Download La necesidad de la Informática Forense SAFE Consulting Group

SAFE Consulting Group Publicaciones presenta:
Canaudit Perspective
L
dee llaa
dd
daad
neecceessiid
Laa n
IIn
nssee
orreen
Fo
mááttiiccaa F
orrm
nffo
LA NECESIDAD DE INFORMATICA FORENSE
(Traducido al Castellano por: SAFE Consulting Group, www.safecg.com )
Por Paul Castillo
Gerente, Auditorias Técnicas, Canaudit Inc.
De acuerdo al FBI solamente en el año 2000 se realizaron unas diez mil (10.000) denuncias
de Crimen Cibernético (Cyber Crime) De estas denuncias, unas cuatro mil (4.000) fueron lo
suficientemente serias para ser derivadas a la policía y la justicia, y doscientos setenta y tres
(273) organizaciones que fueron comprometidas por estos hechos registraron resultados
financieros negativos por US$ 265 millones de dólares. La pérdida total de un informe similar
tres años antes fue estimada en US$ 120 millones. Esto demuestra que obviamente el
Crimen Cibernético esta en ascenso. Observe que estamos hablando únicamente de ataques
que han sido denunciados. La mayoría de los ataques no solo no se denuncian sino lo
que es peor, no son detectados. Como resultado, los Criminales Cibernéticos dominan
libremente las redes y aplicaciones de negocios que han resultado ser su objetivo.
La mayor parte de las organizaciones tienen excelentes políticas y procedimientos en
relación al uso de computadores. Instalan un firewall para proteger sus activos de intrusiones
desde internet y para registrar (log) violaciones, tienen un Oficial de Seguridad o un Gerente
de Firewall que es responsable de exigir y aplicar la seguridad. Sin embargo el problema que
vemos, es que no saben como determinar cuando un ataque debe ser investigado o
simplemente bloqueado. En la mayoría de los casos, los ataques serios son bloqueados sin
investigarse a posteriori. Los perpetradores pueden entonces esperar que los controles se
relajen y luego intentar nuevamente. Son libres también de atacar otros sitios ya que sus
acciones no se reportan a las autoridades.
Desde el 11 de Septiembre, creemos que debemos incrementar la vigilancia para proteger
los activos corporativos y la infraestructura. Esto significa que todos los eventos de cierta
seriedad deben investigarse, debe obtenerse evidencia y notificar a las autoridades si se ha
cometido un delito. Muchos Oficiales de Seguridad y Administradores de Firewalls no
cuentan con las habilidades que se requieren para determinar si un evento amerita una
investigación o si tienen el conocimiento para realizar la investigación que se requiera. Es el
momento de adquirir estas habilidades e implementar nuevas técnicas.
SAFE Consulting Group
El primer paso en este proceso es aprender como separar los inofensivos escaneos (scans)
que se producen cientos de veces al día, de ataques determinados. No solo deben revisarse
cuidadosamente los logs de los Firewall, sino que también deben analizarse los sistemas
internos en busca de signos de una violación exitosa del firewall o el módem. Si ha signos
presentes, entonces esto amerita una investigación forense. (Una investigación de
Informática Forense, es el análisis de los dispositivos electrónicos tales como computadores,
teléfonos, PDAs, discos, switches, routers, hubs y otros equipos electrónicos). Para asistirlo
en este proceso hemos preparado una compilación de Mejores Prácticas de Informática
Forense. En función de la extensión de este artículo, la lista no comprende información
completa de detalle, pero pretende ser una buena guía de referencia sobre este tema.
Mejores Prácticas de Informática Forense
! Crear un log de los pasos y procedimientos realizados en la organización
# Registrar fecha y hora de todos los pasos y procedimientos en un Registro de eventos o
bitácora (nota: debe usarse un Registro de Eventos por cada incidente principal)
$
$
$
$
$
Contactar al personal
Contactar a la policía y la Justicia
Acceder a los sistemas y dispositivos
Revisar todos los logs
Etc.
