CSIRT-v-1-0-4 [Sólo lectura] [Modo de...

Seminario 4Cómo dar respuesta a incidentes de seguridad informáticaCómo dar respuesta a incidentes de seguridad informática

Conceptualización en seguridad de la informaciónConceptualización en seguridad de la información

Conceptualización

• Seguridad Informática vs. Seguridad de la Información• Los Asuntos de Seguridad de la Información han sido:

– Un problema técnico– Un problema técnico– Afectan solo al departamento de IT– Un costo– Acciones tácticas centradas en la práctica– Una meta de supervivencia

• Ahora son:Ahora son:– Un problema de negocio– Afectan a toda la organización

U I ió– Una Inversión– Administrados estratégicamente, orientados a proceso– Una meta de continuidad de operaciónp

Justificación de la necesidad

• Amenazas a la Información– Empleados descontentos

B j i ti ió– Baja concientización– Crecimiento de redes– Efectividad del MalwareEfectividad del Malware– Falta de previsión de contingencias– Falta de políticas– Desastres naturales

• El hacking trasciende de lo académico al delito y al terrorismo, generando nuevas tendencias de ataque en constante desarrollogenerando nuevas tendencias de ataque en constante desarrollo

• Protección de la infraestructura• Confianza creciente en los sistemas de información

Actores que intervienen en la seguridad

Infraestructura

Factor HumanoAd i i t ió Factor HumanoAdministración

Tipos de amenazas informáticasVi• Virus

• Caballos de Troya• Explotación de vulnerabilidades, tanto a nivel de host como de p ,

arquitectura de red (vulnerabilidades de la seguridad perimetral)• Explotación de la información sensible que es involuntariamente

expuestaexpuesta• Explotación de vulnerabilidades en protocolos de comunicación• Falsificación de identificaciones (biométricas, de autenticación o de

encabezados de paquetes)encabezados de paquetes)• Robo de información confidencial• Violación a la privacidad• Ingeniería social (particularmente peligrosa)• Trashing (también)• Network Diving (wireless)• Network Diving (wireless)

Entendiendo las amenazas

• Las redes actuales permiten la pconectividad de un gran número de usuarios.

• Aumento de servicios que necesitan la t i ió d d t t dtransmisión de datos por estas redes: necesidad de protección de la información.

• Se puede modelar el sistema como un• Se puede modelar el sistema como un flujo de información desde una fuente (un archivo, usuario, sistema, etc.) a un destino (otro archivo, usuario, sistema, ( , , ,etc.).


• InterrupciónParte del sistema queda destruido o no– Parte del sistema queda destruido o no disponible.

– Destrucción hardware o software, corte de una línea de comunicación.

• InterceptaciónUna entidad no autorizada accede a– Una entidad no autorizada accede a parte de la información.

– Interceptación de una línea telefónica, copia ilícita de archivos, intercepción vía radio comunicaciones móviles.


• Modificación– Una entidad no autorizada

accede a parte de laaccede a parte de la información y modifica su contenido.Alteración de archivos de datos– Alteración de archivos de datos, alteración de programas, modificación de mensajes trasmitidos por la redtrasmitidos por la red.

• Fabricación– Una entidad no autorizada envía

mensajes haciéndose pasar por un usuario legítimo.

El Riesgo (Informático) – Motivo vs. OportunidadOportunidad

• Resultado concreto de que un AMENAZA se produzca como consecuencia de haberse explotado una VULNERABILIDADconsecuencia de haberse explotado una VULNERABILIDAD, habiendo producido además un costo por el impacto de dicho evento.

Plano Informático

Motivo Intereses Personales

Plano Informático

RIESGO = AMENAZA X VULNERABILDAD = COSTOOportunidad

El delito informáticoEl delito informático

Qué es el delito informático?

• Alterar, dañar, borrar, o utilizar datos electrónicos para ejecutar un p jesquema de fraude, engaño, extorsión u obtención de dinero, propiedades, o datos; utilizando servicios de computadora sin permiso, interrumpiéndolos, asistiendo a otros en el acceso ilegal a sistemas de cómputo o introduciendo contaminantes en un sistemasistemas de cómputo o introduciendo contaminantes en un sistema o una red. (California Penal Code, Sect. 502)

• Cualquier violación de las leyes, que involucre el conocimiento de laCualquier violación de las leyes, que involucre el conocimiento de la tecnología para su perpetración, persecución e investigación (DoJ)

• Dos conceptos: Computer Crime y Computer Related Crime (10thDos conceptos: Computer Crime y Computer Related Crime (10th U.N. Congress)

¿Qué es el delito informático?

• Computer Crime:– Cualquier comportamiento ilegal realizado mediante operaciones

electrónicas cuyo blanco es la seguridad de los sistemas de cómputo y/o los datos procesados en elloscómputo y/o los datos procesados en ellos

• Computer Related Crime:– Cualquier comportamiento ilegal cometido mediante, o en

relación a, un sistema de cómputo o una red; incluyendo crímenes como posesión ilegal y oferta o distribución decrímenes como posesión ilegal y oferta o distribución de información por medio de un sistema de cómputo o una red.

Evolución del delito informático

Poca Seguridad PerimetralInicio de redes de Computadoras

Masificación de VulnerabilidadesInterés en la Manipulación de

Confianza en los SistemasAplicaciones Financieras en WebInicio de redes de Computadoras

Sistemas UNIX PredominantesPoca Regulación

Interés en la Manipulación de InformaciónMasificación del Internet

Aplicaciones Financieras en WebComercio en Línea

Interés Académico y Personal

Hasta 1997

Acceso a la Información restringida

Hasta 2001

Fraude / Delito Informático

2002 en Adelante

Exploits ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)

ExploitsHerramientas EspecializadasManipulación de ProgramasAtaques Web (defacement)Ataques Web (defacement)

Virus y TroyanosAtaques Web (defacement)Virus y TroyanosIngeniería SocialManipulación Aplicac. Web

Categorización de los delitos

• Acceso no autorizado• Daño a computadores o programas (software)• Sabotaje digital• Intercepción no autorizada de comunicaciones• Espionaje digital• Espionaje digital• Creación, distribución, utilización y acceso ilegal de datos

almacenados en computadores

Violentos o potencialmente violentos

• Ciber-terrorismo (terrorismo planeado, coordinado o cometido en el ( p ,ciberespacio)

