Una empresa bancaria contiene información de todos sus clientes, números de
cuenta, de tarjetas de créditos, información sobre las transacciones dentro de una
base de datos que se encuentra conectada con los computadores de la sede principal de la empresa. El funcionamiento de esta empresa se ve afectado cuando un día encuentran un comportamiento anormal en la red que conecta a las bases de datos con los computadores de la empresa; se dan cuenta de esto porque empiezan a observar inmensas cantidades de información de la base de datos dirigiéndose hacia un sistema remoto a través de la red. Seguidamente hacen un análisis del tráfico en la red y las conexiones de los dispositivos remotos, se encuentran con que el firewall de los dispositivos tenía una vulnerabilidad, además de una serie de archivos con origen desconocido distribuidos en varios computadores de la empresa. Hicieron un análisis a la red, y a todos los dispositivos buscando muestras y evidencia que permita entender el incidente y darle una solución, pero se encuentran con que fue usado un tipo de software malicioso, ya que lo encuentran en varios dispositivos que estaban conectados a la red. Así mismo buscan la IP del sistema remoto que hizo la conexión con el servidor, y se dieron cuenta que pertenecía a un extrabajador de la empresa, el cual conocía previamente de la vulnerabilidad del firewall y la explotó, mediante la instalación de un malware, encargado de encriptar y robar la información de las cuentas bancarias de la empresa. Descubrir las señales del ataque: Primero es necesario identificar la evidencia usando herramientas que no afecten el timestamp o modifiquen los archivos del computador, o computadores. Para ello se hace uso del junmpkit, el cual se compone de un computador con sistema operativo Windows, además de contar con máquinas virtuales en Linux que poseen todo el software necesario para hacer copias de imágenes, verificar los procesos de los puertos, verificar malware entre otras cosas, también se cuenta con un disco duro esterilizado, y de tamaño suficiente para hacer copias bit a bit. Como ya se sabe, la empresa detectó un comportamiento extraño en la red, por lo que se procede a la recopilación de evidencias. Recopilación de evidencias: Debido a que es una empresa bancaria, necesita tener operando sus sistemas rápidamente, pero ya que no se conocen que datos han sido robados, ni la confidencialidad ni importancia de estos, se procede a realizar una investigación forense detallada. Se llevará un cuaderno para anotar todas las operaciones que se realicen sobre el sistema o sistemas atacados. Se hace una anotación de los números de serie y de los componentes de los equipos afectados, junto con su sistema operativo, direcciones IP y fotos de estos. Debido a que el ataque no se expandió por todos los equipos de la empresa, decidimos hacer un análisis en vivo, copiando bit a bit, la información relacionada con los registros y contenidos de la caché, volcado de los contenidos de la memoria ram, estado de los procesos en ejecución y el estado de las conexiones de red, tablas de rutas, y por supuesto, los dispositivos de almacenamiento del computador por donde se cree el atacante tuvo acceso a los servidores. Nuevamente cabe recalcar la necesidad de realizar imágenes de los dispositivos de almacenamiento del computador y de la generación del Hash mediante MD5 de los archivos copiados, sin restar importancia a la necesidad de la presencia de otra persona que valide, observe y de veracidad de los procedimientos que se están realizando. Preservación de la evidencia: Es necesario documentar de forma clara cómo fue preservada la evidencia tras la recopilación, en este caso, se añadieron etiquetas a los discos duros utilizados para almacenar las imágenes del computador afectado, de igual forma, se realizó el etiquetado al disco duro que almacena los registros y conexiones a la red realizados. Cabe mencionar que se realizaron dos copias de la evidencia original, cada una incluyendo el hash que permite garantizar la integridad de los dispositivos de almacenamiento. A cada una se le agregó una etiqueta distintiva para diferenciar una copia de la otra, una se llama “Copia evidencia original”, y la otra “Copia evidencia de prueba”, junto con la etiqueta (relacionada a cada copia) se escribió la fecha, hora, lugar de donde fue obtenida, incluyendo la verificación del hash correspondiente. Así mismo el equipo que contiene la evidencia original, fue almacenado, etiquetado, empacado, y guardado en una caja fuerte propia del banco, con el fin de