# Otros items a incluir en el Registro de Eventos (nota: este registro debe ser prenumerado
a fin de detectar si se ha arrancado una página)
• Quien (persona o grupo) identificó y reporto el incidente
• Incluir la fecha, hora y una descripción del incidente
• Detalles de la evaluación inicial que definió la investigación formal
• Nombres de todas las personas/organizaciones que conducen la investigación
• Numero de personas asignadas al incidente
• Razones de la investigación
• Lista de todos los sistemas, dispositivos, y/o aplicaciones incluidas en la investigación, junto
con sus especificaciones. Si los sistemas/dispositivos tienen identificadores (numeros de
serie, identificador de compania, etc) deben incluirse
• Lista de todas las aplicaciones y procesos que ejecutan en los sistemas indicados
• Copia de todas las políticas relacionadas con el acceso y uso de los sistemas listados
• Lista de los administradores responsables por el mantenimiento de rutina de los sistemas,
dispositivos y aplicaciones
• Lista detallada de los pasos utilizados en obtener y analizar la evidencia
• Incluir la hora en que se realiza cada tarea, una descripción de la tarea, persona/s que la/s
realiza/n y los resultados
www.safecg.com
SAFE Consulting Group
• Una lista de quienes tienen acceso a la evidencia obtenida con fechas y horas
# Sea consciente de en quienes puede confiar
# Desde aquí en adelante, la información obtenida y revisada debe ser utilizada para crear
el perfil del intruso sospechoso
$ ¿Cuál es o fue el objetivo posible?
$ ¿Cuál es el motivo para la intrusión?
$ ¿Dónde están los cómplices?
$ ¿Cuáles fueron las herramientas que utilizaron?
• ¿Fueron silenciosos o ruidosos? (¿dejaron muchas pistas o poca evidencia para
rastrearlos?)
! Identificar al intruso
# Revisar los logs del IDS (Intrusion Detection System - si tiene la habilidad)
$ Revisar los ataques de alto riesgo
$ Identificar violadores primarios internos y externos
$ Observar aspectos y elementos comunes sobre un amplio período de tiempo en relación
a escaneos, pruebas y otras conexiones.
$ Revisar todos los intentos de login
# Revisar los logs del firewall
# Revisar el tráfico entrante
$ Observe todas las direcciones IP que escanean en forma consistente sus sistemas
basados en Internet
$ Observe todas las direcciones que intentan escanear otras direcciones que apuntan a
direcciones de la red interna
$ Revise todos los escaneos dirigidos específicamente al firewall
$ Observe todas las direcciones IP que intentan ataques de Negación de Servicios (Denial
of Service Attacks)
$
# Revise el Tráfico saliente
$ Establezca relaciones cruzadas entre las direcciones de ataques entrantes con
direcciones salientes (este es un indicio de un posible ataque interno)
$ Identifique las direcciones IP con gran cantidad de tráfico hacia ellas desde las
direcciones internas de la compañía o los sistemas basados en Internet.
$ Revise los archivos de tipo files (.avi, .jpg, .zip, .pst, etc.)
$ Revise la cantidad de tiempo que los usuarios estuvieron en línea con el mundo Internet
externo.
• Revise el tipo de servicios que utilizaron para conectarse (ftp, telnet, ssh, rlogin, etc.)
• Revise los intentos fallidos de Log (todos los sistemas operativos posibles, específicamente
aquellos en áreas de alto tráfico y públicas)
• Identifique todos los intentos de Login fallidos, particularmente consistentes o repetitivos
• Revise las cuentas que fueron atacadas por permisos débiles sobre los archivos y los
cambios principales a esas cuentas
www.safecg.com
SAFE Consulting Group
• Revise los archivos del sistema primario (agregado de usuarios, archivos de passwords,
archivos de trust, archivos de servicio, etc) y verifique que no hayan sido alterados desde
el inicio del ataque
# Revise el SU log si es aplicable
$ Primero identifique las cuentas que intentaron ejecutar un su al root o otras cuentas
privilegiadas
$ Valide y revea todos los intentos de usuarios de realizar su
$ Revise la última alteración del log del su
# Revisión del log de la PBX
$ Revisar cualquier discrepancia en la facturación de llamadas realizadas y recibidas
$ Identificar los números de teléfono entrantes que llaman a la compañía en horas sin
operación o llamados frecuentes.