• Asalto por amenaza (amenazas enviadas por e-mail o amenazas en• Asalto por amenaza (amenazas enviadas por e-mail, o amenazas en razón de una bomba lógica)

Cib h (h ti i t fí i l bl l id• Ciber-acecho (hostigamiento, amenazas físicas escalables a la vida real)

• Pornografía Infantil (creación, distribución y acceso)

No violentos

• Ciber-Infracciones (accesos no autorizados, típicamente sin daño en los datos))

• Ciber-Robo– Malversación (dinero o propiedades, con acceso al sistema)– Apropiación ilegal (dinero o propiedades, sin acceso al sistema)– Espionaje Industrial– Plagio

Pi í– Piratería– Robo de identidades– Envenenamiento de DNS caché

• Ciber-Fraude (falsedad para la obtención de un valor o beneficio)

No violentos

• Crímenes por computador destructivosH ki B d lt ió d d t– Hacking + Borrado o alteración de datos

– Web Defacement– Virus o código malicioso en computadores y redesVirus o código malicioso en computadores y redes– Ataques de denegación de servicio

• Otros crímenes por computador– Prostitución, apuestas, venta de narcóticos, lavado de activos,

contrabando; todo por Internetcontrabando; todo por Internet

Marco Legal colombiano

• Artículo 195 C.P.– “El que abusivamente se introduzca en sistema informático protegido

con medida de seguridad o se mantenga contra la voluntad de quien g g qtiene derecho a excluirlo, incurrirá en multa”

• Art. 192 y 194 C.P.– Sustracción ocultamiento extravío destrucción interceptación control– Sustracción, ocultamiento, extravío, destrucción, interceptación, control

o impedimento de comunicaciones privadas y de carácter oficial• Daño en Bien ajeno (Art. 265)

S b t j (A t 199)• Sabotaje (Art. 199)• Daño en instrumento necesario para la producción, distribución de materia

prima, producto agropecuario o industrial (Art. 304)• Falsedad de Documento Electrónico (Art. 294)• Ley 527 de 1999 (Comercio Electrónico)• Ley 603 de 2000 (Antipiratería)Ley 603 de 2000 (Antipiratería)

Escalas de oportunidad

Menor Oportunidad

NoConsumidores

Consumidores / UsuariosConsumidores / Usuarios

Usuarios Internos y Empleados

Mayor Oportunidad

Tres perspectivas para el análisis del fraude

C i l lid t i• Como vimos en el slide anterior,– Perspectiva interna– Perspectiva del usuario consumidorPerspectiva del usuario consumidor– Perspectiva externa (ajena)

• Cada perspectiva tiene su motivación y su oportunidad, dada en amenazas, riesgos y facilitadores

• Tenga en cuenta los Tres Actores de la Seguridad

El fraude desde la perspectiva interna

• Presenta una mayor oportunidad, pues ya se tiene ganado el acceso a la información sensible

• Puede darse por empleados o personal interno de la organización• Puede presentarse por agentes externos en colusión con empleados

L bilid d EXCLUSIVA d l O i ió• La responsabilidad es EXCLUSIVA de la Organización• Tiene importantes facilitadores:

– Procesos de respaldo manualesProcesos de respaldo manuales– Falta de trazabilidad– Políticas y controles deficientes– Seguridad Física e Informática inadecuada o no administrada– Factor Humano

Escenarios del fraude interno• Deficiente protección de estaciones críticas (ACH, por ejemplo)p ( , p j p )

• Intercambio de documentos electrónicos con respaldo físico

• Acceso malicioso a los sistemas corporativos (incluso con solo compartir una contraseña o desde sus casas)compartir una contraseña, o desde sus casas)

• Protección de la confidencialidad de los clientes (secreto financiero, por ejemplo mediante sniffing)

• Intercambio de información entre contratistas (Call Center• Intercambio de información entre contratistas (Call Center, Proveedores de Servicios, etc.)

• Negación de Servicio

El fraude desde la perspectiva del consumidor

• Puede ser interno y/o externo

• Encuentra su principal nicho en la ingeniería social y en la “ingenuidad” del consumidor

• La responsabilidad es COMPARTIDA entre la organización y el consumidor dependiendo del fraude

• Algunos facilitadores:– Disponibilidad de transacciones en línea– Disponibilidad de transacciones en línea– Ingenuidad del consumidor en Internet– Factor humano

Escenarios del fraude hacia el consumidor

• Instalación de programas espía en computadores públicos• Envío de correos fraudulentos (phishing pharming vishing)• Envío de correos fraudulentos (phishing, pharming, vishing)• Fraudes en las ventanillas de Atención al Cliente (registro de datos

de las bandas magnéticas)• Fraudes en Cajeros Automáticos• Fraudes en Cajeros Automáticos• Ingeniería Social• Controles Débiles en el acceso de sitios transaccionales

• Nota Importante: Legalmente el fraude no se materializa hasta tanto el bien (dinero, por ejemplo) haya sido retirado física o lógicamente de su legal custodiológicamente de su legal custodio.

Phishing

Mensaje enviado al usuario:

Enlace mostrado en el mensaje:

Enlace real:

Phishing

• No es responsabilidad exclusiva del cliente

– DNS Spoofing– DNS Spoofing– Pharming (alteración de los registros del archivo HOSTS)– Cross Site Scripting (llamado a rutinas externas, por

vulnerabilidad en la aplicación transaccional)– Vishing – Ejecución de llamadas VoIP desde cualquier lugar del

mundo simulando un número en otro paísmundo simulando un número en otro país

El fraude desde la perspectiva externa

• Está basado en la explotación de problemas tecnológicos y de sus arquitecturasq

• En el rigor de la palabra, tiene menos probabilidades de éxito, partic larmente si no ha col sión internaparticularmente si no hay colusión interna

• La responsabilidad nuevamente es EXCLUSIVA de la organizaciónLa responsabilidad nuevamente es EXCLUSIVA de la organización

• Algunos facilitadores:– Disponibilidad de transacciones en línea– Inadecuada política de administración de sistemas

Escenarios del fraude externo

• Acceso ilegal a cuentas de usuario

• Explotación de vulnerabilidades (servicios, servidores, aplicaciones)

