éstos últimos por el uso incorrecto del término.

Se considera que la actividad realizada por esta clase de cracker es dañina e ilegal.

76



¿Pero entonces cuál es la

definición correcta?

77

Un poco de historia

Fechas e hitos de la historia del Hacking

78



1878

Operadores de “Bell

Telephone company”, a

propósito redirigen llamadas

telefónicas al destino

incorrecto, y escuchan lo que

sucede.

Desde entonces “Bell

Telephone company” no

volvió a contratar operadores

(hombres)

79

1943

Comienza a operar Colossus en Inglaterra.

Es el primer computador electrónico.

Diseñada por Alan Turing

Se construyó para ayudar a los científicos aliados a

descifrar los códigos alemanes producidos con la

máquina enigma.

Ref.: http://www.atariarchives.org/deli/Time_Line.php

80



1961

•El “Tech Model Railroad Club” del MIT

recive su primer computador PDP-1.

•Lo utilizan para controlar los trenes

de juguete.

•Los antiguos miembros evolucionaron

una cultura y jerga propios.

•Se dice que ellos inventaron el

término hacker

•Ellos entendían por hacking como el

inventar una rápida y elegante

solución para un problema complejo,

modificando partes de un sistema sin

afectar el todo.

81

1964

Texas v. Hancock

Un empleado que robó un software

del computador de su empleador es

capturado y sentenciado a 5 años de

prisión.

El afectado tuvo pérdidas por

aproximadamente 5 millones de

dólares

Este constituye el primer delito

informático llevado a la justicia..

82



1966

US vs Bennet

Primer caso federal que involucra el uso de

computadores.

Un programador de un banco es acusado de

“ajustar” un computador para qué apruebe

todos sus cheques

83

1969

•Dennis Ritchie y Ken Thompson

desarrollan la primera versión del

sistema operativo UNIX.

•Este sistema permite a diferentes

programadores acceder a los recursos

de un sistema simultáneamente.

•También se puede ejecutar en

diferentes arquitecturas de hardware.

84



1969

•El departamento de defensa de los

Estados Unidos desarrolla ARPANET.

•Es la primera red de computadores de

alta velocidad.

•Interconecta universidades,

laboratorios de investigación, y

contratistas de defensa.

85

1971

•John Draper, aka Cap'n Crunch

descubre que el silbato que viene en

las cajas de cereal Cap'n Crunch, le

permite hacer llamadas de larga a

distancia gratis.

•Esta práctica se comenzó a denominar

“Phreaking”

•Draper inventa la caja Azul, la cual

reproduce los tonos que los equipos

de la infraestructura telefónicas.

86



1971

•Se publica el Magazine

YIPL

•Aquí se revelan

algunos secretos del

Phone Hacking

(Phreaking)

87

1971-1972

•Steve Wozniak, Steve Jobs y Bill

Klaxton contactan a John T Draper

•Intercambian conocimientos de la

Caja Azul (“Blue box”)

•En la primera llamada “Woz”, se hace

pasar por Henry Kissinger y llama al

Papa.

•En contravía al consejo de Draper,

“Woz” comercializa la caja azul por

U$150.

•Parte de este dinero se utilizó para

fundar Apple Computer Inc.

88



Mayo de 1972

•John T Draper es arrestado por cargos

de fraude telefónico.

•En la carcel le enseña a sus

compañeros los detalles de cómo ser

phreaker

•En el artículo “Prisons are Universities

of Crime ”, describe como fue su

tiempo en prisión http://www.webcrunchers.com/crunch/Play/

history/prisons.html

89

1981

Cuatro adolescentes de octavo grado

de un colegio privado de Manhattan

utilizan sus terminales para tener

acceso a otros computadores.

Por ensayo y error logran

comprometer los sistemas de varias

compañías canadienses.

Después de una semana, el FBI y la

policía de Canadá capturan a los

adolescentes.

A pesar de las pérdidas, no se

presentaron cargos

http://www.atariarchives.org/deli/Tim

e_Line.php

90



1982

Comienza la decadencia del

movimiento Hacker

Richard Stallman, buscando conservar

la tradición, comienza a desarrollar un

clon libre de Unix escrito en el

lenguaje C llamado GNU (GNU’s Not

Unix)

91

1983

•“The Great Hacking Scare of 1983”

•Se estrena la pelicula War Games dirigida por John Badham.

