blog

Quienes están familiarizados con el forense de computadoras, conocen aquellos artefactos dejados por incluso los sospechosos más cuidadosos. El borrar datos frecuentemente no borra verdaderamente nada, y limpiar evidencia deja también algo. Incluso las protecciones criptográficas pueden ser derrotadas si el sistema realizando la encriptación no es diligentemente limpiado, incluyendo RAM y archivos de paginación. Desafortunadamente el sistema utilizado o tocado por un actor malicioso no siempre está disponible, o tal vez por otra razón no es factible acceder al sistema por miedo a alertar al atacante sobre la existencia de una investigación.

Cuando una máquina es atacada, o de otra manera accedida a través de la red, ya sea o no el intento fue exitoso, existen rastros dejados los cuales pueden ayudar en la reconstrucción de las intenciones o propósitos del atacante. Incluso si sus tácticas, técnicas, y procedimientos fueron inefectivas, se podría estar en la capacidad de generar inteligencia valiosa para ayudar a entender sus motivaciones, capacidades, y probables siguientes movimientos.

¿Qué sucede si el ataque fue exitoso?. ¿Qué ocurrió después?. Frecuentemente en el caso de ataques avanzados como espionaje industrial o amenazas foráneas, como actores APT, la intrusión inicial es solamente el inicio de un largo periodo de tiempo de inactividad, lo cual incluye una profunda, y penetrante presencia sobre la red. Si se identifica el atacante utilizó credenciales de dominio en un intento de moverse lateralmente dentro del entorno de red con diez mil hosts, ¿Qué hacer a continuación?. ¿Qué sucede si se conocen los sistemas en un entorno no están configurados para generar suficientes datos sobre registros de eventos para conocer las acciones del atacante?.

Cada transacción de red potencialmente toca docenas de dispositivos y puntos para observación. Puede ser utilizado Wireshark, captura de paquetes, IDSs, o proxys, y datos registrados desde switches, routers, firewalls, y otros componentes para infraestructura podrían haber generado datos registrados valiosos. Con el entrenamiento adecuado, herramientas, y técnicas, este desafío de contención retador puede ser más manejable de lo cual se piensa.

Frecuentemente uno de los retos más grandes enfrentando por los profesionales forense de redes, esta en emplazar y manejar los sistemas para continuamente recolectar datos antes de percatarse se necesitan. A diferencia de un disco duro, el cable por si solo no recuerda nada. Una vez los datos son recolectados y están disponibles, esto es un verdadero tesoro. Incluso con paquetes capturados a largo plazo o datos recolectados con Wireshark, un profesional experimentado podría considerar el alcance completo de la evidencia disponible para llenar cualquier vacío en la hipótesis cuando sea posible.

Fuentes:

https://en.wikipedia.org/wiki/Network_forensics

YOGA es un proyecto para ayudar a entender los diferentes cursos de acción a seguir en función de los datos obtenidos. ¿Se tiene un nombre de usuario?. Simplemente hacer clic en este y revisar todos los nodos adjuntos/conectados para conocer las posibles acciones.

YOGA es flexible y fortalecerá la investigación OSINT ayudando a visualizar conexiones y rutas para continuar una investigación.

YOGA busca abstraer la pregunta “¿Qué se puede hacer?” en categorías. En lugar de indicar utilizar Google, Yandex, DuckDuckGo u otro motor de búsqueda para buscar una dirección de correo electrónico, YOGA simplemente conecta el nodo "Dirección de correo electrónico" hacia el nodo "Motor de búsqueda". Dejando al profesional la utilización de un motor de búsqueda particular, o visitar los sitios anteriores para encontrar uno.

A continuación se detallada cada uno de los componentes de la página.

Los datos los cuales se tienen; como puede ser un hashtag; estarán en color azul.

Las búsquedas y sitios donde se utilizan otros datos están en color amarillo, como por ejemplo la búsqueda de un dominio en el sistema whois.

Acciones las cuales podrían ser más complicadas comparados a una simple búsqueda web, se muestran en color rojo. Aquí se tienen "Examinar por servicios", lo cual usualmente significa escanear puertos en una dirección IP o dominio.

Cuando se hace clic en un nodo, se resaltan todas las conexiones (bordes) hacia y desde este en un color magenta.