• Acceso a redes de comunicación desprotegidas (inalámbricas, por ejemplo)

Tendencias de fraude

• Fraude electrónico– Utilización de Key Loggers

M it d d– Monitoreo de redes– Estafas a través de Portales de Subasta– Simulación de páginas – PhishingSimulación de páginas Phishing– Suplantación de identidad en el Sistema Bancario

• Propiedad intelectual (Derechos de Autor)– Descargas e Intercambio de música

Copia de software– Copia de software– Descargas e Intercambio de video– Reproducción, distribución y comercializaciónep oducc ó , d st buc ó y co e c a ac ó

Tendencias del fraude

Di l ió i d bid d t id• Divulgación indebida de contenidos– Clasificación y reporte de contenidos– Pornografía infantilPornografía infantil– Intercambio de información de Grupos Terroristas– Intercambio de información oculta (esteganografía)– Comunicación en DRAFT– Intercambio de información financiera

Contenidos ilegales de Hacking Cracking y Phreaking– Contenidos ilegales de Hacking, Cracking y Phreaking

Computación forenseComputación forense

Principio de intercambio

• “ Cuando alguien comete un crímen siempre queda algo en la..Cuando alguien comete un crímen, siempre queda algo en la escena del crímen que no se encontraba cuando esa persona llegó.”

(Edmund Locard, 1910)

La Pistola H (d )Humeante (datos)

En qué consiste?

• Nace a partir de la necesidad de investigar crímenes informáticos

• Utiliza procedimientos técnicos y legales muy rigurosos

• Qué ocurrió Causas probables y cronología• Qué ocurrió Causas probables y cronología

• Cómo ocurrió Reconstrucción de los hechos

• Quién lo hizo Evitando el no repudio a partir de la evidencia recolectada

• Aspectos legales En los procesos y procedimientos

Significado del cómputo forense

• Forense (adj.)• Pertenece a las cortes y es usado en alegatos legales.• Se relaciona con la ciencia o con los científicos conectados con• Se relaciona con la ciencia o con los científicos conectados con

investigaciones legales.

• Forense (n.)o e se ( )• El arte o estudio del debate público.

• Forense• Cualquier examen científico o sistemático de la evidencia en la

investigación de un crímen.

Có t F• Cómputo Forense• (cyber-forensics), el examen detallado de un sistema de cómputo

en una investigación.

Alcance del CF y características

• Alcance: la búsqueda y recolección de datos específicos que servirán como evidencia aceptable en una Corte.

El ó t f ti• El cómputo forense tiene que ver con:

• Medios de almacenamiento (ejm. Discos duros),

• El examen y análisis de registros de red (logs).

• El proceso repetible y científico• El proceso repetible y científico.

• El investigador sigue una metodología paso a paso para preservar la integridad de la evidencia.integridad de la evidencia.

• Esta metodología no varía sustancialmente entre investigadores o técnicas.

Principios fundamentales

• Alcance: para proteger al investigador, la evidencia y al acusado, así como sus derechos.

• Principios relacionados con la ética:• El investigador debe tener la autoridad para tomar en custodia elEl investigador debe tener la autoridad para tomar en custodia el

sistema que va a analizar.• La búsqueda debe tener metas claramente definidas.

• Principios relacionados con el proceso:• Un conjunto de reglas elimina la posibilidad de manipular o• Un conjunto de reglas elimina la posibilidad de manipular o

modificar la evidencia• Algunos lineamientos asisten el mantenimiento de esas reglas.

Reglas para prevenir la manipulación• Regla 1 El examen no se debe efectuar sobre medios originales• Regla 1. El examen no se debe efectuar sobre medios originales.

• Regla 2. La copia siempre se debe efctuar sobre medios estériles, preferiblemente nuevospreferiblemente nuevos.

• Regla 3. La copia debe ser exacta (bit a bit).

• Regla 4. El sistema y sus datos deben ser protegidos durante la recolección para garantizar su integridad.

• Regla 5. El análisis debe efectuarse de manera que garantice que no hay modificación de la evidencia.

• Regla 6. La cadena de custodia de la evidencia debe ser mantenida claramente para proporcionar un registro de quién la accede y en qué momentoqué momento.

Principios forenses

• 4 Principios básicos:– Minimizar la pérdida de datos– Grabar y documentar todo (fotografías, notas, grabaciones, etc.)– Analizar todos los datos recolectados– Analizar todos los datos recolectados– Reportar sus hallazgos

Principios forenses1. En lo referente a evidencia electrónica, todos los principios

forenses y de procedimiento deben ser aplicados. 2. Luego de tomar evidencia digital, se deben tomar acciones para

que esa evidencia no sea alterada. 3. Cuando sea necesario que una persona acceda a una evidencia

digital, esa persona debe ser entrenada para tal propósito. g , p p p p4. Toda la actividad relacionada con la toma, acceso,

almacenamiento o transferencia de evidencia digital debe ser completamente documentada, preservada y debe estar disponible p , p y ppara revisión.

5. Un individuo es responsable por todas las acciones tomadas en relación a la evidencia digital mientras ésta esté en su posesión.relación a la evidencia digital mientras ésta esté en su posesión.

6. Cualquier agencia, responsable por la toma, acceso, almacenamiento o transferencia de evidencia digital es responsable por el cumplimiento de estos principiosresponsable por el cumplimiento de estos principios.

Qué hacer y qué no• 1. Minimizar el manejo y la corrupción de los datos originalesj y p g• 2. Registrar cada cambio y mantener un documento completo de

todas las acciones tomadas• 3. Cumplir con las cinco reglas de la evidenciap g• 4. No exceder su conocimiento• 5. Seguir las políticas locales de seguridad y obtener autorizaciones• 6 Capturar la imagen lo más precisa posible del sistema6. Capturar la imagen lo más precisa posible del sistema• 7. Prepárarse para testificar• 8. Garantizar que sus acciones son repetibles• 9 Trabajar rápido• 9. Trabajar rápido• 10. Proceder desde la más volátil hacia la más persistente• 11. No ejecutar programas en los sistemas afectados

12 D t d t d t !• 12. ¡Documentar, documentar y documentar!

• Fuente: AusCERT (www.auscert.org)

Errores comunes

• Añadir datos al sistemaAñadir datos al sistema

• “Matar” procesos del sistema

• Tocar accidentalmente los Time Stamps

U h i t d fi bl• Usar herramientas o comandos no confiables

• Ajustar el sistema antes de recolectar la evidencia (apagarlo, h l t li l )parcharlo, actualizarlo)

Algunos escenarios de aplicación

• Un empleado es sospechoso de violar la política de internet de la ñíp p p

compañía.