•Tiene un profundo impacto en el movimiento hacker de los 80s.

•Inició una paranoia colectiva en la prensa sobre el poder de los computadores. En algunos casos se llego a cuestionar a los padres de dejar a sus hijos usar computadores.

•El director del FBI, Floyd Clarke , dice que un computador puede ser utilizado “como un arma, un cuchillo o el lapicero de un falsificador” y dice queurge la creación de nuevas leyes contra el hacking.

92



1983

El FBI investiga e identifica a los 414s

Eran un grupo de hackers adolescentes. (de 16

a 22)

Se les acusó de romper la seguridad de varios

computadores del gobierno

El caso fue ampliamente divulgado por los

medios de comunicación

http://en.wikipedia.org/wiki/The_414s

93

1984

Al presentar su tesis doctoral sobre

Ingeniería Eléctrica en la Universidad

del Sur de California, demostró cómo

se podían crear virus, motivo por el

cual es considerado como el primer

autor de virus "autodeclarado".

Clasificó a los emergentes virus de

computadoras en tres categorías:

caballos de Troya, gusanos y virus

informático.

94



1984

El autor William Gibson utiliza por

primera vez el término ciberespacio en

su novela Neuromancer.

Donde se cuenta la historia de un

hacker a sueldo.

En esta novela Gibson explora la

Inteligencia Artificial, la Realidad

Virtual, la ingeniería genética y la

acumulación de poder de las

corporaciones multinacionales antes

de que estas ideas entraran a la

cultura popular.

95

1984

Se publica la

revista de Hackers

2600.

En ella se publican

tips para los que

quieren se hackers

y Phreakers.

96



Noviembre 2 de 1988

•El Gusano Morris (Morris Worm) es liberado

•Escrito por el estudiante Robert Morris Jr.

•Un error de programación en el código permite su rápida y descontrolada propagación. Debería replicarse 1 de cada 7 veces. (resulto ser demasiado!!!)

•Se comprometieron aproximadamente 6.000 sistemas UNIX.

•Se dice que las perdidas producidas por el ataque fueron más de US10’000.000

97

1988

Se crea el centro de coordinación CERT

(Computer Emergency Response

Team)

Financiado por el la Agencia de

Investigación Proyectos Avanzados de

Defensa (ARPANET).

Es un sitio centralizado donde se

reportan problemas de seguridad en

Internet.

98



1989

Los Hackers alemanes y

la KGB

Es el primer caso en el

que un grupo de hackers

se ve involucrado en un

caso de espionaje

internacional

El caso inspira la película

23 de 1997.

99

1989

Sí, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es ser más inteligente que vosotros, algo que nunca me perdonaréis.

Soy un hacker, y éste es mi manifiesto. Podéis eliminar a algunos de nosotros, pero no a todos... después de todo, somos todos iguales.

Se publica el Hacker Manifesto,

Escrito por “The Mentor” después de

su arresto

Es considerado una piedra angular de

la cultura Hacker.

100



1990

Nace la EFF (Electronic Frontier

Foundation)

Parte de su finalidad es defender los

derechos de aquellos acusados de

hacer hacking.

Tambien defiende el derecho a la

privacidad, la libertad de expresión y

los derechos de autor.

101

1990

Kevin Poulsen , tambien conocido

como "the Hannibal Lecter of

computer crime.“

Gana un Porshe en concurso de una

emisora mediante la manipulación de

las líneas telefónicas.

102



1996

Un grupo de Hackers Modifica .la

página de la CIA

Una llamada anónima a CNN dice que

los responsables eran Hackers Suecos.

No se comprometieron documentos

clasificados de la agencia.

103

http://www.cnn.com/TECH/9609/19/cia.hacker/index.html

1999

•Propagación del virus Melissa.

•No estaba originalmente diseñado

para causar daño.

•Sobrecargó los servidores de correo

de todo el mundo.

•Se propagaba a través de archivos de

MS Word

104



2000

105

Ataques de negación de

servicios distribuidos

deshabilitan varios de los

sitios más grandes de

comercio electrónico.

