Download Cómputo forense: Protección contra hackers.

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
Document related concepts
no text concepts found
Transcript 
Seguridad y Cómputo forense
Manuel Aguilar Cornejo
Area de Computación y Sistemas
Universidad Autónoma Metropolitana Iztapalapa
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo Forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
2
Introducción
z Objetivo:
dar un panorama sobre la
importancia de la información, los cuidados
necesarios, y algunos ejemplos de técnicas y
herramientas para su protección, así como
un panorama general de lo que es el
cómputo forense.
10/09/2007
Manuel Aguilar Cornejo
3
Introducción
z Importancia
– Tecnología => Valor de la información
– Conectividad => Riesgos
– Evidencias => Registros, bitácoras -
Nuevas técnicas
10/09/2007
Manuel Aguilar Cornejo
4
Introducción
Tenemos diferentes tipos de amenazas a la seguridad
de la información debido a:
– Fallas humanas
– Ataques malintencionados
– Catastrofes naturales
Para todos los casos una solución factible sería
respaldar la información en algún lugar diferente y
seguro.
10/09/2007
Manuel Aguilar Cornejo
5
Introducción
z
Debemos de garantizar no solamente la seguridad
de la información sino su confidencialidad y mal
uso.
z
Para ello debemos de evitar los accesos no
autorizados al sistema, así como los ataques al
mismo.
10/09/2007
Manuel Aguilar Cornejo
6
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
7
Tipos de ataques
z sniffing:
Consiste en observar todos los
paquetes que pasan por la red
z Ataques de contraseña:
– Usando diccionario
– Por fuerza bruta
z DS:
Denegacion de servicio. consiste en
mandar mas informacion de la que pueda
ser atendida.
10/09/2007
Manuel Aguilar Cornejo
8
Tipos de ataques
z Ingeniería
social: consiste en obtener
información del sistema mediante engaños.
z Phising: fraude electrónico, ejemplo mails
de banamex.
z Escaneo de puertos: busqueda de algún
puerto para accesar los servicios del
sistema.
10/09/2007
Manuel Aguilar Cornejo
9
Tipos de ataques
z Código
malicioso (virus)
– Bombas lógicas: código que se activa bajo la ocurrencia
–
–
–
–
de un evento
Troyanos: programa que simula ejecutar una función
mientras que ejecuta otra.
Cookies: archivos de texto con información acerca de la
navegación efectuada por el usuario en internet e
información confidencial del usuario
Keyloggers: programas que registran todas las teclas
pulsadas
Spyware: aplicaciones que recogen y envian información
sobre el usuario de internet.
10/09/2007
Manuel Aguilar Cornejo
10
Tipos de ataques
z Puertas
traseras: consiste en buscar huecos
de seguridad en los sistemas operativos
z Trashing: consiste en buscar información
importante en la “basura”
10/09/2007
Manuel Aguilar Cornejo
11
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– SDI, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
12
Prevención de ataques
Los métodos para reducir los riesgos debido a virus
pueden ser activos o pasivos:
z
Activos:
– Antivirus
z
Pasivos:
– Copias de seguridad
– Estudiar mas sobre el software de nuestra computadora
– Desconfiar
10/09/2007
Manuel Aguilar Cornejo
13
Prevención de ataques
Antiespías gratuitos:
z
z
z
Spybot – Search & Destroy
Ad-Aware
SpywareBlaster
Se recomienda no usar un solo programa antiespía
sino una combinación de varios
10/09/2007
Manuel Aguilar Cornejo
14
Prevención de ataques
z
Por otro lado, también existen muchos
programas que se presentan como "antiespías"
y en realidad no lo son.
z
Algunos de ellos hacen lo contrario de lo que
predican, instalan espías (ejemplos conocidos
y comprobados, ver
http://www.vsantivirus.com/listanospyware.htm)
10/09/2007
Manuel Aguilar Cornejo
15
Prevención de ataques
z Otro
sistema de prevención de ataques
efectivo son los firewalls (cortafuegos), que
protege de accesos no autorizados hacia la
red interna (pero no protege contra ataques
desde dentro de la red).
10/09/2007
Manuel Aguilar Cornejo
16
Internet
Firewall
10/09/2007
Manuel Aguilar Cornejo
17
Prevención de ataques
z Sistemas
de Detección de Intrusos (SDI)
z Una
intrusión es definida como un conjunto
de acciones que intentan comprometer
(poner en peligro) la integridad, la
confidencialidad o la disponibilidad de un
sistema informático.