• Un disco duro es encontrado en la casa de un sospechoso de terrorismoterrorismo.

• Registros anormales se encuentran en un sistema, se sospecha de un acceso ilegal.g

• Una persona es sospechosa de asesinato o secuestro.

• Hurto de propiedad intelectual.

El tipo de crímen indica el tipo de archivos por buscarbuscar

• Por experiencia, los investigadores buscan inicialmente tiposPor experiencia, los investigadores buscan inicialmente tipos generales de evidencia basándose en el escenario.

– Intrusiones: logs, rootkits, archivos y directorios ocultos

– Contrabando de imágenes: archivos de imagen historial de– Contrabando de imágenes: archivos de imagen, historial de navegación web

– Inteligencia: documentos, e-mails

El CF involucra muchos camposTé i d i i í ( j H d )• Técnicos y de ingeniería (ejm. Hardware)

• Ciencias de la Computación– Desarrollo de algoritmos herramientasDesarrollo de algoritmos, herramientas

• Legal– Leyes– Estatutos y regulaciones

• Negocios– Búsqueda de anomalías en diferentes áreas (pornografía asuntos de IP– Búsqueda de anomalías en diferentes áreas (pornografía, asuntos de IP,

uso inapropiado, intrusiones, etc.)

• Policía

• Cortes– Reglas de Evidencia– Presentación de evidencia en la CortePresentación de evidencia en la Corte

Pasos de la investigación digital

• Detección del incidente– IDS (Intrusion Detection Systems)

Si t d M it– Sistemas de Monitoreo

• RespuestaRespuesta– Grupo de Respuesta a Incidentes

• Recolección de Evidencia

Análisis y Examen• Análisis y Examen

• Reporteepo te

Pasos preliminares del CF

• Cada paso está delimitado por los requerimientos legales• Cada paso está delimitado por los requerimientos legales (“forensic mindset”).

U i ti ió bá i i l l i i t• Una investigación básica incluye lo siguiente: – Recolección de evidencia

• Viva vs. post-mortem (respuesta)p ( p )– Establecimiento de una cadena de custodia– Transporte de la evidencia a un laboratorio forense

A l id i t d i d ll– Asegurar la evidencia en contenedores apropiados para ello

Pasos preliminares del CF

• Una investigación básica (continúa):

– Preparar una estación forense– Obtener la evidencia del contenedor seguro– Efectuar copias forenses de la evidencia– Efectuar copias forenses de la evidencia– Llevar la evidencia de nuevo al contenedor seguro– Procesar la evidencia utilizando herramientas especializadas

Pensamiento forense

P i t F D fi i ió d d• Pensamiento Forense – Definición condensada:

– Usar sus habilidades para determinar qué ha ocurridoUsar sus habilidades para determinar qué ha ocurrido,

– Qué es lo más probable que ocurrió en oposición con lo que es más posible

Usted no trabaja para nadie más que la verdad!– Usted no trabaja para nadie más que la verdad!

Pensamiento forense

• ¡Las herramientas no son ni cercanamente más importantes que la persona que las usa!persona que las usa!

• El examen no debe ocurrir sobre una aspiradora.

• Encuentre todo lo que más pueda acerca de los hechos conocidos.

Retos forenses

• Los datos (evidencia) deben ser recolectados, analizados, y manejados de manera que se garantice su integridad. j q g g– Nótese que grandes volúmenes de datos pueden ser

recolectados

• Aspectos Críticos:– Los datos originales no deben ser alteradosLos datos originales no deben ser alterados

• Se trabajará sobre una copia forense en lugar del original• Se verificará la integridad de la evidencia

– El análisis debe ser efectuado de una manera forense!– Documentación, líneas de tiempo, registros, etc… crucial!

Evidencia digital

• Busca probar o descartar un hechoBusca probar o descartar un hecho

• Recolección– Proceso más crítico– Evidencia física (huellas, tejidos, capilares, impresiones…)

Evidencia informática (imágenes de medios no volátiles– Evidencia informática (imágenes de medios no volátiles, descargas de medios volátiles, revisión de datos en impresoras, PDA, teléfonos, etc.)

– Control de los equipos (físicamente)

Volatilidad de la evidencia

• Memoria

• Swap Space – PageFile

• Conexiones de red

• Procesos ejecutándosej

• Medios rígidos

• Medios removibles

Evidencia digital

• Preservación– Ubicación en contenedores destinados para ello– Etiqueta– Medios estériles– Medios estériles– Análisis sobre las copias realizadas

Evidencia digital

• Análisis– Cadena de custodia– Análisis sobre copias estériles– Manejo del acceso a la evidencia– Manejo del acceso a la evidencia– Información de quien tiene la evidencia permanentemente

E-evidence: la huella digital de hoy

Zacarias Moussaoui• Secuestrador de los ataques terroristas del

9/11 t l U S9/11 contra los U.S. • Su portátil, 4 computadoras, y muchas

cuentas de correo ([email protected]) ( @ )fueron revisadas por evidenciahttp://www.cnn.com/2002/LAW/09/04/moussaoui.computer/index.htmloui.computer/index.html

El FBI descubrió que los 19 secuestradores Zacarias Moussaoui passing through a London airport. [BBC]

usaron los computadores de “Kinko's” (FedEx) en varias ciudades para obtener acceso a internet y planear el 9/11.

London airport. [BBC]

Un código de 11 digitos descifró el caso• No fue ni una huella digital, ni evidencia física lo que llevó a las autoridades g q

hasta una mujer sospechosa de haber asesinado a una mujer embarazada y robar su bebé. Fue la siguiente dirección IP: 65.150.168.223

• Horas después del asesinato de Bobbie Jo Stinnett en su casa los• Horas después del asesinato de Bobbie Jo Stinnett en su casa, los investigadores analizaron su computador para encontrar a su asesina.