Ataque realizado por un

adolescente de 16 años.

(MafiaBoy)

Este ataque presiona a que

se creen leyes que ayuden a

cazar a los delincuentes

informáticos

20002000

• Desde Manila…. I Love You

• El virus “Lovebug” causa caos en

sitios comerciales y del gobierno.

• El autor, un estudiante filipino, no

es arrestado por que en su país no

existen leyes contra el delito

informático

106



20012001

• Se propaga el virus Code

Red

• En 5 días alcanza a infectar

aproximadamente

359.000 sistemas.

107

2008

• Ransomware: La nueva generación del Malware

• Gpcode es el primer malware que utiliza criptografía de alto grado

• Los autores piden entre $100 y $200 por el programa de descifrado.

• Para romper su llave encripción se necesitarían aproximadamente 15M de computadores actuales

Ref: http://blogs.zdnet.com/security/?p=1259

108Daniel Torres Falkonert (c) 2008



Evolución del término Hacker

• 4 Generaciones

– Primera Generación: Programador Creativo. MIT, Stanford. (1960s)

– Segunda Generación: Hacen que los computadores evolucionen (1970s)

– Tercera Generación: Romper protección de Juegos (1980s)

– Cuarta Generación: Delincuencia (1990s)

– Quinta Generación: Ciberterrorismo y Ciberguerra (2K)

109

¿Hay hackers buenos y malos?

110



Clasificación Hackers

111

“Bando”

Black Hat White Hat

Clasificación por Nivel de conocimientos

112



No todos son expertos

113

Intrusos Internos

• Conocen de los sistemas de la organización

• En posición de llevar a cabo un ataque debido

a que tienen privilegios en el sistema.

• Empleado molestos, Exempleados.

• El mayor de los problemas (70-80% de los

casos)

114



¿Cómo es un Hacker?

115

Las Caras de los Hackers

Captain Crunch

Robert Morris

Joy Bubbles

Kevin Poulsen

116



La Vieja Escuela

117

Josef Carl Engressia, Jr., a.k.a. Joybubbles, The Whistler

May 25, 1949(1949-05-25) – August 8,

2007

Was an early phone phreak. Born

blind, he became interested in

telephones at age four.

As a five-year old, Engressia discovered

he could dial phone numbers by

clicking the hang-up switch (“tapping”)

At the age of 7 he accidentally

discovered that whistling at certain

frequencies could activate phone

switches.

See Wikipedia, Joybubbles,

http://en.wikipedia.org/wiki/Joybubbles

(optional description here) (as of Sep. 22, 2008,

23:19 GMT).

118



John T. Draper, a.k.a. Captain Crunch, Crunch or Crunchman

Former phone phreaker.

A blind friend,named Joe Engressia

(a.k.a. Joybubbles) informed him that a

toy whistle that was, at the time,

packaged in boxes of Cap'n Crunch

cereal could emit a tone at precisely

2600 hertz—the same frequency that

was used by AT&T long lines to

indicate that a trunk line was ready

and available to route a new call.

(John Draper,

http://en.wikipedia.org/w/index.php?t

itle=John_Draper&oldid=238473071

(last visited Sep. 22, 2008). )

119

Stephen Wozniak, a.k.a. "Woz"

Wozniak, along with current Apple

CEO Steve Jobs, co-founded Apple

Computer.

After reading an article about phone

phreaking in Esquire, Wozniak called

up his buddy Jobs. Got his start in

hacking making blue boxes.

The pair did research on frequencies,

then built and sold blue boxes to their

classmates in college.

Wozniak even used a blue box to call

the Pope while pretending to be Henry

Kissinger.

(http://www.itsecurity.com/features/top-10-

famous-hackers-042407/)

120



Richard Matthew Stallman

American software freedom activist,

hacker (programmer), and software

developer.

With the launch of the GNU Project,

he started the free software

movement and, in October 1985, set

up the Free Software Foundation.

121

Bruce Schneier

American cryptographer, computer

security specialist, and writer.

He authored several books on

computer security and cryptography.

Designed the Blowfish and Twofish

algorithms.

122



Dan Farmer

After graduating from Purdue

University he started developing the

COPS program for identifying security

issues on Unix systems.