$ Revisar todos los llamados con tiempo excesivo de conexión
$ Revisar todos los modems en su fortaleza y seguridad
! Que hacer cuando ha verificado la intrusión?
#
#
$
$
$
$
$
$
$
$
$
Siga su procedimiento de respuesta a incidentes (PRI)
Si no tiene un PRI proceda de la siguiente forma
Informe al nivel gerencial apropiado
Ponga a todo el staff de Seguridad Informática en alerta
NO informe a toda la organización, solo debe informar a aquellos que sea estrictamente
necesario
Realice un back-up de logs inmediatamente
Prepare para implementar procedimientos de recupero de evidencias
Asegure el área física en la que están ubicados los sistemas y dispositivos que han sido
comprometidos
Intente identificar los medios que han permitido que sus sistemas o dispositivos fuesen
comprometidos
Intente identificar las cuentas que fueron comprometidas por el intruso
Cuando revise los archivos, es importante revisar la imagen exacta y no trabajar sobre el
original. Esto es para asegurar que el original no ha sido alterado, y protegerlo para ser
utilizado como evidencia legal de ser necesario.
! Revise las opciones disponibles (Como debe proceder su organización?)
# Tiene su organización los conocimientos, habilidades y herramientas para realizar una
investigación de Informática forense?
$ Si la respuesta es no, entonces contrate a alguien capacitado
$ Si la respuesta es SI, continúe con la lista de mejores prácticas
# Existen contratos en su organización con socios, clientes o proveedores que requieran
que les transmita la novedad de la intrusión?
$ Si la respuesta es SI, entonces debe decidir que se debe transmitir y como debe hacerse
$ Si la respuesta es NO, entonces pregúntese si seria beneficioso para la organización
exponer o cubrir la intrusión?
# Tiene su organización un seguro contra hackers?
$
Si cuenta con el, cubrirá esta intrusión? Cuando se supone que debe reportarse a la
aseguradora?
www.safecg.com
SAFE Consulting Group
$ Si no tiene seguro, debería considerar contratar una póliza?
# Su organización se encuentra obligada por ley a contactar a la justicia o policía en
relación a una intrusión? (ejemplo: lavado de dinero, Institución de Gobierno
comprometida, dispositivos utilizados para almacenar materiales ilegales, etc)
$ Si es así, que efecto tendrá esta situación en las relaciones con los clientes y/o
contribuyentes?
$ Cuál es la responsabilidad de la organización?
$ Con que elementos contamos para iniciar una causa judicial contra el posible
perpertrador?
# Desea la organización lograr la condena del autor?
$
Que procedimientos se encuentran activos para permitir que la organización inicie una
acción judicial si descubre al intruso?
# Es el objetivo de la organización establecer mejores controles y en lugar de dedicarse
por buscar la condena del culpable?
# Tiene la organización políticas implementadas que apunten a resolver estos aspectos?
$ Son suficientes estas políticas?
$ Debería agregarse o crearse nuevas políticas si estas no existen?
# La organización puede optar por contratar a un asesor legal
!