¿Cual es el propósito de esas letras “O” en medio de las flechas (bordes)?. Al posicionar el mouse sobre estos, se mostrará una ventana emergente con sugerencias o ejemplos.

Navegar por la página es simple utilizando el mouse haciendo clic o haciendo clic y arrastrando. El acercamiento y el alejamiento se realizan con la rueda del mouse. Alternativamente se puede utilizar los botones verdes en la parte inferior de la página para moverse, acercar y alejar.

Fuentes:

https://github.com/WebBreacher/yoga
https://yoga.osint.ninja/
https://webbreacher.com/2018/06/24/introducing-osint-yoga/

Una vez recolectados “suficientes” datos (siendo “suficiente” una medida subjetiva), se deben transformar los datos en información, evaluándolos y analizándolos. Algunos puntos clave a utilizar en la revisión de los datos pueden incluir:

¿Es relevante? Algunas veces se recolecta contenido, el cual luego de su análisis, no resulta útil para la investigación general. Puede ser interesante pero puede no ser algo de importancia.

¿Es preciso? Internet contiene datos falsos. Ya sea el contenido esté destinado a ser publicado o simplemente sea algo generado siendo accidentalmente erróneo, se deben evaluar los bits recolectados para ver donde provienen estos datos. Se puede reportar información la cual se sospecha es imprecisa, pero es necesario asegurarse sea anotado correctamente.

¿Es objetivo? Las personas publicando en Internet algunas veces parecen tener agendas. Es posible quieran probar algo o proporcionar un lado de la historia. Al examinar datos se debe comprender si el contenido es un hecho o algo subjetivo.

¿Es creíble? Cualquiera puede publicar cualquier cosa en Internet, por lo cual es necesario evaluar la credibilidad de los datos sobre aquello en evaluación. Aquí es donde será importante el lugar desde donde provienen los datos, pues algunos lugares generan datos más creíbles comparados a otros.

¿Está corroborado? ¿Se pueden encontrar los mismos datos en múltiples sitios web no relacionados? El hecho de los datos estén corroborados puede no significar sean veraces. Muchos sitios web se basan en el mismo contenido. Si esos datos son incorrectos, cada sitio repetirá los datos y no serán ciertos.

¿Es un punto de pivote? El análisis revelará es posible se necesite realizar más investigaciones sobre ciertos puntos de datos. Consecuentemente buscar esas áreas y proceder con su anotación.

Fuentes:

https://en.wikipedia.org/wiki/Open-source_intelligence

Una vez se conoce cuales son los parámetros para realizar la evaluación, cuales técnicas son factibles de ser utilizadas, y cuales son las metas o propósitos de un cliente, es momento de moverse hacia la siguiente etapa del ciclo OSINT: obtener datos. Esto es en aquello lo cual la gente generalmente piensa y asocia cuando escucha sobre OSINT: profesionales utilizando motores de búsqueda; como Google, Bing, Yandex, etc., navegando a través de innumerables sitios web, y revisando documentos en línea.

Es importante grabar todo lo cual se está realizando. Recolectando y descargando todos los datos descubiertos para su posterior análisis. Esto incluirá todo desde texto hasta URLs, videos, fotos, y documentos. Dado Internet y los datos alojados en este no son algo lo cual esté bajo nuestro control, se deben obtener copias de todo lo aquello lo cual se requiere utilizar en el análisis y el reporte final. Tener copias locales de los datos garantiza si un recurso se modifica o elimina de Internet, todavía se tendrá una copia del mismo. Algunas veces son estos datos eliminados los más reveladores.

De hecho existen diversas herramientas las cuales se utilizan para grabar “todas estas cosas”.

Fuentes:

https://www.sans.org/blog/what-is-open-source-intelligence/

La primera etapa en una evaluación OSINT (Open Source Intelligence) es definir una reunión con el cliente, y consecuentemente descubrir cuales son sur propósitos para realizar la evaluación. Esta etapa frecuentemente es omitida pero no debería ser así. Se sugiere crear un documento conteniendo preguntas estándar, para las cuales se requieren encontrar respuestas, de tal manera la evaluación se mantenga encaminada y centrada en las necesidades del cliente.

