Ponencia de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., durante la XIV Jornada de Seguridad TI el martes 5 de junio de 2012 en la Alhóndiga de Bilbao
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto
1. Señoría, no sé qué ha
pasado en mis
sistemas…
Joseba Enjuto
Responsable de Control Corporativo y Cumplimiento Legal
jenjuto@nextel.es
6/4/12
2. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
3. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
4. Nextel S.A.
! www.nextel.es
! PYME – 1XX personas
! País Vasco (Bilbao/Vitoria/Donostia) – Madrid – Sevilla
! Ingeniería y Consultoría
! Especialización en seguridad y gestión TIC
! Sistemas de Gestión (ISO 27001, ISO 20000, …).
! Leyes relacionadas con la seguridad (LOPD, ENS, Infraestructuras
Críticas, …).
! Evidencias electrónicas y peritaje informático
5. Disclaimer
Todos los ejemplos que se van a
presentar son completamente
ficticios.
Cualquier parecido con la realidad
es pura coincidencia.
6. Disclaimer
De todos modos…
No habrá muchos parecidos,
verdad?
7. Pérez Asesores, S.L. (2008)
! Asesoría financiera para empresas
! Sede en Barcelona
! 12 trabajadores
! Sr. Pérez, Director General Sr.
Perez
! 2 comerciales
! 9 asesores financieros
Comerciales
Asesores
! Infraestructura TIC:
! Acceso a Internet
! PCs para los asesores
! Portátiles para director y comerciales
! Servidor corporativo
! Servidor de correo
! Backup (disco duro externo)
8. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
9. Los preliminares
! Visitante: La benemérita
! Asunto: SPAM farmacéutico
! Los hechos:
! Venta de productos farmacéuticos ilegales
! Formato: Distribución masiva de publicidad por e-mail
! Dirección IP Origen: Pérez Asesores
! Requerimientos:
! Comparecencia del Sr. Pérez como imputado
! Incautación del equipamiento informático
10. El acto
! Señoría, yo no he hecho nada.
! Señoría, no sé qué ha pasado en mis sistemas.
! Señoría, no volverá a ocurrir.
11. El clímax
! Veredicto:
! El Sr. Pérez es Inocente
! Los hechos (reales):
! El Sr. Pérez se lleva el portátil a casa
! El portátil no tiene antivirus ni está actualizado
! Los hijos del Sr. Pérez usan su portátil
! El equipo se infecta al descargar un juego en flash
! El Sr. Pérez conecta el portátil en la red de la oficina
! El virus envía SPAM a través del servidor de correo de Pérez
Asesores
! La red se ralentiza
12. Aprendiendo de la experiencia
! Hace falta más seguridad:
! Antivirus (actualizado)
! Anti-SPAM
! Actualizaciones
! …
! Hace falta más conocimiento de lo que pasa en los sistemas:
! Análisis de sistemas
! Análisis de red
! …
13. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
14. Pérez Asesores S.L. (2010)
! Nuevas sedes: Valencia y Madrid
! Mayor equipo
! Más comerciales
! Más asesores financieros
! Dirección de organización Sr.
Perez
! Incluye área de informática
Comerciales
Asesores
Organización
! Mejor Infraestructura TIC: Informá8ca
! Conexiones entre sedes vía Internet, con VPN
! Servidor de organización
! Servidores en cada sede
! Backup cruzado
! Servidor de correo con antivirus/antiSPAM
! Antivirus en cada PC / Portátil
15. Una nueva oportunidad
! Un asesor poco trabajador
! Una posibilidad de ajuste de plantilla
! “Esta vez SÍ voy a saber qué ha pasado en mis sistemas”
! El área de informática recopila pruebas
! Tras su marcha, acceden al PC del asesor
! Comprueban el historial de navegación
! Guardan pantallazos en un *.doc
! Comprueban “Mis Documentos”
! Copian en un PenDrive 2GB de fotos y vídeos
! El Sr. Pérez entrega al asesor la carta de despido procedente
! Presenta las pruebas recopiladas
! El asesor denuncia el despido por improcedente
16. Un nuevo acto
! Señoría, este empleado se dedicaba a ver chicas en horas
de trabajo.
! Pero… es obvio que eso no se puede hacer, no?
! Señoría, tengo muchas pruebas que lo demuestran.
! Pero… por qué no valen mis pruebas?
17. Un resultado decepcionante
! Veredicto:
! El despido es Improcedente
! Pero… si esta vez sí que sabía lo que había pasado en mis
sistemas!!!
18. Aprendiendo de la experiencia
! La seguridad técnica no basta:
! Políticas de seguridad
! Normas de actuación
! …
! Las trazas tienen que ser admisibles:
! Traza =/= Evidencia =/= Prueba
! Validez del procedimiento (adquisición / tratamiento)
! Validez de las evidencias
! …
19. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
20. Pérez Asesores S.L. (2011)
! 2011: Un año duro
! Menos clientes
! Más presión
! Cambios internos:
! Reglamento de régimen interno
! Política de Seguridad
! Firmados a regañadientes por todo el personal
! Cambios en el marco jurídico
! Nuevo código penal
! Culpa in-vigilando?
