CROZONO: Investigación Digital Remota con Drones

By Pablo Romanos

Talk Abstract

Desarrollo de un framework modular de exploración y auditoría de infraestructuras inalámbricas, que permite de forma automatizada, la adquisición de evidencia digital forense (procedimiento remoto) a partir del accionar de vehículos aéreos no tripulados (UAVs, drones o robots). Demo en vivo.

Talk Description

CROZONO: Investigación Digital Remota con Drones

alt text

CROZONO es el desarrollo de un framework modular de exploración, auditoría y adquisición de evidencia digital remota forense a partir del accionar de vehículos aéreos no tripulados. CROZONO se ejecuta en UAVs, drones, robots y prototipos comandados a distancia, con el objeto de realizar de forma completamente automatizada el reconocimiento y selección de infraestructuras inalámbricas, traspasar su seguridad perimetral, acceder a su red interna y adquirir evidencia forense relevante para una investigación judicial.

CROZONO is the development of a modular framework for the exploration, auditing and acquisition of remote forensic digital evidence from the operation of unmanned aerial vehicles. CROZONO runs on UAVs, drones, robots and remotely controlled prototypes, in order to perform completely automated recognition and selection of wireless infrastructures, break perimeter security, access the internal network and acquire relevant forensic evidence for research. from an order of a judge.

Cibercrime Investigation and Security Evaluation Framework

http://www.crozono.com

alt text

Los componentes de hardware empleados son: computadora de placa única (en adelante SBC) para el procesamiento de los datos (Ej.: Raspberry Pi 3), adaptador WiFi USB con chipset RT7601, antena sectorial Alpha de 7dBi para 2.4GHz a 2.5GHz, sistema global de comunicaciones móviles (en adelante GSM) para la comunicación con el servidor de comando y control (en adelante servidor C&C), sistema de posicionamiento global (en adelante GPS, Ej.: Garmin 18x 5Hz USB Antena) para la trazabilidad geográfica del UAV, pantalla de visualización de datos.

Los componentes de software empleados en el frontend son: sistema operativo GNU Linux, plataforma de desarrollo Python 3, y el core principal de CROZONO. Los del backend; servicio escalable en la nube: Elastic GPUs - Amazon Web Services (C&C).

alt text

Fases de CROZONO

El framework CROZONO posee tres fases bien diferenciadas, una fase de exploración aérea de infraestructuras inalámbricas denominada “CROZONO Explorer”, una segunda fase de auditoría perimetral denominada “CROZONO Auditor” y una tercera fase de adquisición remota de evidencia forense denominada “CROZONO Forensic”. En adelante se describen cada una de ellas.

Fase 1: CROZONO Explorer

Es sabido que, en los sistemas industriales, históricamente la mayoría de las inversiones en controles de seguridad se refieren al mundo físico debido a la necesidad de evitar incidentes que pudiesen atentar contra la vida o la salud de las personas, descuidando así los controles de seguridad lógica bajo la premisa de que “para que ocurra un ataque a nuestros sistemas, alguien debería superar nuestros controles físicos primero”. Bajo esta premisa se desarrolla CROZONO Explorer; para ser empleado como primera medida (Fase 1), ya que permite recopilar información sobre los posibles vectores de intrusión dentro del perímetro de una planta industrial, en las instalaciones de una infraestructura crítica o en una determinada área geográfica en la que podría requerirse el hallazgo de evidencia forense relevante para una investigación judicial. La metodología empleada para desarrollar CROZONO Explorer se basa en un conjunto de buenas prácticas relacionadas con el rastrillaje aéreo de espacios geográficos para la localización de personas mediante el uso de aeronaves civiles o militares.

Ejecución Paso a Paso

RECONOCIMIENTO: Mediante el empleo de UAV, CROZONO Explorer recopila información del espectro radioeléctrico, con el objetivo de identificar puntos de acceso inalámbricos, cámaras IP, dispositivos IoT, junto a otros datos relevantes relacionados con la seguridad y la ubicación geográfica. El objetivo de este relevamiento es establecer un “mapa de calor” que permita encontrar el camino más fácil para comprometer la seguridad de la infraestructura desplegada, enfocando en aquellas fuentes inalámbricas que tengan una implementación de seguridad baja. Para identificar estas fuentes se realiza un análisis del espectro radioeléctrico wifi en la franja en la que opera WiFi 802.11, de modo de detectar las emisiones presentes y se pueda determinar si son legítimas o si de lo contrario generan interferencias y ruidos radioeléctricos sobre las transmisiones identificadas como válidas por parte del responsable de la infraestructura.

alt text

PROCESAMIENTO: Una vez finalizada la etapa de reconocimiento se procesan los datos relacionados con la cobertura y seguridad de la infraestructura.

