A Case Saved by Network Forensics: Charla "el día no deseado"

El Día No Deseado Javier Romero

III Simposio Internacional de Redes y Comunicaciones de Datos

JaCkSecurity

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os

Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.

El día no deseado

• Es inevitable

• Es telemático

• Es Bembos!


2

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Lecciones aprendidas

• Gestión de continuidad de negocios nos dice:

– Planifica la gestión de crisis • Fase 1: Gestiona los medios / riesgo

• Fase 2: Gestiona los medios

• Fase 3: Retirada

• Fase 4: Revisa


3

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Meta III Simposio Internacional de Redes y Comunicaciones de Datos

4

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


¿Cómo atraer al enjambre? III Simposio Internacional de Redes y Comunicaciones de Datos

5

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Activando el enjambre

– Poca información

– Disfraza con un halo aseverativo

– Un mensaje muchas interpretaciones

– No ofrezcas ni un ápice de lo técnico

– No seas profundo para nada

– No respaldes la denuncia, si puedes niégala

– Se muy lento, eterniza tu respuesta • Quizás nadie se entere


6

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos

7

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



8

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



9

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



10

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



11

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Una semana después del 1er. comunicado III Simposio Internacional de Redes y Comunicaciones de Datos

12

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Lección aprendida

– Responder rápido (si vas a ofrecer investigar, cumple!)

– Ser sincero • Ofrecer disculpas (si eres culpable)

– Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios

• Que ellos saquen el minuto a minuto de ti, y pronto

• Se aburrirán, y el enjambre se disolverá


13

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Ellos necesitan la miel del panal

• La compañía de gestión de medios

• Los abogados necesitan información


14

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Dónde está mi panal

• En la red: La red está en todos lados


15

17:29:28.483854 IP 192.168.1.201 > x.y.z.1: ICMP echo request, id 2802, seq

1, length 17

0x0000: 4500 0025 0000 4000 4001 bf4c c0a8 01c9 E..%..@[email protected]....

0x0010: c80e f10b 0800 b1ad 0af2 0001 5a47 5673 ............ZGVs

0x0020: 4367 3d3d 0a Cg==.


1, length 21

0x0000: 4500 0029 0000 4000 4001 bf48 c0a8 01c9 E..)..@[email protected]....

0x0010: c80e f10b 0800 0af9 0b04 0001 6332 566a ............c2Vj

0x0020: 6447 3979 4367 3d3d 0a dG9yCg==.


1, length 17

0x0000: 4500 0025 0000 4000 4001 bf4c c0a8 01c9 E..%..@[email protected]....

0x0010: c80e f10b 0800 709b 0b16 0001 6347 4677 ......p.....cGFw

0x0020: 5951 6f3d 0a YQo=.

del

sector

papa

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Demanda: Cache poisoning (12 años atrás) III Simposio Internacional de Redes y Comunicaciones de Datos

16

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


La pichanguita de TI III Simposio Internacional de Redes y Comunicaciones de Datos

17

Gerencia legal

Gerencia TI

Proveedor del servidor

Testimonios Helpdesk

¿Porcentaje de confiabilidad?

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Abogados necesitaban estar 100% seguros III Simposio Internacional de Redes y Comunicaciones de Datos

18

• Por el desempate

Hackeados Invictos Vs.

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Pre “visión” forense de la red

• Previsión = Captura

– En caso de emergencia • Forense = Inicie análisis


19

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Romper el vidrio ¿así de fácil?

• Cada caso es un reto (no es un doble-clic)


20

Poder forense

querty A B ñlkjh

paquetes

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Forense de red vs. sistema archivos

• Complejidad

– Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos

– Decodificadores • Varían según RFC, año liberación, singularidades del

fabricante.

• Más retador

– Ciencia forense es un trabajo “artesanal”


21

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


¿Cuál fue el reto?

• El Sistema capturaba

– 68 bytes

• Una consulta promedio puede tomar

– 300bytes (google, facebook)

• ¿Un doble clic con 68 bytes?


22

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Lo que debió pasar vs. lo que dicen que pasó

• www.erdp.com

– 200.48.33.214

• www.porki.com

– 181.44.6.189


23

Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página

pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta.

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Matemáticas

-14 bytes ethernet-header

-20 bytes ip-header

-08 bytes udp-header

-12 bytes dns-header

¿puedo escribir www.erdp.com y su IP con 14 bytes?


24

54

34

26

14

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Veamos III Simposio Internacional de Redes y Comunicaciones de Datos

25

19:54:16.603234 IP 207.31.248.3.62826 > 207.0.8.4.53: 61386+[|domain]

0x0000: 4500 003a 0000 4000 4011 9c8b cf1f f803 E..:..@.@.......

0x0010: cf00 0804 f56a 0035 0026 48e1 efca 0100 .....j.5.&H.....