#
$
$
$
•
•
•
•
•
Asegúre su Información y activos físicos
Ubique los sistemas y dispositivos que hayan sido comprometidos
Siga procedimientos estrictos de recolección de evidencias
Utilice rótulos de identificación de evidencias
Registre todos los pasos y eventos en el forma manual para incluir:
Fecha
Hora
Persona que genera el evento
Descripción de la tarea realizada
Identificación de rótulos o indicadores utilizados
$
$
Crear copias imágenes de estos sistemas y dispositivos
Asegurar que todo el personal que conduce la investigación, comprenda y adhiera a
prácticas adecuadas de recolección de evidencias. Estas incluyen una cadena de
custodia para asegurar que la evidencia recogida es confiable para su uso en un posible
caso legal
# Mantenga un log de todo el personal que accede a las áreas, sistemas o dispositivos en
cuestión
# Cierre todas las áreas en la medida de lo posible y asegúrese que solo accede personal
autorizado
# Pueden implementarse cámaras, micrófonos u otros dispositivos (esto depende
específicamente de cómo se maneje esta cuestión, si hay sospechas de alguien interno
o no, etc.)
! Identifique donde han estado los intrusos
# Ubique los puntos de entrada primarios
www.safecg.com
SAFE Consulting Group
$
$
$
$
$
Cuentas
Servicios
Sistemas
Dispositivos (modems, routers, puntos de acceso, switch, etc.)
Aplicaciones
# Revise los logs creados en los sistemas, dispositivos y aplicaciones comprometidas
$ En sistemas Unix, revise lo siguiente:
•
•
•
•
•
•
$
#
Log de logins fallidos
Log del SU
Historia de cuentas (.sh_history) sospechosas de haber sido comprometidas
Log del Tripwire si estuviese disponible
Logs del IDS si estuviesen disponibles
Todo log creado en relación a un cambio reciente en cualquier archivo del sistema
En Sistemas Windows revise los log en busca de:
Log de Seguridad en busca de:
♦ Intentos fallidos de login
♦ Intentos fallidos de cuentas
♦ Login fallidos del Administrador
♦ Cambios de políticas exitosos o no
♦ Cambios de cuentas exitosos o no
♦ Cambios de grupos exitosos o no
♦ Loailed login attempts
# Log del sistema en busca de:
♦ El inicio y fin del log de eventos y verificar si el inicio corresponde con el booteo del
sistema y si se mantuvo on-line hasta el momento en que el sistema fue bajado
# El log de aplicaciones en busca de:
♦ El inicio y fin de todas las aplicaciones de seguridad y otras aplicaciones primarias. Fíjese
si hay discrepancias en el lapso de tiempo en que el intruso estuvo en el sistema.
#
•
•
•
En los routers revisar el syslog en busca de:
Que el log de Acceso (si existe) se haya creado
Inicio y terminación del syslog
Direcciones y tráfico supuestas del/os intruso/s
#
•
•
•
•
•
•
Sobre los firewalls, revise los logs y reglas:
Intentos fallidos de login al firewall
Alteración de reglas e identificación del que lo hizo
Direcciones y tráfico supuesto del/os intruso/s
Revise los puertos únicos o poco utilizados
Observe paquetes routeados al origen
Observe paquetes salientes sospechosos
www.safecg.com
SAFE Consulting Group
•
Identifique las direcciones IP con destino en sistemas y puertos que no existen
! Que hacer después?
# Ya ha ubicado las áreas en donde ha estado el intruso. Ahora que?
$ Restrinja los derechos de acceso a las cuentas comprometidas
$ Si las cuentas son necesarias, cambie las passwords en estas cuentas a otras que no
puedan ser crackeadas fácilmente
$ Si las cuentas no hacen falta, deben inhabilitarse hasta que finalice la investigación y
luego deben ser removidas
$ Coloque restricciones adicionales en áreas que requieren acceso limitado (utilice
permisos de archivos y directorios)
$ Revise toda herramienta de monitoreo o dispositivos que se hayan instalado por evidencia
adicional
$ Analice la nueva evidencia
$ Continúe monitoreando si lo considera necesario
# Identifique posibles sospechosos
• Pregúntese si tiene derechos legales (recomendamos consultar con un asesor legal)
• Si los sistemas o direcciones originarias IP sospechosas fueron identificados y ubicados,
requiera y obtenga los logs de parte de los ISP sospechosos solicitando las fechas que
coincidan con los intentos de intrusión.