REPORTE: Posteriormente será posible visualizarlos en un completo informe con una vista del espacio geográfico estudiado (mapa de calor) y los datos recolectados en un tablero de control. El “mapa de calor” muestra el recorrido realizado por el UAV y los potenciales vectores de intrusión identificados. Al seleccionar uno de dichos puntos, el informe permite conocer algunos datos adicionales, como por ejemplo el nombre (ESSID) y tipo de dispositivo, su identificación de hardware (MAC), su potencia de emisión, su nivel de seguridad, etc. Otra ventaja de CROZONO Explorer es que, a través de algunos gráficos estadísticos (tablero de control) generados a partir de la información recopilada, permite en pocos minutos obtener un panorama del nivel general de seguridad, el nivel de exposición y distribución de la planta industrial o del área geográfica en la que se ha realizado el relevamiento. Una vez identificados los puntos débiles de la planta industrial o del área geográfica, será posible utilizar CROZONO Auditor para llevar a cabo un test de intrusión o una auditoría de seguridad automatizada.

alt text

Fase 2: CROZONO Auditor

CROZONO Auditor es inteligente, posee la capacidad de realizar auditorías de seguridad automatizadas, dirigidas a una red, y tomar decisiones -sin requerir la interacción directa del auditor- sobre qué pruebas llevar a cabo en base a parámetros preestablecidos y a la información recopilada sobre el objetivo. La metodología empleada por CROZONO Auditor para la ejecución de las pruebas de seguridad, tanto para la etapa WLAN como para la LAN, se basa en certificaciones profesionales, proyectos y estándares relacionados con las buenas prácticas de seguridad como son CEH, OWASP y OSSTMM. La meta de CROZONO Auditor es introducirse en una red inalámbrica (a partir de la información obtenida de la Fase 1: CROZONO Explorer o a partir de la selección manual del auditor) efectuando pruebas de intrusión con el objeto de ganar acceso sobre el dispositivo inalámbrico seleccionado; abrir una conexión reversa hacia el auditor (puerta trasera) a través de la conexión local de internet de la red objetivo. Una vez hecho esto, CROZONO Auditor le permitirá al auditor -a través de sus módulos- descubrir otros equipos de la red y lanzar diversas acciones ofensivas para comprometerlos.

Etapa WLAN

La principal meta de CROZONO Auditor es servir como vector de intrusión para adquirir evidencia forense relevante relacionada con una investigación judicial. En este caso será necesario indicarle a través del asistente gráfico denominado CROZONO Assistant, cuál será la red objeto de estudio, y éste se encargará de guardar todas las evidencias y detalles necesarios que resulten relevantes para la investigación en curso. CROZONO Assistant permite configurar su hardware mediante una conexión de red cableada o extrayendo la memoria USB del dispositivo e insertándola en la terminal en la cual se ejecuta este asistente. Al momento de lanzar la prueba hacia la infraestructura inalámbrica, CROZONO Auditor analiza la información previamente capturada sobre su objetivo y reconoce de forma inteligente su nivel de privacidad (WEP, WPA/WPA2, WPA/WPA2 con WPS) para posteriormente realizar el crackeo de la infraestructura ejecutando las tareas de intrusión de la forma más ágil y rápida posible, en función del protocolo de seguridad empleado. En caso de que CROZONO Auditor no pudiese obtener la contraseña del dispositivo inalámbrico a través del diccionario interno almacenado en su hardware, el UAV tendrá la opción de permanecer junto al punto de acceso inalámbrico y enviar la información capturada (handshake en WPA/WPA2) al servicio escalable en la nube: Elastic GPUs - Amazon Web Services (en adelante C&C) a través de su conexión GSM, para comenzar con la actividad de crackeo remota o en caso contrario, regresar al punto de origen, para que el auditor suba el handshake a través de una conexión ISP local convencional, empleando CROZONO Assistant. El UAV permanecerá en el lugar de intrusión durante hasta un máximo de 20 minutos (configurables). Si los resultados del crackeo demorasen más del tiempo estipulado, el UAV tendrá la opción de regresar al punto de origen (home) y el progreso de crackeo podrá seguir visualizándose desde el Browser (CROZONO Task Manager).