Algunos tópicos abarcados en esta etapa son:

• ¿Cuales técnicas están dentro o fuera del alcance para la evaluación? ¿Se tiene permitido conectarte con aquello en evaluación o no?
• ¿Cuánto tiempo se tiene para realizar el trabajo?
• ¿Cual contenido y en cual formato requiere el cliente sea presentado el resultado de la investigación? ¿Requieren un documento simple de texto o PDF, o también buscan una sesión informativa verbal?
• ¿Cuan encubierto o abierto se requiere sea el sistema y tráfico de la red?
• ¿Tiene el cliente información la cual ayudará a iniciar la evaluación? ¿Nombre, dirección y número de teléfono? ¿Dirección de correo electrónico? ¿Nombres de usuario en sitios web? ¿Fechas y horarios de interés?

Los clientes también pueden esperar sea factible “hackear” los sistemas de otras personas, y de esta manera obtener datos privados como generalmente se ve en las películas o televisión. Es posible se deba explicar aquello lo cual es factible realizar o no por ellos en esta etapa de la evaluación.

Fuentes:

https://irp.fas.org/doddir/army/atp2-22-9.pdf
https://blog.sociallinks.io/osint-faqs-common-questions-about-open-sour…

Aunque existen muchas variaciones en este ciclo, la mayoría de las agencias y organizaciones coinciden en la existencia de al menos cuatro etapas principales correspondiente a un ciclo OSINT:

1. La recopilación de requerimientos inicia el proceso. Aquí el profesional en OSINT conoce de su cliente aquello lo cual quiere, así como el cuando y como. Esta etapa frecuentemente es omitida, pues la gente asume se conoce aquello lo cual requiere el cliente en lugar de solicitarle requerimientos concretos.

2. La recolección de información es el paso donde un profesional busca términos clave, recopila fotografías y otros medios, además de rastrear el contenido web y de bases de datos. Este proceso puede algunas veces resultar desafiante pues el profesional necesita juzgar y comprender cuando se han obtenido "suficientes" datos para analizar.

3. Aquello separando a los profesionales de OSINT de las personas quienes "simplemente buscan en Google" es su análisis. Esta es la etapa del ciclo en la cual el profesional examina los elementos de datos recopilados, aplica su comprensión sobre los requerimientos de los clientes, y clasifica los datos en categorías útiles y menos útiles. También existirán otras categorías, como "seguimiento" y "pivote", lo cual indicarán al profesional profundice sobre el tema en consultas adicionales (también conocido como profundizar), y cambie la búsqueda para dedicarse hacia un tema diferente, respectivamente.

4. Después el profesional en OSINT recopile suficientes datos detallados sobre un tema específico (por ejemplo los antecedentes educativos de aquello bajo investigación), llegará el momento de pivotar para seguir una línea de exploración diferente (por ejemplo el historial laboral). Alternativamente si se ha analizado “suficiente” información, el profesional puede pasar hacia una fase para presentar el reporte. Ahora el profesional tiene detalles adicionales y puntos de pivot los cuales puede utilizar para refinar la búsqueda. Solicitar y/o confirmar los requerimientos del cliente el útil para garantizar se cumplan las limitaciones de tiempo, dinero, e investigación. El ciclo se repite.

Sin relevancia a los nombres definidos para las etapas, estas son las etapas a través de las cuales se recorrerá en una investigación una y otra vez, durante el transcurso de una evaluación.

Fuente:

https://www.sans.org/blog/what-is-open-source-intelligence/

Algunos comentan sobre OSINT implica "personas simplemente buscando algo Google". Esta definición de corta vista e inexacta elimina varios de los elementos más importantes sobre OSINT: la organización de la información recopilada y el análisis de los datos. Aunque es cierto la mayoría de personas pueden utilizar un motor de búsqueda para encontrar la respuesta a preguntas sencillas, al profesional en OSINT frecuentemente se le formulan preguntas muy desafiantes para las cuales es posible no exista una respuesta 100% correcta.

Cuando se interactúa con amigos o familiares y buscan algo en Internet, ¿Cuan frecuente es se revisen los elementos correspondientes a la segunda o tercera página de resultados?. La mayoría de las veces suponen encuentran respuestas "suficientemente buenas" en las primeras 10 entradas de respuestas. Es raro las personas accedan hacia resto de resultados de búsqueda, y es por esto existe un gran negocio en torno a la optimización de motores de búsqueda (SEO). Lograr un producto o página web de una empresa aparezca entre los primeros 5 o 10 resultados, puede marcar una gran diferencia en los ingresos por publicidad y el tráfico hacia un sitio web. Como profesionales en OSINT, es muy importante considerar las entradas localizadas en cualquier página de resultados. Es por esto los profesionales exitosos en OSINT se concentran en recopilar todo, para luego analizarlo en busca de significado y contexto.