In 1995, he and Wietse Venema

created SATAN (Security Administrator

Tool for Analyzing Networks), a

network based vulnerability scanners.

123

Wietse Zweitze Venema

Dutch programmer who wrote the

Postfix mail system.

He has also written security tools, such

as SATAN and The Coroner's Toolkit

together with Dan Farmer.

124



Susan Lynn Headley a.k.aThunder

Was a hacker during the late 1970s and early 1980s.

Is one of the few female hackers and member of the Roscoe Gang.

the new group hacked into various network systems based in California, including U.S. Leasing in December 1982 and the Digital Equipment Corporation.

Headley specialized in social engineering.

She then gave up hacking and eventually moved to Las Vegas, where she became a professional poker player.

125

Loyd Blankenship, a.k.a. The Mentor

Has been a well known hacker and

writer since the 1980s

He was a member of the hacker groups

Extasyy Elite and Legion of Doom.

Author of the Hacking Manifesto

126



The Root of all Evil ☺☺☺☺

The beginnings of Microsoft.

127

Hackers de la nueva escuela

128



Linus Benedict Torvalds

Finnish software engineer

Best known for having initiated the

development of the Linux kernel.

He later became the chief architect of

the Linux operating system, and now

acts as the project's coordinator.

129

Lance Spitzner

Founder of the Honeynet Project, with

some of the eight computers that are

running in a spare bedroom of his

suburban Chicago home that he uses

to study how computer hackers attack

networks.

Now 30-people strong, the Honeynet

Project has become one of the leading

efforts to monitor the so-called

blackhat hacker community.

(AP Photo/Ted S. Warren)

130



Tsutomu Shimomura

One of the world's top computer

security experts

Shimomura helped Federal officials

track down and arrest computer

hacker Kevin Mitnickin Raleigh Feb. 15,

1995 in connection with a break-in on

Shimomura's computer.

(AP Photo/The Raleigh News &

Observer, Robert Willett)

131

Deborah Frincke

Professor of Computer Science at the

University of Idaho in Lewiston, Idaho,

works in her office in Lewiston in this

October 1999 photo.

She and her colleagues are in the

process of developing and monitoring

software for the US department of

defense that would repel computer

hackers.

(AP Photo/University of Idaho).

132



Mudge

Testifies on Capitol Hill Tuesday May

19, 1998 before the Senate

Governmental Affairs Committee

hearing on computer hacking.

"Mudge" along with fellow hackers

told the committee that computer

security is so lax, they could disable

the entire Internet in a half-hour.

(AP Photo/William Philpott)

133

Gordon Lyon, a.k.a. Fyodor

Network security expert, open source

programmer (Nmap Security Scanner),

writer, and self-proclaimed hacker.

Author of the nmap network scanner

134



Pierre Kroma

IT security consultant Pierre Kroma

looks on as he hacked succesful a web

server during a live hacking show at

the computer fair CeBIT in Hanover on

Thursday March 10, 2005.

(AP Photo/ Jan Bauer)

135

Jon Lech Johansen,

Edad: 19

Appears in court in Oslo Friday, Dec.

13, 2002.

Became a hero to computer hackers

and was deemed a villain by

Hollywood,

Was on trial for writing and

distributing a program called DeCSS,

software which makes it possible to

copy protected DVD films.

(AP Photo/Bjoern

Sigurdsoen/SCANPIX)

136



Dmitry Sklyarov

Edad: 27

Russian computer programmer

Faced federal charges in the first

criminal prosecution under the 1998

DMCA.

He and his employer, ElComSoft Co.

Ltd. of Moscow, were charged with

releasing a program that disables

copyright restriction on Adobe

Systems Inc.

(AP Photo/Paul Sakuma)

137

Robert Tappar Morris Jr.

He is best known for creating the

Morris Worm in 1988, considered the

first computer worm on the Internet.

The original intent, according to him,

was to count how many machines

were connected to the internet

138



Joanna Rutkowska

Joanna Rutkowska is a Polish security

specialist, primarily known for her

research on stealth malware and

contributions to Windows Vista

backdoor installation and hiding

techniques.