que nadie tenga acceso a este dispositivo y pueda afectar a la evidencia o a los datos recolectados. Mantener la cadena de custodia asegura la legitimidad de la evidencia y de las pruebas que posteriormente pueden ser presentadas ante un juez, por esto, se lleva un registro en un archivo en Word, con las firmas, hora, lugar, persona, ID de quién está haciendo uso de la evidencia, así mismo de quien se encarga de la custodia de la evidencia, mencionando el tiempo que estuvo encargado de esta, y donde la almacenó. En este caso, se contactó con el equipo de respuesta a incidentes y una organización estatal para poder llevar a cabo la cadena de custodia, la veracidad y legitimidad de la evidencia. Análisis de la evidencia: En esta etapa de la investigación y debido a su importancia, es necesario establecer y llevar el registro de una línea de tiempo, donde se exprese explícitamente el orden cronológico del ataque, especificando la hora en la que se originó, cuando terminó (si es que ha acabado), y todos los datos obtenidos que permitan la reconstrucción del incidente, conocer quién lo provocó, cuál era el objetivo, cuáles son los daños ocasionados por este incidente. - Como menciona la guía, antes de iniciar con el proceso de análisis es recomendable usar dos estaciones de trabajo, donde cada una contiene dos discos duros; en la estación uno, un disco duro contiene el sistema operativo, y el otro contiene la imagen llamada “Copia evidencia original”, esta estación servirá para hacer un estudio de las evidencias. Mientras que la segunda estación, tendrá el mismo sistema operativo del equipo atacado junto con la segunda imagen llamada “Copia evidencia de prueba”, esta estación, funcionará como conejillo de indias, y es aquí donde se mantiene la estructura de las particiones y ficheros de discos duros, con el fin de realizar pruebas en esta estación y verificar las hipótesis que van surgiendo sobre el incidente. Seguidamente se hace una reconstrucción de la secuencia temporal del ataque, mediante los datos que se van obteniendo de la estación 1, verificando las marcas de tiempo, los permisos de acceso, los archivos borrados. Gracias a lo que se sabe, el investigador procede a verificar los procesos que se estaban ejecutando al momento del ataque, junto con los archivos involucrados que contienen el software malicioso para la encriptación y extracción de la información. Además, mediante un comando de Linux se puede observar las direcciones del acceso FTP que intervino con el computador atacado y seguidamente procedió a robar la información del servidor. Después de un análisis exhaustivo, determinan que el atacante uso malware accediendo a los servidores de la empresa, el atacante lo instaló en un computador de la empresa, al cual tuvo acceso gracias a una pequeña vulnerabilidad en el firewall del computador. El malware pudo identificarse gracias a una búsqueda exhaustiva en una pagina web que contenía recopilación de información relacionada al malware usado actualmente para robar y encriptar información. Gracias a una herramienta llamada nmap, el investigador obtuvo la dirección IP del atacante y concluyó posteriormente que la IP pertenecía a un extrabajador de la empresa con el nombre de Andrés García. Una vez encontrado el culpable se procede a realizar el informe respectivo para presentarlo a las autoridades correspondientes, así mismo se hace una solicitud formal, basados en las evidencias, al ente estatal responsable de delitos informáticos, pidiendo permiso para acceder y realizar una copia de seguridad bit a bit del dispositivo usado para la conexión al computador de la empresa, además de solicitar acceso a los dispositivos donde se almacenó parte de la información que se alcanzó a robar de la empresa. A manera de aprendizaje, se analizan los puntos débiles en materia de seguridad, permitiendo constatar la falta de seguridad en el firewall, y la facilidad del malware para acceder a la base de datos, haciendo claro la necesidad de implementar antivirus de mayor seguridad. Por último, se realiza el informe Técnico y el informe ejecutivo, en el caso del primero, se describe a profundidad la metodología, técnicas, hallazgos, las conclusiones, recomendaciones especificas y referencias utilizadas por el equipo forense para solucionar este incidente. Para el segundo informe, se hace un resumen de todo el análisis, pero con una terminología común, explicando los efectos del incidente en la parte administrativa, recursos humanos, y las recomendaciones correspondientes para reaccionar y prevenir incidentes informáticos.