La parte de inteligencia sobre OSINT significa los profesionales son un elemento importante en el proceso de una investigación. “Simplemente buscar en Google” podría proporcionar una respuesta a un cliente, pero ¿es una respuesta completa? ¿Es la mejor respuesta?. Consecuentemente se torna fundamental conocer estrategias efectivas a utilizar para interpretar datos. Dependiendo de aquello lo cual un cliente haya solicitado buscar, puede existir una cantidad abrumadora de datos para recopilar, analizar, y examinar.

Fuentes:

https://syntheticdrugs.unodc.org/syntheticdrugs/en/cybercrime/detectand…

Inteligencia de Fuente Abierta o en idioma inglés; Open Source Intelligence, u OSINT; es el proceso de buscar, recopilar, y analizar datos encontrados en fuentes públicas. La mayoría de las veces, estos datos son de dominio público, pero algunas veces la información requiere realizar un pago, o requiere algún tipo de autenticación para ser accedida. Si bien comúnmente se concentra la atención en OSINT el cual se puede acceder fácilmente en Internet, es posible al visitar un juzgado, examinar registros, como también utilizar recursos impresos en una biblioteca, todo está también puede ayudar a las evaluaciones OSINT .

Durante el transcurso de un día normal, todos nosotros utilizamos sitios web comunes los cuales un profesional en OSINT visitaría para recopilar datos. Fotos de una determinada ubicación o persona, una entrada de video blog, el cual se grabó dentro de la oficina de alguien, y una publicación realizada por alguien en un foro, estos son ejemplos de datos recopilados por los profesionales en OSINT.

Cuando se trabaja con datos sobre personas, algunos de los contenidos más importantes a recopilar y examinar son los publicados por quien está bajo investigación, o aquello publicado por alguien más publica sobre quien está bajo investigación, en sitios de redes sociales como Facebook, Twitter (X), LinkeIn, etc.. La inteligencia de redes sociales o SOCMINT, puede (dependiendo del escenario) generar una cantidad abrumadora de datos para recolectar y analizar.

Fuentes:

https://en.wikipedia.org/wiki/Open-source_intelligence
https://en.wikipedia.org/wiki/Social_media_intelligence

Un sistema de Tecnología Operacional típico contiene numerosos bucles de control, interfaces hombre-máquina, y herramientas para mantenimiento y diagnóstico remoto. El sistema se construye utilizando un arreglo de protocolos de red para arquitecturas de red en capas. Algunos procesos críticos también pueden incluir sistemas de salvaguarda.

Un bucle de control utiliza sensores, actuadores, y controladores para manipular algún proceso controlado. Un sensor es un dispositivo el cual produce una medición de alguna propiedad física, para luego enviar esta información como variables controladas hacia un controlador. El controlador interpreta las mediciones y genera las variables manipuladas correspondientes, basándose en un algoritmo de control y puntos de ajuste objetivo, los cuales son transmitidos hacia los actuadores. Los actuadores, como válvulas de control, disyuntores, interruptores, y motores, se utilizan para manipular directamente el proceso controlado según los comandos del controlador.

En un sistema típico para vigilancia, generalmente no existen conexiones directas entre los sensores y actuadores. Los valores del sensor son transmitidos hacia una estación de vigilancia para ser analizados por un humano. Sin embargo estos tipos de sistemas aún pueden considerarse sistemas de Tecnología Operacional (aunque con un ser humano en el bucle), porque el propósito del sistema para vigilancia es probable sea identificar y en última instancia mitigar un evento o condición (por ejemplo, una puerta alertando ha sido abierta de manera forzada, generando personal de seguridad sea enviado para investigar; un sensor ambiental el cual detecta altas temperaturas en una sala de servidores, generando el personal en el centro de control active una unidad auxiliar de aire acondicionado).