• La policía llegó hasta Lisa Montgomery investigando registros deLa policía llegó hasta Lisa Montgomery investigando registros de computadoras, examinando mensajes en foros de internet y rastreando la dirección IP hasta su casa.

L di ió IP í i ll ó l FBI h t• La dirección IP por sí misma llevó al FBI hasta su casa.

• Analizando la evidencia digital en el computador de la víctima, las autoridades resolvieron el caso en cuestión de horas y rescataron al bebéautoridades resolvieron el caso en cuestión de horas y rescataron al bebé prematuro.

http://www.cnn.com/2004/US/12/18/fetus.found.alive/http://www.eventhelix.com/RealtimeMantra/Networking/ip_routing.htm

5 reglas de la evidencia

• AdmisibleDebe ser posible usarla en una Corte o en cualquier lugar

• AuténticaEstá relacionada con el incidente de una manera relevante

• CompletaDebe probar o descartar un hecho o un sospechoso

• ConfiableNo se pueda cuestionar su veracidad y autenticidad

• CreíbleClara, fácil de entender y creíble por un jurado

La evidencia digital…

Admisible• Tradicionalmente en el Código Civil• En juicios adversarios o inquisidores• Documentos de “prueba”, copias• US: 4th amendment rights / Federal Rules of Evidenceg• UK: PACE, 1984; “business records” (s 24 CJA, 1988) etc etc• ¿En Colombia?


Auténtica• ¿Podemos enlazar específicamente eventos o datos hacia las

?personas?– Control de acceso– Registros de auditoríaRegistros de auditoría– Evidencia colateral– Autenticación basada en cifrado


C l tCompleta• Contar en sus propios términos toda la historia de una circunstancia

particularp

Debe convencer al jurado• Tener valor probatorio• Ser objetiva, prueba práctica de presentación


Confiable / Creíble• Confianza en el proceso de cómputo no en el dato obtenido• ¿Es posible explicar cómo un dato se vuelve evidencia?

– ¿Qué hace el sistema de cómputo?– ¿ Cuáles son sus entradas?¿ Cuáles son sus entradas?– ¿ Cuáles son sus procesos internos?– ¿ Cuáles son los controles?


...es diferente de otra evidencia: • Puede cambiar de un momento a otro en un sistema o en una línea

de transmisión• Puede ser fácilmente alterada sin rastroPuede ser fácilmente alterada sin rastro• Puede cambiar durante su recolección


...es diferente de otra evidencia:• Mucha de la evidencia informática no puede ser leída por humanosMucha de la evidencia informática no puede ser leída por humanos

– Muchas pruebas son impresiones derivadas de material electrónico

• Los sistemas crean evidencia y la graban• Está ligada a los cambios tecnológicos


...crea muchas oportunidades así como posee amenazas:...crea muchas oportunidades así como posee amenazas:• Muchas más transacciones comerciales son grabadas• Es muy fácil trazar actividades personales• Permite la asistencia de métodos de cómputo para el análisis...

Algunas formas de ocultar datos

• CriptografíaCriptografía• Esteganografía

– El proceso de ocultar datos dentro de otros datos (ejm. Archivos de imagen).

– Difiere de la criptografía en cuanto a que la existencia del mensaje es permitidamensaje es permitida

• Cambiar nombres de archivos y extensiones– ejm. Renombrar un .doc como .dll

Lugares en el disco para ocultar datos

• Existen numerosos lugares en un disco duro donde se pueden lt d tocultar datos

• Espacio gastado de la partición– Es el resto de los bloques no usados donde el sector deEs el resto de los bloques no usados donde el sector de

arranque se almacena – usualmente decenas o centenas de sectores.

E i lt l di• Espacio oculto en el disco– Espacio no particionado entre particiones– No referenciado por la FATNo referenciado por la FAT


S t l• Sectores malos– Sectores marcados por el sistema operativo cuando trata de

leerlos infructuosamente – Los sectores marcados pueden ser escritos o leídos con un

editor hexadecimal• Extra tracks

– Extra Tracks: muchos de los discos tienen un número adicional de sectores para prevenir fallas de manufactura.Pueden ser escritos / leídos con un editor hexadecimal– Pueden ser escritos / leídos con un editor hexadecimal.


• Archivos borradosNo realmente borrados solo marcados para borrar– No realmente borrados, solo marcados para borrar.

– En FAT, el primer caracter del nombre de archivo es marcado con 0xE5 (“σ”). Adicionalmente las entradas FAT son borradas.

– Los datos de archivos son borrados permanecen en el disco hasta que nuevos datos sean grabados en la misma ubicación físicafísica

• Esta es una de las razones, cuando se hace un análisis forense, por la que es muy crítico no usar ninguna herramienta que escriba al disco.


• Slack spaceEl final lógico de un archivo debe venir antes que el final físico– El final lógico de un archivo debe venir antes que el final físico del cluster en el que se almacena. El Slack Space es ese espacio entre el final lógico y el físico.

– Los bytes remanentes en el cluster son de archivos anteriores o directorios almacenados en ese cluster.

File Slack

• File Slack Space es el espacio entre

El final lógico del archivo

Sectors physically devoted to the file.

– El final lógico del archivo (ejm. El fin de los datos actualmente en el archivo) y

– El final físico del archivo (ejm. El final del último sector asignado a un archivo).

File data. Slack space. g )

Lugares del disco para encontrar datos

• Logs• Historial de navegación• Archivos temporales• Archivos temporales• Spoolers• Archivos de intercambio

– En un disco duro, un archivo utilizado para almacenar porciones de programas en ejecución que se encuentran fuera de memoria temporalmente para hacer espacio para otros programas.

Lugares del disco para encontrar datos

• Caches• Particiones ocultas• Archivos ocultos• Archivos ocultos• Espacio no asignado

– Espacio no asignado a un archivo. Puede contener fragmentos d hi b dde archivos borrados.

• Espacio libre– Porción del disco que no tiene ninguna partición activa.q g p

Formas de dejar rastros

• Copiando archivos

• Imprimiendo archivos

• Formateando discos

Copiando archivos

• Escenario #1: copiar un archivo entre dos medios.– Si está sin espacio, el puntero al archivo es eliminado, pero el p , p , p

dato copiado a esos sectores permanece.