In August 2006 at the Black Hat

Briefings conference in Las Vegas,

Rutkowska presented system

compromise techniques that could be

used on Windows Vista systems - and

subsequently, has been named one of

Five Hackers who Put a Mark on 2006

by eWeek Magazine for her research

on the topic

139

Otros, no muy legales

140



Kevin Mitnick

Was arrested Feb. 15, 1995 in

connection with a daring and

mysterious Christmas Day 1994 break-

in on the computer of Tsutomu

Shimomura, one of the world's top

computer security experts.

(AP Photo/Raleigh News & Observer-

Jim Bounds)

141

Vladimir Levin

He does not only look like a Russian

criminal he is one at least in the eyes

of the evil Citibank corporation.

Levin spent 3 years in jail because of

attempting to fraudulently transfer

US$10.7 million via Citibank's

computers.

142



Gary McKinnon

Edad: 40

Accused of mounting the largest ever

hack of United States government

computer networks -- including Army,

Air Force, Navy and NASA systems –

The court has recommended that

McKinnon be extradited to the United

States to face charges of illegally

accessing 97 computers, causing

US$700,000 (400,000 pounds; euro

588,000) in damage.

(AP Photo/Lefteris Pitarakis)

143

Mafiaboy

Edad: 16

66 charges relating to attacks last year

on several major Web sites, as well as

security breaches of other sites at

institutions such as Yale and Harvard.

He pleaded guilty to 55 charges of

mischief.

Crippled several major Internet sites

including CNN, arrives in court

Thursday, Jan. 18, 2001 in Montreal,

Canada.

(AP Photo/Canadian Press, Andre

Forget)

144



Michael Haephrati y Ruth Brier-Haephrati

Edad: 41 y 28 (resp.)

The two have been arrested in Britain

last week and are both wanted in

Israel on suspicion of computer

hacking offenses involving the use of a

so-called Trojan horse software

program, which sits in the victim's

computer and gives the hacker full

access to the machine over the

Internet. (AP Photo/Haaretz Daily)

145

Billy Hoffman

Georgia Tech student poses with his

campus debit card Thursday, July 3,

2003.

Hoffman got into trouble when he

hacked into The debit card system

used at GT and 223 other colleges

using a knife and a laptop.

The debit card system is used at GT

and 223 other colleges to handle

purchases of everything from

textbooks to 10 minutes on dorm

dryers.

(AP Photo/John Bazemore)

146



Dennis Moran a.k.a. "Coolio"

Sentenced to nine months in jail. He

was also ordered to help jail officials

with their computer programs while

behind bars.

Pleaded guilty to hacking into national

computer sites last year belonging to

the Army, the Air Force and the anti-

drug Dare.com. (AP Photo/Jim Cole)

147

Jerome Heckenkamp

Edad: 21

A Los Alamos National Laboratory

employee charged with hacking into

six company Web sites prior to his

employment at the lab

Was ordered to appear in two district

courts in California on computer-

tampering charges.

(AP Photo/Jake Schoellkopf)

148



James S. Green IIEdad: 35

A former security guard at General Motors Corp.'s Warren, Mich., technical center

Is accused of taking employee Social Security numbers and using them to hack into the company's employee vehicle database.

Counts of obtaining, possessing or transferring personal identity information, one count of using a computer to commit a crime and one count of stalking that was unrelated to the GM cases.

(AP Photo/Macomb County Sheriffs Department)

149

Jonathan James, a.k.a"cOmrade"

Was sentenced to six months in a

detention facility for hacking into

computers at the Pentagon and NASA.

Pleaded guilty to intercepting 3,300

email messages at one of the Defense

Department's most sensitive

operations and stealing data from 13

NASA computers, including some

devoted to the new International

Space Station.

(AP Photo/NBC-6, via The Miami

Herald)

150



Onel A. de Guzman

Filipino computer student

He may have accidentally released the

"Love Bug" virus that crippled

computer e-mail systems worldwide.

(AP Photo/Ed Wray)

151

Chen Ing-hau

Allegedly created the Chernobyl computer virus, provides an antivirus

program during an interrogation at a

police station in Taipei,Taiwan

According to a police statement, Chen

admitted he didn't expect the virus he

allegedly authored to cause the

computer meltdowns that it did in

many countries.