0x0020: 0001 0000 0000 0000 0377 7777 0465 7264 .........www.erd

0x0030: 7003 636f 6d00 p.com.

19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46)

0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............

0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6......

0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd

0x0030: 7003 636f 6d00 p.com.

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Con toda la captura completa III Simposio Internacional de Redes y Comunicaciones de Datos

26

19:54:37.129729 IP 207.31.248.3.59399 > 207.0.8.4.53: 28196+ A?

www.erdp.com. (30)

0x0000: 4500 003a 0000 4000 4011 9c8b cf1f f803 E..:..@.@.......

0x0010: cf00 0804 e807 0035 0026 d7ea 6e24 0100 .......5.&..n$..

0x0020: 0001 0000 0000 0000 0377 7777 0465 7264 .........www.erd

0x0030: 7003 636f 6d00 0001 0001 p.com.....

19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A

200.48.33.214 (46)

0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............

0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$..

0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd

0x0030: 7003 636f 6d00

0001 0001 c00c 0001 0001 p.com...........

0x0040: 0000 0e10 0004 c830 21d6 .......0!.

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Historia dentro de la historia III Simposio Internacional de Redes y Comunicaciones de Datos

27

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Checksums

• Integridad en secuencia de datos (transmitidos)


28

Ch

eck

sum

Dat

a

Pckt#3

Ch

eck

sum

Dat

a Pckt#2

Ch

eck

sum

Dat

a

Pckt#1

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



29

0000 0000 0000 0000 0000

10011100 0011 1111

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Checksum IP / UDP

• IP

– Asegura que data permaneció intacta en el viaje

– Destino descarta paquete si checksum incorrecto

– A nivel de routers • Se verifica en cada salto (router)

• Se recalcula de nuevo con el TTL nuevo

• UDP

– Aún mejor


30

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



31

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os



32

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


UDP Checksum III Simposio Internacional de Redes y Comunicaciones de Datos

33

Dirección IP fuente (32-bit)

Dirección IP destino (32-bit)

cero protocol (8-bit) Longitud UDP (16-bit)

Puerto origen (16-bit) Puerto destino (16-bit)

Longitud UDP (16-bit) Checksum (16-bit)

datos

Byte de relleno

0 8 16 31

Pseudo

Cabecera

UDP

Cabecera

UDP

Data

UDP

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


CSI, reconstrucción de los hechos

• Reproducir consultas, analizar respuestas, comparar checksums

– Pero empleando la “evidencia inicial”


34

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Trabajo forense

• Para descartar si el testimonio del acusado o del acusador fue real

– Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión

– Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los

campos únicos de la hora e instante del incidente.


35

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Campos únicos

• Aquí algunos de los campos únicos del caso: • IP

– Longitud Cabecera IP – Longitud total del paquete – IP ID – IP Flags – Fragment Offset – TTL – Checksum IP – IP origen

• A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP

• DNS – Query Identification


36

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


La información es poder (caso resuelto)

• La más sólida información posible

– No teorías, no conjeturas, no entredichos

• Certeza, para una certera defensa


37

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Hemos aprendido

• En el día no deseado – Necesita “habilitar” el poder forense de la red – Si callas, empeoras las cosas – Si te informas mal, empeoras las cosas – Si les documentas lo ocurrido con ciencia (lección

aprendida) • con disculpa bastará, y tu team de seguridad quedará bien

parado

• Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto

• No plug-ins

• Prepararlo requiere apoyo – Legal / técnico

• No se aventure a hacerlo sin asesoría de JACKSECURITY


38

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Algunas FAQ de la solución propuesta

• ¿Cómo se compone una solución para el día no deseado?

• ¿Dónde consigo el rr.hh.?

• ¿Cuál es la dosis adecuada de captura?

• ¿Cuánto cuesta la solución?

• ¿Qué es primero, EH o Forense Red?

• ¿Son los logs útiles?

• ¿Qué más podría capturar/colectar?

• ¿Dónde, cómo habilito el poder forense en mi red?

• ¿Qué requisitos debo tener?

• ¿Qué poder legal tiene en la cadena de custodia?

• Nota: IMPORTANTE – No se aventure a hacerlo sin asesoría de JACKSECURITY


39

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


JACKSECURITY

• Especialistas respondiendo incidentes, 2006

• Hermanados goblamente

– Con miembros de FIRST

• Creamos

– Tecnología propia

– Colectores de varios TiB

– Capturadores remotos e inalámbricos

• Practicamos el reciclaje, de nuestro KB

– Pentest

– Consultoría


40

JaC

kS

ecuri

ty

III

Sim

posi

o d

e C

om

unic

acio

nes

y R

edes

de

Dat

os


Contáctenos para visita técnica / comercial III Simposio Internacional de Redes y Comunicaciones de Datos

41

A Case Saved by Network Forensics: Charla "el día no deseado"

Technology

Transcript of A Case Saved by Network Forensics: Charla "el día no deseado"