Ejecución Paso a Paso

Al momento de completar el proceso de arranque, CROZONO inicializará el hardware del que disponga (Adaptador Wi-Fi, GPS, GSM). De contar con un módulo GSM se iniciará una conexión mediante la red celular. Si el dispositivo logra registrase de forma exitosa iniciará una conexión reversa hacia la terminal del auditor, en la que, mediante la utilidad de consola, podrá visualizarse en tiempo real el avance de los procesos subsecuentes. De contar con un módulo GPS, se comenzará a registrar la posición del hardware, la cual será almacenada en un archivo para su posterior tratamiento. Luego se procede a la detección del adaptador WiFi, el cual será configurado en modo monitor de forma automática.

BORRAR HUELLAS (opcional): En caso de ser requerido CROZONO Auditor podrá hacer uso de una configuración especial (no disponible por defecto) que permitiría generar una dirección MAC aleatoria a fin de simular la actividad de un atacante.

RECONOCIMIENTO: En caso de que no se haya fijado cuál será el punto de acceso a auditar, CROZONO Auditor podrá decidir de forma automática cuál será el más conveniente para realizar la intrusión en función de la cercanía con la red y la cantidad de vectores de inicialización (en adelante IVs) que ha capturado de la misma. Para habilitar esta opción (modo promiscuo) es necesario contar con permisos especiales, dado que la misma no se encuentra disponible por defecto. Se realizará un primer escaneo y captura de tráfico de las redes adyacentes, y (en modo promiscuo) CROZONO Auditor seleccionará de forma automática la red objetivo. De no detectarse redes Wi-Fi en las proximidades, la ejecución del programa terminará.

ESCANEO: Una vez seleccionada la red objetivo se realizará una segunda captura de tráfico, apuntada específicamente a los ESSID y al canal de la red objetivo, obtenidos del paso anterior. Posteriormente se determina el tipo de seguridad implementada en la red objetivo y se lanzarán los módulos de auditoría correspondientes.

OBTENER ACCESO: En caso de que la red objetivo cuente con:

  1. Cifrado WEP, se utilizará de fondo la suite de Aircrack-ng para atacar la implementación de WEP. Mientras se capturan los IVs, se ejecuta una asociación al punto de acceso seguido de una inyección de paquetes, cuyo objetivo es generar el suficiente volumen de datos capturados para obtener la clave de manera rápida.
  2. Cifrado WPA/WPA2 y utilice WPS, se procederá a realizar un ataque de fuerza bruta contra el PIN de WPS (Reaver con PixieWPS).
  3. Cifrado WPA/WPA2, se procederá a desautenticar a los clientes conectados a la red, y a la captura del handshake, el cual será sometido a un ataque de diccionario a nivel local.

De no encontrarse la contraseña en el diccionario local, y de contarse con un módulo GSM, se procederá a subir el handshake capturado al servidor C&C, para ser procesado con un poder de cómputo más elevado y con diccionarios más extensos. Si no se dispone de un módulo GSM es posible utilizar CROZONO Assistant para extraer el handshake de la memoria SD del hardware y subirlo manualmente al servidor C&C. La contraseña obtenida podrá incluirse luego utilizando el CROZONO Assistant. Dependiendo del tipo de arquitectura implementada, el servidor C&C distribuirá el handshake entre los distintos agentes de crackeo que se encuentren disponibles. El avance del proceso de craqueo puede observarse en un navegador mediante el Browser (CROZONO Task Manager), así como también mediante la Terminal (Remote Shell). Si el handshake logra ser crackeado, la contraseña encontrada será devuelta al hardware, responsable de solicitar el proceso.