(AP Photo/Heng Ta-peng)

152



David L. Smith

Edad:30

Was arrested and charged with

originating the e-mail virus known as

Melissa, which swamped computers

around the world, spreading like a

malicious chain letter.

(AP Photo/HO, State Attorney General)

153

Eric O. Jenott

Army Pfc.

Charged with espionage for allegedly

hacking into military computer

systems and giving national defense

secrets to the Chinese.

(AP Photo). Submit Date 08/21/1996

23:51:00

154



Richard Pryce, a.k.aDatastream Cowboy

British music student

The teenager faces 12 charges of

unlawfully gaining access to the

computer systems of the US Air Force and Lockheed missile systems based

in the USA.

(AP Photo/Rebecca Naden)

155

La delincuencia evoluciona

Antes Ahora




Evolución





Un negocio muy rentable


Un ejemplo

concreto

Del atraco tradicional al atraco digital

Daniel Torres Falkonert (c) 2010



Clonación de tarjetas


Lectores Falsos colocados en los

Cajeros Automáticos.




Seis pequeñas baterías conectadas a un microinterruptor

Micro Interruptores

Circuito de Transmisión

Antena de Transmisión Lector

Anatomía


Clonación de tarjetas




Trampas colocadas en los Cajeros

Automáticos.


El Santo Grial del robo de cajeros

BARNABY JACK

Jackpotting Automated Teller Machines Redux

Black Hat 2010, Las Vegas, EEUU.




Phishing

Phishing

Internet

Hola! Usted tiene

correo nuevoEl usuario es atraído

a hacer clic en el

mensaje y, con esto

iniciar la infección de

su computador

Cuando acceda a la

entidad financiera, los

datos de acceso son

capturados

del sistema del usuario




Phishing

Internet

Internet

E-MAIL

FTP

HTTP

\casd

fasdf

asdfa

s

\casd

fasdf

asdfa

s

\casd

fasdf

asdfa

s

Vías de difusión tradicionales

Las vías de difusión más habituales de esta técnica son:

– Correo electrónico

– Sistemas de mensajería instantánea

– Chats y foros

– Teléfono

– Fax

– …




Vias de difusión más sofisticadas


Y para empeorar las cosas




Estadísticas

• Industrias afectadas por el phishing (2008)

173

Fuente: http://www.antiphishing.org

IMAGEN DE UN SEÑUELO

Ejemplo




4/1/2011



SITIO REAL DEL BANCO

4/1/2011 2009 ©Daniel Torres Falkonert

4/1/2011



SITIO SUPLANTADO

4/1/2011

4/1/2011



4/1/2011

4/1/2011



¿Pero quién está

detrás de todo?

¿Se puede generalizar a los Hacker

como responsables?

01/04/2011 Daniel Torres Falkonert (c) 2011 183

¿Qué se necesita

saber para cometer

un delito de alta

tecnología?


¡¡¡muy poco!!! Ahora cualquiera puede ser un

“hacker”



Los ataques son cada vez más sofisticados y requieren menos conocimientos

185

… y lo mejor de todo




La mayoría se consigue libremente en Internet


O también lo puede comprar




Delincuencia

Organizada

El bajo mundo del ciberespacio


El lado oscuro
















Spear Phishing

Ataques dirigidos


Consigue la contraseña hotmail deseada, es tu oportunidad

Averigua que dicen tus 'amigos' de ti, si tu 'novia'(o) es tu verdadera(o) 'novia'(o) o deseas saber algo de tus más cercanos, esta es tuoportunidad




Proceso de negocio


Facilidades de pago!!!





Además llegar a las víctimas es

mucho más fácil de lo que pensamos

…




… la información está más expuesta

de lo creemos gracias a nuestro gran

amigo


… Podemos buscar hojas de vida




… por lo menos nos conoce muy bien.


Otro ejemplo …




¿qué tan expuestos estamos?





Este ya es el colmo


Podemos automatizar fácilmente el

proceso




... Y podemos conseguir aún más

información si sabemos dónde buscar





Es muy fácil conseguir la información

de las personas.


Ingeniería social

• Es la práctica de obtener informaciónconfidencial a través de la manipulación

• “Los usuarios son el eslabón débil".