21. Un nuevo problema
! Reducción de plantilla
! Incluye personal de área informática
! Un día después de la firma de finiquitos…
! El servidor de organización no arranca
! Contabilidad interna
! Nóminas
! …
! La base de datos de clientes tiene errores XJZF$#K
! Parece no funcionar bien
! Sabotaje?
22. Una nueva solución
! Necesidad de ayuda especializada
! Conocimientos técnicos
! Conocimientos jurídicos
! Experiencia en juicios
Solicitud de colaboración a
! Solución propuesta: Peritaje de los sistemas afectados
! Servidor de organización
! Servidor de delegación
23. Procedimiento seguido (I)
! Aviso a un notario
! Certificación del procedimiento
! Conservación del entorno
! Extracción
! Apagado brusco
! Aislamiento lógico
! Extracción de unidades de memoria
! Copia doble de unidades de memoria
! Restablecimiento
! Restauración de los sistemas
! Desde 0
! Pruebas de los backups
! Restauración de los backups
24. Procedimiento seguido (II)
! Primera copia
! Sellado y entrega al notario
! Segunda copia
! Creación de tercera copia
! Sellado y conservación de la segunda
! Tercera copia
! Copia para estudio
! Sectores de arranque
! Registro
! Archivos de sistema
! Servicios y Aplicaciones
! Sistema de archivos
! Archivos de log
! …
25. Procedimiento seguido (III)
! Metodología de estudio
! Uso de software específico
! Preservación de “Cadena de custodia”
! Conservación
! Tratamiento
! Bitácora del estudio
! Quién
! Qué
! Cuándo
! Hasta cuándo
! Informe de Conclusiones
! Línea de tiempo
! Medidas de seguridad
! Hipótesis
26. Un nuevo juicio
! Conclusiones preliminares:
! Bomba lógica en el servidor de organización
! Puerta trasera mal configurada en servidor de delegación
! Autoría probable: administrador de sistemas despedido
! Presentación de denuncia
! Juicio: nuevas diligencias
! Accesos remotos a puerta trasera
! Colaboración de Telcos
! Investigación de contexto
! Presentación de evidencias recopiladas
! Aceptación como pruebas
27. Un final satisfactorio
! Resultado:
! Pruebas admitidas
! Hipótesis de autoría aceptada
! Veredicto:
! El acusado es Culpable
! Debe indemnizar por daños y perjuicios
28. Aprendiendo de la experiencia
! Claves para un buen resultado:
! Procedimiento fiable (y legal)
! Resultados verificables
! Hipótesis creíble
! Defensa entendible
! A tener en cuenta:
! Prevenir >> Curar
! Y si no se hubieran podido obtener resultados
suficientes?
29. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
30. Necesidades
! Retos:
! Existencia de logs
! Logs evidenciables
! Gestión confiable
! Confiabilidad: la triple pareja
! Autenticidad e integridad
! Disponibilidad y completitud
! Calidad y Gestión
31. Plataforma de gestión de evidencias electrónicas
! Retos: Existencia y confiabilidad de logs
! Solución: Plataforma de gestión de evidencias electrónicas
! Análisis previo
! Estudio
! Diseño inicial
! Integración de la plataforma
! Auditoría inicial
! Bastionado de sistemas
! Integración de HIDS
! Integración de gestor de logs
! Integración de soluciones de certificación
! Auditoría final
32. Sistema de gestión de evidencias electrónicas
! Retos: Gestión confiable
! Planteamiento: Ciclo PDCA
! [P]: Determinación del alcance
! [P]: Definición de la Política
! Recursos
! Responsabilidades
! [P]: Metodología de gestión y conservación de logs
! [P]: Metodología de extracción y tratamiento de evidencias
! [D]: Despliegue de la plataforma de gestión de evidencias
! Medidas de seguridad aplicadas
! [D]: Formación
! [C]: Revisión y auditoría
! [A]: Mejora continua
33. ÍNDICE
! Introducción
! La primera vez
! Cogiendo experiencia
! Contratando los servicios de profesionales
! Lo que podría haber sido
! Conclusiones
34. Conclusiones
! Cada vez hay más evidencias electrónicas
! Estamos (de verdad) preparados para su uso?
! Antes de necesitarlas:
! Políticas y normativas
! Solución tecnológica
! Sistemática de gestión
! Después de necesitarlas:
! Análisis forense (peritaje)
! Conocimiento técnico y jurídico
! Presentación Admisibilidad como prueba
35. Dudas y preguntas
FIN
Joseba Enjuto
Responsable de Control Corporativo y
Cumplimiento Legal
@JosebaEnjuto