MANTENER ACCESO: Una vez obtenida la contraseña (ya sea por métodos de crackeo o porque ha sido suministrada) CROZONO modificará su configuración de hardware poniendo el adaptador inalámbrico en modo Managed y procederá de forma automática a autenticarse en la red objetivo y obtendrá una dirección IP mediante el servicio DHCP que tenga habilitada la infraestructura objetivo. El dispositivo hardware buscará conectarse a Internet a través del default gateway y creará una conexión reversa hacia la terminal de auditor (Remote Shell). En este punto el UAV podrá continuar con la segunda fase del proceso de intrusión, esta vez dirigido a la red LAN.

alt text

Etapa LAN

Llegada esta etapa, CROZONO Auditor, buscará ganar acceso a un equipo de la red objetivo. Para ello ejecutará una serie de pasos que se detallan a continuación:

Ejecución Paso a Paso

MANTENER ACCESO: Una vez conectado a la red objetivo el dispositivo hardware desconectará el modem GSM y realizará una nueva conexión reversa, esta vez haciendo uso de la conexión local de internet de la red objetivo.

RECONOCIMIENTO: Se lanzará el módulo de descubrimiento de red, el cual cuenta con herramientas que permiten detectar los puertos abiertos, los dispositivos y equipos activos conectados a la red, así como los servicios ejecutados en los mismos.

ESCANEO: Mapeo de la red. Se lanzará el módulo de escaneo de vulnerabilidades a nivel de red (Nmap, OpenVAS) para realizar la detección de equipos activos, puertos abiertos y servicios en ejecución. Posteriormente se lanzará el módulo de descubrimiento de escaneo de vulnerabilidades a nivel aplicativo (Golismero y Skipfish). Los resultados obtenidos de pasos precedentes, serán enviados en tiempo real a la terminal del auditor mediante la conexión reversa.

OBTENER ACCESO: Luego se procederá a ejecutar los módulos de auditoría que hayan sido configurados:

  1. Sniffing y MITM; se utilizan de fondo las herramientas ettercap y tshark para realizar un MITM entre el default gateway y un equipo de la red objetivo.
  2. MITM con Evilgrade; se utilizan de fondo las herramientas ettercap y evilgrade. A través de un DNS spoofing realizado con ettercap, evilgrade puede infectar un equipo de la red objetivo cuando éste intente actualizar determinado software. Esta ejecución se realiza desde el hardware permitiendo utilizar el agente que se desee (por ejemplo: troyano, meterpreter, etc.).
  3. Metasploit: se le permite al atacante interactuar en tiempo real con una terminal de metasploit. Esto se realiza abriendo una conexión reversa hacia la terminal del auditor (Remote Shell), utilizando el acceso a Internet de la red comprometida. La terminal de metasploit se ejecuta en el hardware, lo que significa que es posible hacer pivoting y/o ejecutar exploits funcionales en redes LAN.

Nuevamente la conexión reversa será utilizada para visualizar en tiempo real la información obtenida e interactuar con los módulos de auditoría.

Si se configuró un módulo de análisis forense, el mismo podrá ser desplegado en este punto.

Fase 3: CROZONO Forensic

En esta fase se pretende registrar y secuestrar datos informáticos a los fines de ser utilizados como evidencia digital en una causa o investigación y que ésta mantenga su valor probatorio para ser expuesta en el momento oportuno.

Debido a la necesidad de realizar investigaciones efectivas y entendiendo la problemática vigente en casos en donde, por razones jurídicas y/o implicancias que para el derecho procesal penal, la tecnología permite hoy realizar búsquedas de datos concretos y obtenerlos mediante acceso remoto; es que se proponen bases lineales a fin de establecer un procedimiento iterativo independiente de cada caso, que permita asegurar la integridad, confidencialidad y disponibilidad de cada dato informático adquirido, a fin de velar por la cadena de custodia. La metodología empleada para esta fase se basa en los lineamientos establecidos por los Estándares Internacionales ISO/IEC 27037 e ISO/IEC 27042.

A continuación, se enumeran los módulos involucrados en el alcance, identificación, detección, preservación y resultados de la evidencia digital:

Ejecución Paso a Paso

ALCANCE: En esta etapa se definirá el perfil a investigar. CROZONO Forensic cuenta con cuatro (4) perfiles tipificados: Pornografía Infantil, Fraude Informático, Propiedad Intelectual y Daño Informático. En cada uno de ellos, existe una automatización independiente que se regirá en función de las actividades involucradas en cada caso. A modo de ejemplo para el trabajo aquí desarrollado, se desarrolla de forma conceptual el procedimiento asociado con el perfil de “Pornografía Infantil”.