• Escenario #2: El sistema se cae al copiar un archivo.p– De nuevo, los contenidos copiados a los sectores no asignados

existirán, pero el puntero a los datos no ha sido creado.

Imprimir un archivo

• Cuando se imprime, el archivo es copiado temporalmente al disco antes de enviarlo a la impresora.

• Este proceso implica el copiado a una ubicación temporal, la impresión y el borrado del archivo.

• Después del borrado, solo se elimina el puntero, así que los datos permanecenpermanecen.

Formatear un disco

• Por defecto NO sobreescribe los datos de un disco...

Búsquedas

• Las herramientas forenses no dependen de la extensión para• Las herramientas forenses no dependen de la extensión para determinar el tipo de archivo.

• Muchos tipos de archivo tienen una firma única:JPEG conienza con 0xffd8 y termina con 0xffd9– JPEG conienza con 0xffd8 y termina con 0xffd9

– PDF comienza con “PDF” o “%PDF”– EXE comienza con “MZ” (Hex: 4D 5A)

"MZ" l i i i l d M k Zbik ki d l• "MZ" son las iniciales de Mark Zbikowski, uno de los desarrolladores de MS-DOS.

• Las búsquedas pueden detectar errores de extensión (ejm. Si bad jpg ha sido renombrado a wonderful exe)bad. jpg ha sido renombrado a wonderful.exe)

Cadena de custodia

• Protege la integridad de la evidenciag g• Proceso efectivo de documentación el trabajo completamente

efectuado sobre la evidencia durante la vida del caso• Permite responder los siguientes interrogantes:Permite responder los siguientes interrogantes:

– ¿Quién la recolectó?– ¿ Cuándo y cómo?– ¿Quién tiene su posesión?– ¿ Cómo fue almacenada y protegida durante el

almacenamiento?– ¿Quién la manipuló y por qué?

Cadena de custodia

• Establece cada persona que tiene la custodia de la evidencia• Establece continuidad en la posesión de la evidenciaEstablece continuidad en la posesión de la evidencia• Prueba la integridad en el manejo de la evidencia

– Fecha y hora de la posesión de la evidenciay p– Origen (localización y poseedor)– Marca, modelo, número serial, etc.– Nombre de los investigadores que recolectaron la evidencia– Descripción de la evidencia– Nombre y firma de la persona que recibe la evidencia– Identificador de Caso e Identificador de Evidencia (ítem)

V l H h (P b d i t id d)– Valores Hash (Prueba de integridad)– Datos Técnicos

Organizando la investigación

• Use su propio conocimiento para responder: ¿podría haber pasado de esa manera o no?

• ¡No lo haga más complicado de lo que tiene que ser empiece por lo¡No lo haga más complicado de lo que tiene que ser, empiece por lo obvio!

• Ejemplos:– Revise la existencia de programas que podrían causarle

problemas (PGP, Magic Folders, File Vault, EFS, etc.)

Organizando la investigación

• Información MAC – ¿Qué pasó en el sistema durante el marco deInformación MAC ¿Qué pasó en el sistema durante el marco de tiempo en el que usted está interesado?

• ¿Qué fue “creado”, “modificado” o “accedido”?

Kits forenses de campo

• Herramientas de documentación– Marcadores de cables.

M d i d l bl– Marcadores indelebles.– Etiquetas autoadhesivas.

• Desensablamiento y remoción• Desensablamiento y remociónUna variedad de:– Destornilladores tradicionales– Cintas antiestáticas– Cintas antiestáticas– Pinzas– Destornilladores especializados (de acuerdo con fabricantes)– Cortadoras de cableCortadoras de cable


• Empaquetamiento y Transporte– Bolsas antiestáticas– Cintas– Cintas– Bolsas de evidencia– Cinta de evidencia

Materiales y empaquetamiento anitiestático– Materiales y empaquetamiento anitiestático– Cinta de embalar– Cajas de distintos tamaños


• Adicionalmente:– Guantes de látex****– Cintas elásticas– Lista de contactos telefónicos de asistencia.– LupaLupa– Papel de impresora– Discos y medios magnéticos– Linterna– Medios removibles no usados (CD, DVD, etc.)– Discos duros sanitizadosDiscos duros sanitizados

Respuesta a incidentes de seguridad de la informaciónRespuesta a incidentes de seguridad de la información

Incidentes

• Incidente: cualquier evento adverso, relevante para la seguridad que puede amenazar la seguridad de un sistema de cómputo o una redred.

• Un evento debe tener características observables:– La conexión de un sistema a través de una red,– El acceso a archivosEl acceso a archivos,– El apagado de un sistema, etc.

• Eventos adversos:– Caída de un sistema,Caída de un sistema,– Lluvia de paquetes en una red,– Uso no autorizado de una cuenta de acceso,– Modificación de un sitio web,,– Ejecución de código malicioso,– Inundaciones, incendios, fallas de energía, etc.

Tipos de incidentes

• La mayoría de incidentes afecta:– Confidencialidad,– Integridad o– Integridad, o– Disponibilidad.

• Diferentes Tipos de Incidentes:– Reconocimiento,– Repudio,– Acoso,Acoso,– Extorsión,– Tráfico de pornografía,

C i i d– Crimen organizado,– Subversión,– Hoaxes, etc.,

Respuesta a incidentes

La Respuesta a incidentes es un nuevo campo con objetivos• La Respuesta a incidentes es un nuevo campo con objetivos similares a los de IT.

• Alcance: negar o minimizar el impacto de un incidenteAlcance: negar o minimizar el impacto de un incidente, reaccionando al tomar ciertas acciones.

• Puede ser usada para restaurar la confidencialidad, integridad o di ibilid ddisponibilidad.

• Una parte particularmente importante del lado legal de la respuesta a incidentes es el área forensea incidentes es el área forense.

Flujo de un incidente

DetecciónDetección

RespuestaContramedida

Enfoque metodológico

• ¿Por qué una metodología?

– Estructura y organización: controlar, organizar y mantenerEficiencia: ¿Cuánto dura una respuesta a un incidente? ¿Cuánto– Eficiencia: ¿Cuánto dura una respuesta a un incidente? ¿Cuánto cuesta?

