Incident Response, Security and Forensics"

.

miércoles, 14 de octubre de 2009

12 Sensaciones forenses

Hola lectores,

Este post no es para nada técnico, pero quiero compartir con vosotros una serie de sensaciones que yo he llamado 'sensaciones forenses'.

Ayer participe en una mesa organizada por la empresa Cybex y en la que se generó amplios debates sobre los delitos económicos utilizando las nuevas tecnologías.

Como ponentes nos encontrábamos:

  • La Ilma. Carmen Ballester Ricart, Fiscal especial antidroga de la Audiencia Nacional
  • El Sr. D. Matías Bevilacqua Trabado, Director Tecnológico de CYBEX
  • El· Sr. D. José Manuel Colodrás Lozano, Inspector de la Oficina de Activos del Cuerpo Nacional de Policía
  • El Sr. D. Juan Salom Clotet ,Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil
  • Yo mismo.

Todos fuimos moderados genialmente por Excmo. Sr. D. José Manuel Maza Martín, Magistrado de la Sala II del Tribunal Supremo.

En la mesa se hablo de las soluciones contra el cibercrimen y todo el esfuerzo que el estado y empresas privadas hacen al respecto, pero en la ronda de preguntas explique un caso que expongo a continuación y que genero mucho debate y alguna que otra controversia entre el publico asistente, en su mayoría despachos de abogados y fuerzas del estado.

EL CASO

Análisis forense a un equipo de una empresa en la que se sospecha que un empleado ha realizado fugas importantes de dinero a cuentas en el extranjero. En el previo análisis se descubre que esta infectado por troyanos (entre ellos el URLZone), en la investigación mas profunda se ven cientos de ficheros con pornografía infantil, de estos ficheros nos comunica la dirección de la empresa que el usuario dice no conocer su existencia. Dice que tiene el típico programa P2P, pero que desconoce que se hubiera bajado algún archivo de estas características. Empieza a llorar, te dice que tiene dos hijos pequeños y que el no consentiría estos casos bajo ningún pretexto. Lógicamente tenemos que tramitar una denuncia.

De este caso se ve claramente la poca rigidez en políticas de acceso de esta empresa al permitir la ejecución de programas en un principio de uso dudable, también el poco control de la empresa sobre lo que debe y no debe de hacer los empleados.

Por otro lado la 'honorabilidad' del empleado queda en duda dado que podría darse el caso de que el propio troyano utilizara el equipo infectado para el envío de pornografía infantil y que el usuario no hubiera tenido nada que ver. Todo esto generó gran discusión entre los asistentes.

Por experiencia quise dar una serie de sensaciones que profesionalmente me vienen acompañando en los trabajos que desempeño sobre análisis forense informático

No se si estaréis de acuerdo, pero así me recorren estas sensaciones

12 SENSACIONES FORENSES

1. Sensación: Algunos usuarios (y lo digo desde el respeto y la experiencia de haberlo visto) son potencialmente peligrosos. No atienden a ninguna norma, disponiendo de malos hábitos de navegación y accediendo a descargas de películas y mp3 desde sitios ya de por si peligrosos, más cuando tienen el sistema operativo pirata o sin actualizar. Algunos tienen crakeado el antivirus. Sin comentarios.

2. Sensación: Los antivirus no valen para casi nada, solo para lo conocido, siendo mucho más lo que 'no se detecta'. Existen troyanos con un detalle de programación exquisito, indetectable y capaz de mutar tantas veces como sospeche de que ha sido detectado. Simplemente magnifico

3. Sensación: La época del Hacker ha pasado, cada vez son los menos que a través de exploits consiguen acceder a un equipo y seamos sinceros en esto Microsoft se ha puesto las pilas, es más fácil destripar de serie un sitio con PHP que desarrollado en .NET

4. Sensación: Es la hora de las mafias organizadas. Consiguen mas dinero y no hay muertes por el medio. Estos son los que desarrollan esos curiosos troyanos-roba-dineros. Tienen equipos de desarrollo y les motiva el dinero ¿que raro, verdad?

5. Sensación: Los equipos de respuesta ante incidentes solo valen para detectar a muleros, en el caso de detectar por ejemplo un phising, te las ves y te las deseas para cerrar el sitio. Si tienes que analizar un troyano se puede ir el caso a meses. Es como decir que pillamos al drogadicto pero no al que distribuye la droga.