• Aprovechar la tendencia natural de lagente a reaccionar de manerapredecible en ciertas situaciones (ej.:Caso del robo de un c. portátil en el poli)




¿Por qué son tan exitosos estos

ataques?• Los ataques de ingeniería

social son exitosos NOporque las personas sean poco inteligentes y carentes de sentido común.

• ¿Es porqué no tenemos firewall ni antivirus?

• NO!!, todos, como seres humanos, somos susceptibles de ser engañados

¿Por qué somos vulnerables?

• Según Kevin Mitnik, la ingeniería social se basa en cuatro principios:

1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza hacia el otro.

3. No nos gusta decir No.

4. A todos nos gusta que nos alaben.



¿Y el malware?


Las herramientas y técnicas utilizadas por los intrusos son cada vez más sofisticadas




Analogía: Evolución de los juegos de

video


Además los intrusos han cambiado sus

objetivos

Antes

El objetivo era entrar al

sistema

Ahora

El objetivo es mantenerse en

el sistema

Daniel Torres Falkonert (c) 2011One Hit Wonder

The King01/04/2011 220



Receta para un buen Malware1. Identificar el Objetivo:

1. ¿Qué información quiero obtener?

1. #s de Tarjetas de crédito

2. Credenciales bancarias

3. Contraseñas, etc.

2. Diseñar el malware1. ¿Qué necesito?

1. *-Logger

2. Sniffer

3. Backdoor

4. …

5. Todas las anteriores


Receta para un buen Malware (cont.)2. Diseñar el malware (Cont.)

2. Nombre del proceso

1. Malware.exe (FAIL!)

2. httpd, svchost.exe

3. Funcionalidad

1. Mejor lento y silencioso

2. Masivo o dirigido

4. Persistencia, sigilo y almacenamiento

1. Sobrevivirá a reinicios del sistema?

2. Técnicas anti-forenses

3. Criptografía

4. Canales encubiertos

5. …




Receta para un buen Malware (cont.)3. Desarrollar el malware

1. Qué usar?

1. Utilizar uno ya existente

2. Modificar uno ya existente

3. Utilizar código de terceros

4. Desarrollarlo de ceros (Se tiene el Know How?)

5. Contratar a algún grupo de hackers de Europa del Este para que lo desarrolle

2. Empaquetar

1. Para que no lo detecten los AV/IDS

4. Probar el malware

1. Tumba el sistema?

2. Es detectable?

3. …


Receta para un buen Malware (cont.)5. Propagar

1. Escoger el vector de

propagación

1. Ingeniería social

2. Hacking

3. Browser Hijacking

4. Directamente: “Hola, mira

atrás tuyo”

6. Buscar la información deseada

1. Tráfico de red

2. En la memoria

3. Directorios de usuario

4. …




Receta para un buen Malware (cont.)5. Propagar

1. Escoger el vector de

propagación

1. Ingeniería social

2. Hacking

3. Browser Hijacking

4. Directamente: “Hola, mira

atrás tuyo”

6. Buscar la información deseada

1. Tráfico de red

2. En la memoria

3. Directorios de usuario

4. …


Receta para un buen Malware (cont.)7. Obtener la información

1. Minimizar el tráfico saliente

2. No reinventar la rueda

1. http(s), ICMP, etc.

2. Los puertos altos son sospechosos

3. P2P (Sexy!!!)

4. TOR (Aún más Sexy)

8. Cubrir el rastro

1. Cambiar tiempos MAC

2. Eliminar logs

3. Aplicar técnicas de rootkits/Anti-forenses

4. Actualización remota

9. Servir con Vino Tinto




NetBus•Brilló en su momento

•Permitia tomar el control completamente del PC infectado.

•Podía estar insertados en correos y páginas web o como parte de la instalación de algún otro SW.

•No originaba ninguna alerta en el usuario – el peligro estaba relativamente oculto(No utilizaba técnicas de rootkits actuales)


GPCODE

• Ransomware

• Gpcode es el primer malware que utiliza criptografía de alto grado

• Los autores piden entre $100 y $200 por el programa de descifrado.