IDENTIFICACIÓN: El proceso de identificación implica la búsqueda, el reconocimiento y la documentación de evidencia digital potencial. Haciendo uso de la conexión reversa establecida en la Fase 2: CROZONO Auditor, este procedimiento identificará el activo informático, con sus medios de almacenamiento digitales y dispositivos de procesamiento que pueden contener evidencia digital potencial relevante para la investigación. Este proceso también incluye una actividad para priorizar la recolección de evidencia basada en su esterilidad (información no contaminada). Luego de haber seleccionado el alcance de la investigación, el procedimiento se enfocará en la identificación del sistema operativo y enumerará los accesos y permisos, a fin de detectar y conocer el objetivo. A continuación, se presentan algunos comandos involucrados en el payload (consola de meterpreter) correspondiente a esta etapa:

  1. Sysinfo: obtener información del sistema involucrado.
  2. Getuid: consultar el tipo de usuario que la maquina victima está ejecutando.
  3. Getpriv: obtener privilegios de administración.

Dentro de esta etapa se pretende cargar un archivo (upload de archivo) con el objeto de poder realizar posteriormente la ejecución automatizada de comandos a fin obtener y exportar evidencias. A continuación, se presentan algunos comandos involucrados en el payload correspondiente a esta etapa:

  1. Upload porn_infantil.sh
  2. Shell (Ej.: chmod 777 porn_infantil.sh y bash ./ porn_infantil.sh)

COLECCIÓN & ADQUISICIÓN: La colección es una actividad en la que los activos informáticos que pueden contener evidencia digital son sometidos a un ambiente controlado para su posterior adquisición y análisis. Posteriormente el proceso de adquisición se debería producir una copia de evidencia digital (por ejemplo, disco duro completo, partición, archivos seleccionados) y documentar los métodos utilizados y las actividades realizadas. En las condiciones en las que se ejecuta el presente procedimiento (adquisición remota) no es factible crear una copia de evidencia digital de una fuente de evidencia, por lo que solo es posible realizar una adquisición lógica que apunte a tipos de datos específicos, directorios, carpetas o ubicaciones. Esto ocurre a nivel de archivos y de particiones. Esta adquisición lógica permitirá obtener lo siguiente: 1. Inspección y captura de procesos de memoria 2. Exportación de información recolectada: sistema operativo, aplicaciones, servicios, redes, usuarios y accesos. 3. Búsqueda de documentos digitales (bases HASH)

PRESERVACIÓN: La evidencia digital potencial será preservada para asegurar su utilidad en la investigación. Es importante proteger la integridad de la evidencia. El proceso de preservación involucra la salvaguarda de posibles actividades de manipulación asociadas a las evidencias digitales potenciales. En este sentido, a fin de preservar la integridad de los documentos digitales y la adquisición de la información relacionada al activo informático, la herramienta realizará lo siguiente:

  1. Cálculos de integridad
  2. Exportación de resultados
  3. Retorno de historiales de comandos ejecutados

Llegado a este punto, CROZONO Task Manager permitirá visualizar y exportar un completo informe con los resultados obtenidos de la ejecución del procedimiento de adquisición de información.

alt text

Referencias

Bibliografía Consultada

[1] Pranav S. Ambavkar, Pranit U. Patil, Prof. Pamu Kumar Swamy (2012). Exploitation of WPA Authentication. Engineering (IOSRJEN) Vol. 2 Issue 2, Feb.2012, pp. 320-324.

[2] Zhendong Wu, Mengru Cai, Siyu Liang, Jianwu Zhang. (2014). An Approach for Prevention of MitM Attack Based on Rogue AP in Wireless Network. By IFSA Publishing, S.L.

[3] Aaron L.-F. Han. Derek F. Wong. Lidia S. Chao. Password Cracking and Countermeasures in Computer Security: A Survey. University of Macau, Macau SAR. ILLC, University of Amsterdam, Science Park 107, 1098 XG Amsterdam.

[4] Gounaris Georgios. (2014) WiFi security and testbed implementation for WEP/ WPA cracking demonstration. Kingston University London

[5] Johnny Cache, Vincent Liu. Hacking Exposed Wireless: Wireless Security Secrets & Solutions 1st Edition. Mc. Graw-Hill.