10/09/2007
Manuel Aguilar Cornejo
18
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
19
SDI
Normalmente los intrusos (crakers) expertos siguen
tres pasos para llevar un ataque:
– Preparan el ataque (ej. Busqueda de puertos)
– Lanzan el ataque
– Borra todo rastro de su acceso
Nuestro objetivo es detectar y eliminar la intrusión lo
antes posible para limitar el daño
10/09/2007
Manuel Aguilar Cornejo
20
SDI
Existen dos tipos de sistemas de detección de
intrusos:
z Los
basados en host, SDIh
z Los basados en red, SDIr
z Actualmente se proponen una combinación
de ambos, SDIh&r
10/09/2007
Manuel Aguilar Cornejo
21
SDIh
z Su
fuente de información son las bitácoras
del sistema prestando especial énfasis a los
registros relativos a los demonios de red,
como un servidor web o el propio demonio
inetd.
z Problema:
pocos administradores revisan
esas bitácoras.
10/09/2007
Manuel Aguilar Cornejo
22
Esquema de un SDIh
Registro de
actividades
en bitácoras
Análisis de
datos
Respuestas
Encargado de
seguridad
10/09/2007
Manuel Aguilar Cornejo
23
SDIh
Entre las bitácoras del sistema, tenemos los
archivos:
– secure: registra los accesos logrados y fallidos.
– maillog: supervisa el servicio de e-mail
– message: almacena mensajes de baja y media prioridad.
Contiene información sobre el arranque del sistema, así
como de las sesiones abiertas
– acces_log: almacena los accesos a la pag. del servidor
– error_log: presenta informes de todos los errores que
provienen del servidor web.
– Etc.
10/09/2007
Manuel Aguilar Cornejo
24
SDIh
Ejemplo:
Oct 31 00:42:19 alpha sshd[12433]: Failed password for root
from 67.33.168.95 port 54455 ssh2
Indica que un usuario con IP 67.33.168.95 intentó
conectarse como root por el puerto 54455 en la
fecha señalada, pero con contraseña incorrecta
10/09/2007
Manuel Aguilar Cornejo
25
Ejemplos de SDIh
z OSSEC
(http://ossec.net) de dominio
público, actúa en tiempo real, puede
responder de manera activa a los ataques y
es compatible con Linux, MacOS, Solaris y
Windows.
z Tripware,
SDI comercial realiza análisis
periódico con respuestas pasivas.
10/09/2007
Manuel Aguilar Cornejo
26
SDIr
z
Son capaces de detectar ataques contra una red
local.
z
Detectan las anomalías en la red cuando el ataque
está en curso.
z
La prioridad de estos sistemas es detectar el ataque
lo antes posible para que cause el menor daño
posible.
10/09/2007
Manuel Aguilar Cornejo
27
Organización de un SDIr
RED
Analisis de
datos
Respuestas
Sensor de red
Almacenamiento
de la información
de paquetes
Encargado de
seguridad
Paquete de red
10/09/2007
Manuel Aguilar Cornejo
28
SDIr
z
Snort (http://www.snort.org) es un sniffer de
paquetes (de dominio público).
z
Es un detector de intrusos basados en anomalias
del funcionamiento de la red
z
Utiliza un lenguaje basado en reglas (definidas por
el administrador, creadas autómaticamente por el
sistema, o una combinacion de ambas) para
detectar intrusos.
10/09/2007
Manuel Aguilar Cornejo
29
SDIr
z La
caracteristica más apreciada de Snort es
su subsistema flexible de firmas de ataques
que está actualizandose constantemente a
través de internet.
z Los
usuarios de Snort pueden enviar sus
firmas de ataques para beneficiar a toda la
comunidad.
10/09/2007
Manuel Aguilar Cornejo
30
SDIh&r
z Los
SDIh y los SDIr se pueden
complementar e implementar
simultánemente para obtener un alto nivel
de seguridad.
z Un
SDIh&r está constituido por sensores en
cada huésped y un sensor en cada segmento
de red.
10/09/2007
Manuel Aguilar Cornejo
31
SDIh&r
Sus principales componentes son:
– Agentes huesped
– Agentes de red
– Transeptores (comunicación)
– Consola de eventos (interfaz con el operador)
10/09/2007
Manuel Aguilar Cornejo
32
SDIh&r
AR
AH
AH
AH
AH
AR
AH
AH
Internet
10/09/2007
Manuel Aguilar Cornejo
Firewall
33
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo Forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
34
Ejemplos de herramientas de
SDI
SDI
Sensor
Ejecución
Respuesta
Arquitectura
Distribucion
Tripware
Huésped
Periódico
Pasivas
Centralizado
Comercial
OSSEC
Huésped
T. Real
Activas
Distribuido
Libre
RealSecure
Red
T. Real
Activas
Distribuido
Comercial
Snort
Red
T. Real
Activas
Centralizado
Libre
Prelude
Híbrido
T. Real
Activas
Distribuido
Libre
DIDS
Híbrido
T. Real
Activas
Centralizado
No disp.