• Para romper su llave encripción se necesitarían aproximadamente 15M de computadores actuales

Ref: http://blogs.zdnet.com/security/?p=1259




Zeus

Malware comercial:

•Toolkit entre U$3.000

y U$10.000)

•Alquiler del servicio

(Hosting, adaptación,

propagación, etc.)

desde U$700

•Facilidades de pago.

El constructor crea una

copia única que no es

detectada por el software

de protección actual

Tiene EULA!!!!!!


Zeus




Zeus


Zeus




A Rey Muerto, Rey Puesto


STUXNET: El Rey de reyes

• Utiliza 4 diferentes ataques de día cero (zero-day) para Windows!!!

• Infecta sistemas de control Industrial (SCADA)

• Demasiado sofisticado para ser desarrollado por un grupo independiente (inclusive por una organización criminal)

• Firmado digitalmente con 2 certificados robados a empresas taiwanesas (Jmicron y Realtek)

• Se cree que es financiado por un estado.

• ¿Primera Ciber-arma?




Malware patrocinado por gobiernos


¿Qué nos espera?




Ellos ya empezaron

a prepararse

… y nosotros?


¿Y entonces?

¿qué hacer?



La solución no es

desconectarnos


La paranoia tampoco es la respuesta




Es adecuado

prohibir?


¡Recuerde!

Gran parte de los ataques se basan

en la propia conducta del usuario y

en su confianza.



Analfabetismo Digital

• Se puede percibir una marcada aversión hacia los temas técnicos por parte de las personas no conocedoras del tema.

• El lenguaje técnico se ha convertido en un obstáculo para que las personas puedan comprender temas vitales en relación con la “supervivencia en el ciberespacio”.

• De la misma manera, los que dominamos en cierta medida la terminología y las tecnologías informáticas no siempre estamos consientes que los conceptos y procedimientos que utilizamos, a nuestros ojos pueden parecer “obvios”

Enfoque tradicional de la seguridad de

la informaciónLa fortaleza “impenetrable”

•Defender la fortaleza.

•Perímetros definidos

•Poner seguros,

guardias, etc.

•…



La realidad

• Perímetros difusos

(Ubicuidad)

• Descentralización

• Participantes

desconocidos

• Múltiples

tecnologías

La ciudad abierta

Conocimientos oficial de seguridad

Antes• Conocimiento específico del

sistema – No había tantas cosas que

administrar

– El Software no era muy complejo

– Pocos usuarios

• Infraestructuras relativamente pequeñas– El alcance de su trabajo era

reducido

– Administración de servicios básicos (http, ftp, smtp)

• Seguridad física y lógica independientes

Ahora

• Prácticamente Imposible conocer todas las intimidades de los sistemas actuales

– Miles o millones de archivos

– Gran variedad de servicios y funcionalidades

– Muchos usuarios

• Infraestructuras de gran escala

– Sistemas distribuidos

– Dispositivos móviles

– CAs, Web Services …

• Seguridad física y lógica coodependientes




Conocimientos del intruso

Antes

• Debía conocer las

intimidades del sistema

para poder explotarlo.

• Grupos de investigación

aislados

• Difícil acceso al

conocimiento

– No existia google!!!!!!!!

– “You Want it, you code it”

Ahora

• Gran variedad de herramientas

que utilizan el Protocolo SSF

– Poison IVY

– Hacker defender

• Trabajo colaborativo e

intercambio/venta de

información

– Miles de sitios con información

– Mercado negro de

vulnerabilidades/herramientas

– You want it, google it!!!


Evolución de los ataques




El problema es muy complejo

Mientras el Oficial de seguridad debe pensar en mayor cantidad de posibles vectores de ataque, el atacante debe encontrar unas pocas vulnerabilidades para comprometer todo un sistema.

Y para colmo de males…

Todavía pensamos así!!




Si la inseguridad informática es la constante en

el mundo digital. Los procedimientos forenses

en informática deberían ser la norma que

confirma la existencia de la constante. Sin una

adecuada respuesta a los incidentes de

seguridad, la detección y el seguimiento de los

intrusos no tendría sentido.

J.cano, s.rueda, d.torres


Preguntas


Documents

Sesión 1 - Introduccion a la informatica forense