[6] Stuart McClure, Joel Scambray, George Kurtz. Hacking Exposed: Network Security Secrets and Solutions, Sixth Edition. Mc. Graw-Hill.

[7] Rodney Beede. Ryan Kroiss. Arpit Sud. (2011). Distributed WPA Cracking. University of Colorado.

[8] Todd G. Shipley, Art Bowquer. (2014) Investigating Internet Crimes. Ed. Syngress.

[9] Damir Delija. (2017) Remote Digital Forensic Practices. International Journal of Digital Technology & Economy. Volume 2 Number 1.

[10] John Sammons. (2014) “The Basics of Digital Forensics, 2nd Edition, Chapter 1: What is Digital Forensics”, Syngress 2014.

Congresos y Conferencias

CROZONO ha sido aceptado para ser presentado en diversos congresos y conferencias, tanto en el ámbito de la seguridad informática, como en el de la tecnología y la innovación:

[1] Ekoparty Security Conference | 11 Back To Root | 21, 22 y 23 de octubre de 2015 | Buenos Aires. https://www.ekoparty.org/charla.php?id=34

[2] JATIC 2015 | Jornadas Argentinas de Tecnología, Innovación y Creatividad | 4, 5 y 6 de noviembre de 2015 | Mar del Plata | Buenos Aires – Libro de Actas: ISBN 978-987-23963-2-9 http://www.jatic2015.ucaecemdp.edu.ar/Libro_de_Actas_JATIC_2015.pdf

[3] ISSA (Information Systems Security Association) Argentina | 10 de diciembre de 2015 | Buenos Aires. https://www.facebook.com/issaarba/

[4] Revista Atenea – Universidad de la Marina Mercante - marzo 2016 – Publicación en papel: ISSN 1668-348X

[5] XI ENAI | Encuentro Nacional de Auditores Internos | 21 y 22 de abril de 2016 http://www.enai2016.com/

[6] OWASP LatamTour 2016 | 22 de abril de 2016 | Buenos Aires. https://www.owasp.org/index.php/LatamTour2016#tab=ARGENTINA_2C_BUENOS_AIRES

[7] IEEE Argencon 2016 | 15 al 17 de junio de 2016 | Buenos Aires. http://www.edutecne.utn.edu.ar/argencon2016/trabajos/IEEE_ARGENCON_2016_paper_196.pdf

[8] Black Hat Europe 2016 | 2,3 y 4 de noviembre de 2016 | Londres | Reino Unido. https://www.blackhat.com/eu-16/arsenal.html#crozono-framework-leveraging-autonomous-devices-as-an-attack-vector-on-industrial-networks

[9] JATIC 2016 | Jornadas Argentinas de Tecnología, Innovación y Creatividad | 2, 3 y 4 de noviembre de 2016 | Mar del Plata | Buenos Aires – Libro de Actas: ISBN 978-987-46267-0-7 http://www.jatic2016.ucaecemdp.edu.ar/Libro_de_Actas_II_JATIC_2016.pdf

[10] JATIC 2017 - Jornadas Argentinas de Tecnología, Innovación y Creatividad – 1,2 y 3 de nov. 2017

Publicación en revistas académicas y de divulgación científica

CROZONO surge como trabajo de investigación dentro del ámbito académico. A pesar del poco tiempo que lleva como proyecto ya cuenta con algunas publicaciones en revistas de divulgación científica:

[1] JATIC 2015 | Jornadas Argentinas de Tecnología, Innovación y Creatividad | 4, 5 y 6 de noviembre de 2015 | Mar del Plata | Buenos Aires | Libro de Actas: ISBN 978-987-23963-2-9 http://www.jatic2015.ucaecemdp.edu.ar/Libro_de_Actas_JATIC_2015.pdf

[2] Revista Atenea – Universidad de la Marina Mercante - marzo 2016 – Publicación en papel: ISSN 1668-348X

[3] JATIC 2016 - Jornadas Argentinas de Tecnología, Innovación y Creatividad – 2,3 y 4 de nov. 2016| Mar del Plata | Buenos Aires
http://www.jatic2016.ucaecemdp.edu.ar/Libro_de_Actas_II_JATIC_2016.pdf

[4] JATIC 2017 - Jornadas Argentinas de Tecnología, Innovación y Creatividad – 1,2 y 3 de nov. 2017| Mar del Plata | Buenos Aires http://jatic2017.ucaecemdp.edu.ar/