6. Sensación: En España hemos creado un sistema de impunidad para el malo. Si denuncias y el caso viene por ejemplo de Rumania, las fuerzas del estado español se tienen que comunicar con sus colegas de Rumania con lo que se demora ampliamente las diligencias. Por su puesto el dinero ha desaparecido. Las fuerzas de seguridad están sobrepasadas

7. Sensación: Nuestras fuerzas de seguridad son verdaderamente especializadas en comparación con otros países, pero nuestras leyes no están acorde a las nuevas formas de cometer delincuencia utilizando las nuevas tecnológicas. El legislador debe de estar a la altura y modificar las leyes en esta materia

8. Sensación: No se denuncia o no se toma en serio todo lo que ocurre en cuanto a la seguridad informática. No se llega a denunciar, bien por imagen institucional, por miedo o por lo que sea, pero según la memoria 2009 de la Fiscalía General de Estado los delitos que utilizan las nuevas tecnologías han crecido, duplicado o cuadruplicado en diferentes comunidades autónomas, respecto al año 2008.

9. Sensación: Falta formación a la magistratura, fiscalía y abogacía, aunque poco a poco se están especializando (muy poco a poco...)

10. Sensación: Hay empresas que piensan que están bien por que se han auditado los servidores, las redes y aplicaciones. Craso error. El peligro comienza el día después de la auditoría, bien por relajación o bien por no realizarla continuamente.

11. Sensación: Hay empresas que 'están al día' y 'actualizadas'. Craso error, ¿como actualizas una aplicación web, que te ha creado un tercero?

12. Sensación: Todavía en las empresas se piensa que la seguridad es un gasto, no es productiva ni la ven como herramienta de venta. Señores(as), la seguridad es calidad, las auditorías, los preventivos forenses ahorran mucho dinero a la empresa. ¿Cuanto vale descubrir que has evitado una exposición de datos a raíz de una auditoría en un ataque de SQL inyection en tu base de datos?.¿cuanto valdría una multa de la AGPD? Como dice el anuncio, para todo lo demás Mastercard.

En fin se me ocurren algunas más...pero esto lo dejo a vuestra experiencia, yo por mi parte creo que deje algo pensativa a mi audiencia.

7 comentarios:

Fantástico post Pedro, creo que has hecho un gran resumen de las sensaciones a nivel de Seguridad que la gente tiene en estos momentos en España.

La ley todavía tiene mucho que mejorar ya que deja mucha impunidad a los criminales, si que es cierto que nuestros cuerpos de seguridad están muy preparados pero si la ley no ayuda...

Un saludo

Claro, conciso y al grano, como siempre. En mi trabajo como tecnico informatico me encuentro a diario con salvajadas, y la consabida respuesta cuando les insinuas que deberian gastarse algo mas en seguridad:

"Para que van a querer atacarme a mi"

Es triste, pero en el tema de la seguridad informatica a nivel de empresas puedo afirmar rotundamente que seguimos siendo el culo del mundo :(

Saludos

PD: Muy bueno el boletin de Cybex, lo descubri hace muy poco de la mano de Andreas Schuster y me parece una gran iniciativa.

hOLA:

Guau me ha gustado lo que has puesto, la verdad que es cierto hay personas que no las puedes hacer entender para que sean cuidadosas en cuanto a su estancia en el internet.

Y tmb la ley no esta aun hecha para los delitos informaticos, todavia estan leentos a comparaciòn de los criminales que ya hay organizaciones muy bien equipadas y avispadas... como siempre...

Un excelente post.
salu2.

Hola,

Para redondear un poco el número de sensaciones forenses, ahí va la 13:

Las auditorías de seguridad se hacen con herramientas automáticas (nessus, acunetix, ...), que no detectan casi nada.

Además, clasifican como importantes fallos de seguridad, por así llamarlos, que son de risa (sirva de ejemplo, UPTIME en linux).

No se hacen auditorías enfocadas a atacar directamente la intranet desde fuera (exploits contra el navegador, ingeniería social), que realmente es lo que habría que hacer.

Saludos,
Eduardo.

¡Muy interesante!

y totalmente de acuerdo en que la seguridad en las empresas esta descuidada.

@Eduardo:

Estoy de acuerdo contigo y puedo dar fe de que muchas veces los auditores hacen las cosas mal en ese sentido, solo lanzan el nessus automaticamente y luego ya rellenan las conclusiones y las vulnerabilidades o fallos poco importantes por tener algo que dar al cliente. Realmente no se esfuerzan haciendo una auditoría manual que es por donde muchas veces se pueden sacar cosas graves.

100% de acuerdo con tus sensaciones. Lo positivo del tema es que cada vez más empresas, administraciones, o FyCSE están poco a poco siendo conscientes del tema. Por supuesto todos los cambios llevan tiempo y muchas veces tendrá que llegar el momento X en el que pase algo grave y entonces todo el mundo se movilizará, pero ver a otros países como USA, Francia, o China :) y darse cuenta de las inversiones que hacen para contrarrestar muchas de las sensaciones que comentas, es por lo menos, ver la luz al final del túnel porque significa que tarde o temprano (y espero que sea antes que pase algo verdaderemente grave) nos pondremos las pilas.

Un abrazo!