Los operadores e ingenieros utilizan interfaces hombre-máquina (HMI) para vigilar y configurar puntos de ajuste, algoritmos para control, además de ajustar y establecer parámetros en el controlador. HMI también muestra información sobre el estado del proceso e información histórica. Las utilidades para diagnóstico y mantenimiento se utilizan para prevenir, identificar, y recuperarse de fallas o operaciones anormales.

Algunas veces los bucles para control están anidados y/o en cascada, por lo cual el punto de ajuste para un bucle se basa en la variable de proceso determinado por otro bucle. Los bucles para nivel de supervisión y los bucles de nivel inferior, operan continuamente sobre la duración de un proceso con tiempos de ciclo los cuales varían desde el orden de milisegundos a minutos.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3…

La Tecnología Operacional es utilizada en muchas industrias e infraestructuras, incluidas aquellas identificadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), como sectores de infraestructura críticas las cuales se enumeran a continuación. La Tecnología Operacional puede ser encontrada en todas las infraestructuras críticas, siendo más frecuente en los sectores los cuales se muestran a continuación en “negrita”.

Sector Químico
Sector Instalaciones Comerciales
Sector Comunicaciones
Sector Manufactura Crítica
Sector Represas
Sector Base Industrial para Defensa
Sector Servicios de Emergencia
Sector Energético
Sector Servicios Financieros
Sector Alimentario y Agrícola
Sector Instalaciones Gubernamentales
Sector Sanitario y Salud Pública
Sector Tecnología de Información
Sector Reactores, Materiales y Residuos Nucleares
Sector Sistemas de Transporte
Sector Sistemas de Agua y Saneamiento

La Tecnología Operacional es vital para el funcionamiento de infraestructuras críticas, los cuales son frecuentemente sistemas altamente interconectados y mutuamente dependientes, tanto físicamente como a través de una gran cantidad de tecnologías de información y comunicaciones. Es importante anotar, si bien las agencias federales operan muchas de las infraestructuras críticas mencionadas anteriormente, muchas otras son de propiedad y operación privadas. Además, las infraestructuras críticas frecuentemente se denominan “sistema de sistemas”, debido a las interdependencias existentes entre varios sectores industriales, y las interconexiones entre socios comerciales. Un incidente en una infraestructura puede afectar directa e indirectamente otras infraestructuras a través de fallas en cascada y escaladas.

Por ejemplo, tanto las industrias para redes de transmisión como de distribución de energía eléctrica, utilizan tecnología de control SCADA distribuida geográficamente para operar sistemas dinámicos y altamente interconectados consistentes en miles de servicios públicos y privados, además de cooperativas rurales, para suministrar electricidad hacia los usuarios finales. Algunos sistemas SCADA vigilan y controlan la distribución de electricidad mediante la recopilación de datos, y la emisión de comandos hacia estaciones de control de campo geográficamente remotas desde una ubicación centralizada. Los sistemas SCADA también se utilizan para vigilar y controlar la distribución de agua, petróleo, y gas natural, incluidos oleoductos, barcos, camiones, sistemas ferroviarios, y sistemas para recolección de aguas residuales.

Los sistemas SCADA y DCS frecuentemente estan conectados en red. Este es el caso de los centros para control de energía eléctrica y de las instalaciones de generación. Aunque la operación de la instalación para generación de energía eléctrica está controlada por un DCS, el DCS debe comunicarse con el sistema SCADA para coordinar la producción, con las demandas de transmisión y distribución.

Frecuentemente se piensa la energía eléctrica es una de las fuentes más frecuentes de perturbaciones de infraestructuras críticas interdependientes. Por ejemplo, una falla en cascada puede iniciarse por una interrupción en la red de comunicaciones por microondas utilizada para un sistema SCADA de transmisión de energía eléctrica. La falta de capacidades para vigilancia y control podría provocar una unidad generadora grande se desconecte, y provoque la pérdida de energía en una subestación de transmisión. Esta pérdida podría causar un desequilibrio importante, desencadenando una falla en cascada en toda la red eléctrica, y provocando apagones en grandes áreas lo cual potencialmente afectarían la producción de petróleo y gas natural, las operaciones de refinería, los sistemas para tratamiento de agua, los sistemas para recolección de aguas residuales, y los sistemas de transporte por tuberías dependiendo de la red de energía eléctrica.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3…
https://www.cisa.gov/topics/critical-infrastructure-security-and-resili…