– Facilidad del proceso de atención del incidente: organización y control en la respuesta a un incidente

– Manejo de lo inesperado: se aprende de cada incidenteConsideraciones legales: analizar el impacto de una respuesta– Consideraciones legales: analizar el impacto de una respuesta incompetente

PDCERF

Preparación

Detección

Contención

Computación Forense

Contención

Erradicación Recuperación Seguimiento(Follow-Up)


• Modelo Foundstone (preparación, detección, respuesta, formulación de estrategia, investigación, reporte, seguimiento)

• Modelo NIST 800-61 (preparación, detección y análisis, contención –erradicación – recuperación, post-incidente)

• RFC2350 – estructura CSIRTs

Enfoque metodológicoA i d R I idArquitectura de Respuesta a Incidentes

POLÍTICAO C

Métricas y EstándaresProcedimientosTecnología

Comunicaciones

Tecnología

ComunicacionesDetección de IntrusosAnálisis de ImpactoRelaciones con AgenciasValidación de Información

Enfoque metodológicoPreparación• Preparación– Generar un conjunto de defensas o controles para mitigar un

riesgo o una amenaza potencial

– Crear conjuntos de procedimientos para manejar los incidentes de la manera más eficiente posible (pasos que se deben seguir, p (p q g ,quién debe ser contactado, clasificación especial de la información, prioridades, roles y responsabilidades, límites de riesgo aceptable)

– Obtener recursos y personal necesario para afrontar los problemasproblemas

– Establecer una infraestructura para soportar las actividades relacionadas con la respuesta a incidentesrelacionadas con la respuesta a incidentes


Detección• Detección– Utilización de software especializado para detectar posibles

anomalías (ataques sobre la red, comportamiento inusual de i h i t ñ i t t dusuarios, accesos en horarios extraños, intentos de acceso no

exitosos, inconsistencias en los registros de acceso, fallos de rendimiento de la máquina, intentos de ingeniería social, etc.)

– Acciones y reacciones iniciales – analizar todas las anomalías, habilitar o endurecer la auditoría, realizar respaldos de todos los sistemas comprometidos durante el incidente y documentar TODO.

– Estimación del alcance del incidente

Proceso de reporte del incidente– Proceso de reporte del incidente


• Estrategias de contención– Apagado del sistema (drástico pero en muchos casos importante

para prevenir pérdida o corrupción de datos, así como el mantenimiento de evidencia de medios no-volátiles

– Desconexión de la redDesconexión de la red– Modificación dinámica de reglas en los firewalls o elementos de

protección– Bloqueo de cuentas de usuario posiblemente comprometidas– Incremento del nivel de monitoreo en la red o de la auditoría de

los sistemaslos sistemas– Colocación de trampas (honeypots, por ejemplo)– Bloqueo de servicios potencialmente comprometidos


• Estrategias de erradicación– Identificar procedimientos específicos para cada sistema

operativo comprometido

– Identificar usuarios o servicios potencialmente comprometidos y– Identificar usuarios o servicios potencialmente comprometidos y eliminarlos

– Recuperar backups de fecha y fuente confiables con control de integridad

– Reinstalar desde medios de fuente confiable con control de integridad


• Estrategias de recuperación– Asegurar la no existencia del elemento o agente que causó elAsegurar la no existencia del elemento o agente que causó el

incidente inicial (si ha sido identificado)

– Realizar la recuperación de datos / programas / configuraciones específicas de los sistemas comprometidos

– Actualización, instalación de parches, revisión de seguridad de los sistemas comprometidos y réplica en los sistemas similares

– Habilitar auditoría en un nivel más alto de lo normal

Enfoque metodológico• Seguimiento (Follow – Up)• Seguimiento (Follow – Up)

– Comprobar que todo vuelve a la normalidad y se mantiene estable de esa manera

– Obtener realimentación permanente acerca de los sistemas comprometidos y recuperados

– Obtener información importante en caso de procesos legales o administrativos internos

– Obtener métricas nuevas que permitan mejorar día a día la respuesta a incidentes y la orientación de sus esfuerzosrespuesta a incidentes y la orientación de sus esfuerzos

– Aprender las lecciones (técnicas, administrativas, de di i t t )procedimiento, etc.)

Grupos de respuesta a incidentes de seguridad de la información (CSIRT)información (CSIRT)

CSIRT

Computer Security Incident Response Team• Computer Security Incident Response Team• No solo reacción• Planteamiento metodológico• Misión operativa, científica y social• Nacido desde hace más de diez años, principalmente en

instituciones educativasinstituciones educativas• Monitoreo y generación de alertas tempranas• Recibir, revisar y responder a informes y actividad sobre incidentes

(ArCERT)(ArCERT)

CSIRT

• CubrimientoO i i l– Organizacional

– Regional– NacionalNacional– Transnacional

• Enfoque metodológico similar• Nos centraremos en el Gobierno• Responder a un incidente NO es suficiente

CSIRT constituido COORDINA• CSIRT constituido COORDINA• CSIRT constituido SUPERVISA

Modelo operativo

Público en General

Consumidores Consumidores Corporativos

Apoyo Científico

CSIRTCSIRT

CIRT L

Modelo operativo

CSIRT de Gobierno Nacional

CSIRTsLocales

Fomento,Certificación

Coordinación

Apoyo a E tid d d

Misión Social(Público en

general)

Coordinación

Personas, Empresas Entidades de

Policía JudicialY Entes de Control

Estatales

general)

Apoyo a OficinasDe

GobiernoRespuesta a

Empresas

Concientización, Alertas

Apoyo Científico en

Sector

Respuesta a Incidentes

Apoyo Científico enEvidencia Informática

Gobierno Entes de Control,Policía Judicial

Modelo de madurez

S i i E i li d

Apoyo científico a Entes de Policía Judicial

Respuesta a Incidentes

Servicios Especializados

P H

V A

Lineamientos Operativos

Generación de Alertas

P

Procesos Definidos

Base Informática

Educación Constante

Red Interamericana

• Expuesta en otras Iniciativas• El delito informático es transnacional• Prevención del terrorismo y del delito informático, o su concierto• Acuerdos de cooperación• Identificar amenazas globalesIdentificar amenazas globales• Actividades que impliquen jurisdicciones transnacionales• Fomentar la creación de un Marco Legal

CSIRTs en Latinoamerica

• Argentina– ArCERT http://www.arcert.gov.ar

• Brasil– CAIS-RNP (Rede Nacional de Ensino e Pesquisa – Centro de

atendimento a Incidentes de Segurança) http://www.rnp.br/cais/– CERT Brasil http://www.cert.brp

• Chile– CLCERT, http://www.clcert.cl

• PerúPerú– TESIRT (Grupo de Respuesta a Incidentes Privado para clientes

de Telmex en Perú) http://www.telmex.com/pe/tesirt/• MéxicoMéxico

– UNAM-CERT (Grupo de Respuesta a Incidentes de la Universidad Autónoma Regional de México) http://www.unam-cert.unam.mx

Formar y administrar un CSIRTP é f CSIRT?• ¿Por qué formar un CSIRT?