• Puede que sea necesaria la autorización de un Juez para proseguir
• Obtenga autorización legal para analizar sistemas sospechosos
• Utilice herramientas forenses para revisar los sistemas (una lista de herramientas y otros
recursos puede identificarse al final del artículo)
! Perseguir o no perseguir al perpetrador?
# Si se ha obtenido suficiente evidencia para perseguir al perpetrador, que debe hacerse?
$ Cual es el objetivo de iniciar la demanda?
•
•
$
•
•
•
•
Lograr un convenio de bajo perfil con el intruso
Obtener un caso de alto perfil contra el intruso
Contactar a todas las entidades legales necesarias
Abogados
Fiscales y Policia local o federal
Mediador
Etc.
$
Liste todos los testigos que están siendo considerados:
•
•
Testigos presenciales
Testigos expertos
$
Coloque todos los logs (procedure logs) en orden eficiente para lograr un fácil acceso
www.safecg.com
SAFE Consulting Group
$
Asegúrese que toda la evidencia puede ser sustentada
# No se ha obtenido suficiente evidencia para perseguir al perpetrador
$
$
$
$
$
•
$
$
Remueva o al menos proteja todas las cuentas comprometidas
Cierre todos los puntos de entrada inseguros identificados durante la investigación
Cambie las password en todos los sistemas y dispositivos en el área sospechada
Mejore los controles (IDS, sniffers, etc.) para prepararse para la próxima vez
Eduque y entrene al personal necesario
Adquiera los conocimientos y habilidades que le faltaron a la organización durante la
investigación
Proponga nuevas políticas si es necesario
Puede ser necesario que se realice una Auditoria de Penetración para identificar
cualquier exposición adicional que requiera atención.
1.1 INFORMACION ADICIONAL
Hay dos maneras en que SAFE Consulting Group y Canaudit pueden asistir a su
organización. Se ha desarrollado un nuevo curso para brindar a los participantes las
habilidades requeridas para luchar contra el Crimen Cibernético. Como es habitual si desea
mayor información acerca de este curso "Informática Forense para Profesionales de Auditoria
y Seguridad", comuníquese con nosotros en la dirección de mail indicada.
También es posible brindarle un amplio rango de servicios forenses para asistir a su
organización en la creación de habilidades de Informática Forense o realizar investigaciones
en profundidad de incidentes delicados.
Si tiene preguntas relativas al seminario o los servicios de consultoria o este artículo, por
favor contacte a Daniel Ramos en [email protected] o visite www.safecg.com
www.safecg.com
SAFE Consulting Group
2. HERRAMIENTAS Y RECURSOS UTILES
! Encase: Software de evidencia forense, descubrimiento y análisis.
www.encase.com
! Byte Back: Software de evidencia forense, descubrimiento y análisis.
! TUCOFS: Fuente excelente de herramientas forenses
www.tocofs.com
! DMARES: Excelente sitio para recursos sobre donde encontrar todo tipo de herramientas
y recursos adicionales.
www.dmares.com/maresware/forensic_tools.htm
! Paraben Forensic Software: Conjunto de herramientas para asistir en el recupero de
evidencias y validación
www.paraben-forensics.com
! New Technologies Inc.: Recursos de Software y Servicios.
www.forensics-intl.com
! Access Data: Buen sitio para software y servicios.
www.accessdata.com
! Norton Ghost: Copias de discos. Norton tambien cuenta con otras herramientas de
seguridad.
www.symantec.com
! CFTCO: Sitio de software y recursos.
www.cftco.com/utilities.htm
! COPS: Buen recursos de políticas y procedimientos.
www.cops.org/forensic_examination_procedures.htm
! Digital Intel: Excelente herramienta forense y soporte.
www.digitalintel.com
© Canaudit Inc. Printed with permission
www.safecg.com