Consideraciones Legales y Regulatorias

El uso no autorizado de CROZONO como herramienta de intrusión, constituye un delito según la ley argentina (cfr. Art 153 Código Penal modificado por la ley 26.388). A esto se suma la nueva legislación provisional sobre el uso de dispositivos no tripulados de la ANAC - Res. 527/2015; la Disposición 20/2015 de la DNPDP sobre recolección de información personal mediante el uso de VANTs (vehículos aéreos no tripulados) y lo establecido en la ley de Inteligencia Nacional 25.520 Titulo VI.

Notes

CROZONO: Investigación Digital Remota con Drones

Después de 3 años volvemos a presentarnos con CROZONO al CFP de Ekoparty. Desde 2015, el framework ha sufrido numerosos cambios evolutivos:

  1. Se agrega una fase previa a la versión presentada en 2015 (Cracking WLAN + LAN) que permite recopilar información (rastrillaje aéreo de espacios geográficos para la localización de infraestructuras inalámbricas) sobre los posibles vectores de intrusión dentro del perímetro de una planta industrial, en las instalaciones de una infraestructura crítica o en una determinada área geográfica en la que podría requerirse el hallazgo de evidencia forense relevante para una investigación judicial.

  2. Se modifica el diseño original implementando dos modelos posibles de Arquitectura. El primero denominado “Cracking In House”; se basa en un esquema local en la que los componentes se ubican localmente en el datacenter del cliente. Esta arquitectura tiene como principal ventaja que la responsabilidad de las definiciones de seguridad, quedan del lado del cliente. El segundo denominado “Cloud Cracking”, se basa en un servicio en la nube en el que los componentes se ubican remotamente en el proveedor de servicios. La principal ventaja de esta arquitectura es que es fácilmente escalable en función de la necesidad y presupuesto del cliente, pudiendo alcanzar un PODER DE CÓMPUTO ILIMITADO gracias a las instancias virtuales ofrecidas por el proveedor del servicio (Elastic GPUs - Amazon Web Services).

  3. Se agrega la fase más importante del giro que se la ha dado al proyecto, la fase 3 denominada CROZONO Forensic, orientada a registrar y secuestrar datos informáticos a los fines de ser utilizados como evidencia digital en una causa o investigación, garantizando que ésta mantenga su valor probatorio para ser expuesta en el momento en la que sea requerida dentro de una investigación. CROZONO Forensic cuenta con cuatro (4) perfiles tipificados: Pornografía Infantil, Fraude Informático, Propiedad Intelectual y Daño Informático. En cada uno de ellos, existe una automatización independiente que se regirá en función de las actividades involucradas en el caso.

Este último punto es nuestro mayor desafío, por dos importantes motivos:

  1. A la fecha, prácticamente no existen herramientas que de forma automatizada permitan realizar el acceso remoto a un activo, secuestrando evidencias, y garantizando que el procedimiento empleado trace cada acción realizada y respete la cadena de custodia, preservando las componentes básicas de confidencialidad, integridad y disponibilidad.

  2. Hoy en día es posible pedir a un juez un rastrillaje de direcciones IP, sin embargo el juez no tiene mucha idea de lo que se le está pidiendo. Esto, en un mundo atado a vertiginosos cambios tecnológicos, es grave, porque la investigación pasa a depender de un perito informático o del accionar de fuerzas especiales. Argentina tiene una Ley sobre Delitos Informáticos que cumple con todos los requisitos que exige el Convenio de Budapest, y a pesar de que pueda requerir reformas o aclaraciones, la ley existe. La participación de Argentina en el Convenio de Budapest continúa con la política que lleva adelante el Estado Argentino en materia de lucha contra los delitos informáticos y obtención de evidencia digital que se considere relevante para una investigación. A pesar de que hay voluntad política para tomar ese camino, siguen existiendo numerosos Fiscales y Jueces y Magistrados que se resisten al cambio.

Duración de la Presentación

50 minutos

La presentación posee 2 demos en vivo y se compone de 3 fases completamente diferentes. Para ello serán requeridos 50 minutos.

Autores

Mg. Ing. Pablo Romanos

Anl. Demián Benitez

Ing. Mariano Amoroso

Manuel Pepe