– Habilidad de coordinar

– Experticia

– Eficiencia

– Habilidad de trabajar de manera proactivaj p

– Habilidad de apegarse a los requerimientos corporativos

– Facilidad para establecer contacto con agencias gubernamentales

Manejo de las barreras corporativas– Manejo de las barreras corporativas

Formar y administrar un CSIRT

• Aspectos que se deben tener en cuenta

– Políticas, normas, procedimientos y estándares

– Intención de las directivas

– ¿Cuando un CSIRT es realmente necesario?– ¿Cuando un CSIRT es realmente necesario?• Organizaciones pequeñas típicamente NO lo necesitan• Disponibilidad de los recursos• Administración proactiva de seguridad• Segregación de funciones (en algunas compañías)

Formar y administrar un CSIRT• Requerimientos funcionales y roles• Requerimientos funcionales y roles

– El Grupo debe poder asumir el control total de los recursos en caso de un incidente (altos niveles de autoridad)

– Debe poder actuar en conjunto con usuarios operativos o funcionales– Asumir un rol de consultor, en la notificación proactiva de posibles , p p

riesgos y amenazas– Cooperar con agencias– Servir como central de seguridad al mantener todos los recursos deServir como central de seguridad, al mantener todos los recursos de

software y hardware necesarios para la operación de seguridad (clearinghouse)Aportar y apoyar proactivamente los planes de continuidad y de– Aportar y apoyar proactivamente los planes de continuidad y de recuperación de desastres

– Planear y analizar la respuesta a incidentesC it i ti– Capacitar y concientizar


• El área de operación (Constituency)

– Determina exactamente cuál es el alcance de operación del CSIRT de acuerdo con variables geográficas, técnicas, de autoridad, de usuarios o clientes internos entre otras.

– Utiliza mecanismos de comunicación para el reporte de– Utiliza mecanismos de comunicación para el reporte de incidentes: teléfono, e-mail, fax, boletines de noticias, sitio web

– Planea estrategias de comunicación: conferencias, cursos, talleres, entrevistas con los medios, videos, etc.

Formar y administrar un CSIRT• Competencias de los miembros del grupo

– Competencia gerencial, de manera que se establezcan líderes del grupo con capacidad de dirección como cabezas responsables de diferentescon capacidad de dirección como cabezas responsables de diferentes investigaciones

– Competencia técnica sectorizada de acuerdo con las necesidades yCompetencia técnica, sectorizada de acuerdo con las necesidades y los alcances definidos en el área de operación (Constituency)

– Competencias humanas, de manera que sea posible que los miembros d l d t bl l i fá il t idel grupo puedan establecer relaciones fácilmente con sus usuarios

– Trabajo en equipo, indiscutible.

– Facilidades de comunicación, no pecar de ser demasiado técnico y fomentar la comunicación clara, directa y concisa con los usuarios del CSIRT.

Formar y administrar un CSIRT• Ciclo de vida del CSIRTCiclo de vida del CSIRT

– Inicio – El CSIRT se está formando, se encuentra propuesto o aprobado , p p ppresupuestalmente y se comienzan a detallar algunos aspectos operativos del mismo

Crítico El CSIRT ha sido formado cuenta ya con infraestructura de– Crítico – El CSIRT ha sido formado, cuenta ya con infraestructura de operación y los procedimientos críticos han sido documentados y aprobados

– Establecido – el CSIRT obtiene estabilidad, credibilidad, presencia y comienza a responder adecuada y efectivamente a incidentes que se presentan

– Post-establecido – el CSIRT obtiene madurez y comienza a expandir sus operaciones para incluir aquellas no contempladas en las fases anteriores, creciendo la proactividad y añadiendo componentes de yanálisis e investigación


• Barreras al progreso

– Presupuesto – No se ha vendido adecuadamente la idea de la– Presupuesto – No se ha vendido adecuadamente la idea de la necesidad de un CSIRT y se ve como un gasto y no como una inversión

R i t i d l di ti El ROI d l CSIRT l– Resistencia de los directivos – El ROI del CSIRT es algo que se evidencia solo frente a un incidente, y esto es algo que se debe apoyar con concienciación

– Resistencia organizacional – Dada la naturaleza de un CSIRT es probable que se deban reevaluar algunos aspectos de política interna que generen resistencia

– Falta de concienciación de usuarios

HTCIA Capítulo Colombia

• Intercambio de información mundial

• Identificación de nuevas tendencias en fraude informático

• Acceso de primera mano a capacitación especializada• Acceso de primera mano a capacitación especializada

• Intercambio de experiencias internacionales

CSIRT Policía Nacional

• Generación de alertas tempranas

• Apoyo científico a los Entes de Refuerzo de la Ley

• Respuesta a incidentes de seguridad informáticaRespuesta a incidentes de seguridad informática

• Generación de cultura de seguridad en la información

MUCHAS GRACIAS

POR SU ASISTENCIAPOR SU ASISTENCIA

Material elaborado por:Material elaborado por:

Juan Carlos Reyes – [email protected]

Para el Programa Gobierno en línea del Ministerio de Comunicaciones

Ciclo de SeminariosC P á 2008 id úbliCursos Prepárese 2008 para servidores públicos

CSIRT-v-1-0-4 [Sólo lectura] [Modo de...

Documents

Transcript of CSIRT-v-1-0-4 [Sólo lectura] [Modo de...