10/09/2007
Manuel Aguilar Cornejo
35
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo Forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
36
Cómputo Forense
z
Evidencia digital:
– Es un tipo de evidencia física. Esta construida de
campos magnéticos y pulsos electrónicos que pueden
ser recolectados y analizados con herramientas y
técnicas especiales.(Casey 2000, pág.4)
z
Computación forense
– Es la aplicación legal de métodos, protocolos y técnicas
para obtener, analizar y preservar evidencia digital
relevante a una situación en investigación. (Kovacich
2000, pag.243)
10/09/2007
Manuel Aguilar Cornejo
37
Cómputo Forense
z
Provee principios y técnicas que facilitan la
investigación de ofensas catalogadas como criminales.
– Implica la aplicación de la ciencia al campo legal
– Cualquier principio científico o técnica puede ser aplicada
para:
z
z
z
z
Identificar,
Recuperar,
Reconstruir y
Analizar evidencia durante un investigación de un delito.
– Aplicando métodos científicos los especialistas forenses
pueden analizar la evidencia para:
z
10/09/2007
Crear hipótesis, efectuar pruebas para verificar dichas hipótesis,
generando posibilidades claras sobre lo que ocurrió.
Manuel Aguilar Cornejo
38
Atención a un incidente y
análisis forense
z Atención
a un incidente:
– Prevención
– Identificación
– Contención
– Erradicación
– Recuperación
– Seguimiento
10/09/2007
Manuel Aguilar Cornejo
39
Atención a un incidente y
análisis forense
z Atención
a un incidente:
– Prevención
– Identificación
– Contención
– Erradicación
– Recuperación
– Seguimiento
10/09/2007
Instalación de herramientas adecuadas
Auditorias, parches, cultura seguridad, etc.
Incidentes externos: web, phishing, DDS,
etc.
Incidentes internos
Manuel Aguilar Cornejo
40
Atención a un incidente y
análisis forense
z Atención
a un incidente:
– Prevención
•Verificar que no sea falsa alarma
– Identificación
•Buena documentación
– Contención
•Iniciar una cadena de custodia
– Erradicación
•No hay receta: hay que utilizar
bitacoras, firewall, IDS, etc. y
correlacionar la información
– Recuperación
– Seguimiento
10/09/2007
•Cualquier comando modifica la
evidencia, el no hacer nada
también la modifica.
Manuel Aguilar Cornejo
41
Atención a un incidente y
análisis forense
z Atención
a un incidente:
– Prevención
Evitar daños colaterales
– Identificación
•Limitar el control de acceso
– Contención
•Cambiar contraseñas
– Erradicación
•Deshabilitar cuentas, etc.
– Recuperación
– Seguimiento
Analizar riesgos de cada acción
•Intruso observando
•Evidencia volatil
10/09/2007
Manuel Aguilar Cornejo
42
Atención a un incidente y
análisis forense
z Atención
Evitar al máximo la contaminación de
a un incidente:
– Prevención
la evidencia
Apagar el sistema?
– Identificación
Desconectar el sistema de la red?
– Contención
Acciones a evitar:
– Erradicación
•Escribir en medios originales,
– Recuperación
•Matar algún proceso
– Seguimiento
•Modificar el sistema antes de
obtener evidencia (apagar,
actualizar, etc.)
10/09/2007
Manuel Aguilar Cornejo
43
Atención a un incidente y
análisis forense
z Atención
a un incidente:
– Prevención
– Identificación
– Contención
– Erradicación
Eliminacion de los factores
que llevaron al incidente:
vulnerabilidades del sistema,
configuraciones no seguras,
control de acceso, etc.
– Recuperación
– Seguimiento
10/09/2007
Manuel Aguilar Cornejo
44
Atención a un incidente y
análisis forense
z Atención
a un incidente:
Los sistemas se restauran, se
– Prevención
– Identificación
configuran para su operación
adecuada y comienzan a
utilizarse
– Contención
– Erradicación
– Recuperación
– Seguimiento
10/09/2007
Manuel Aguilar Cornejo
45
Atención a un incidente y
análisis forense
z Atención
a un incidente: Recomendaciones para
– Prevención
– Identificación
evitar incidentos en lo
sucesivo (en la medida de
lo posible)
– Contención
– Erradicación
– Recuperación
– Seguimiento
10/09/2007
Manuel Aguilar Cornejo
46
Herramientas
Deben de cubrir los siguientes aspectos:
– Información sobre procesos
– Información sobre cuentas de usuarios
– Información para la revisión de bitácoras e historiales
– Busqueda de malware
– Información sobre los datos alojados en memoria
volátil
– Busqueda de archivos
– Creación de imágenes
10/09/2007
Manuel Aguilar Cornejo
47
Herramientas
Las herramientas para el análisis forense se enfocan a
las fases de preservación y búsqueda, ejemplos de
ellas son:
‰ Encase producido por Guidance Software.
‰ Forensic Toolkit producido por Acces Data Corp
(FTK™) FTK, tiene indexado total en texto, busquedas
avanzadas, recuperación de archivos eliminados,
búsqueda detallada de datos, análisis de e-mail, etc.
disponible en:
http://www.accessdata.com/common/pagedetail.aspx?Pa
geCode=downloads
(incluye manuales)
10/09/2007
Manuel Aguilar Cornejo
48
Herramientas
‰ ProDiscovery facilita la localización de datos sobre una
computadora mientras protege la evidencia. Se puede
descargar un demo y manuales de:
http://www.techpathways.com/ProDiscoverDFT.htm
‰ SMART creada por ASData, versión de evaluación
http://www.asrdata2.com/
‰ The Coroner’s Toolkit (TCT): es una colección de
programas escritos por Dan Farmer and Wietse Venema
para analisis post-mortem de sistemas UNIX.
http://www.porcupine.org/forensics/tct.html
Ejemplos de sus uso se encuentran en su libro
10/09/2007
Manuel Aguilar Cornejo
49
Herramientas
‰ The Sleuth Kit/Autopsy Browser son herramientas open
source (disponibles de manera gratuita) de
investigación digital que corren sobre sistemas unix (tal
como: Linux, OS X, FreeBSD, OpenBSD, and Solaris).
Pueden analizar los sistemas de archivos NTFS, FAT,
Ext2, Ext3, UFS1 y UFS2 y varios tipos de volumenes
de sistemas, disponible en:
http://www.sleuthkit.org/sleuthkit/download.php
http://www.sleuthkit.org/autopsy/download.php
10/09/2007
Manuel Aguilar Cornejo
50
Documentación
z
z
z
z
Internet
Libros
Entre las revistas especializadas se encuentran
International Journal of Digital Evidence, que acaba de
liberar su edición Winter 2004; y Digital Investigation,
que ofrece de forma gratuita su primer número.
Dentro de las distribuciones linux específicas para
informática forense destacan F.I.R.E. Linux (Forensic
and Incident Response Environment) y Honeynet CDROM.
10/09/2007
Manuel Aguilar Cornejo
51
Indice
z
z
z
Introducción
Tipos de ataques a los equipos de cómputo
Prevención de ataques:
– instalación de antivirus,
– firewalls,
– medidas preventivas, etc.
z
z
z
z
Sistemas de detección de intrusos
Herramientas para la detección de intrusos
Cómputo Forense
Conclusiones
10/09/2007
Manuel Aguilar Cornejo
52
Conclusiones
z Es
más que indispensable la prevención
z Es necesario el conocimiento de qué nos
vamos a prevenir
z Es necesario el conocimiento de
herramientas para la prevención de ataques:
antivirus, anti-spyware, firewalls, etc.
z Se hace necesaria la instalación de
herramientas como los SDI
10/09/2007
Manuel Aguilar Cornejo
53
Conclusiones
z Faltan
profesionistas con conocimiento
especializado en el área.
z Existen organismos internacionales que
certifican los conocimientos en esta área de
dominio.
z Es necesario conocer herramientas
existentes para el cómputo forense.
10/09/2007
Manuel Aguilar Cornejo
54
Muchas gracias !!!
10/09/2007
Manuel Aguilar Cornejo
55
Related documents
2.4. Tipos de Sistemas de detección de intrusos
2.4. Tipos de Sistemas de detección de intrusos
Analisis forense en Sistemas Informaticos.
Analisis forense en Sistemas Informaticos.
sensor híbrido dds
sensor híbrido dds
Análisis Forense con Autopsy 2
Análisis Forense con Autopsy 2
Control de virus informáticos
Control de virus informáticos
HONEY POT
HONEY POT
Diapositiva 1
Diapositiva 1
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
informática forense
informática forense
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
ListadoMinistros - Ministerio de Relaciones Exteriores
ListadoMinistros - Ministerio de Relaciones Exteriores
Contenidos Ataques y software malicioso
Contenidos Ataques y software malicioso