LA NECESIDAD DE INFORMATICA FORENSE

Transcripción

1 SAFE Consulting Group Publicaciones presenta: Canaudit Perspective La necesiidad de lla IInformátiica Forense LA NECESIDAD DE INFORMATICA FORENSE (Traducido al Castellano por: SAFE Consulting Group, ) Por Paul Castillo Gerente, Auditorias Técnicas, Canaudit Inc. De acuerdo al FBI solamente en el año 2000 se realizaron unas diez mil (10.000) denuncias de Crimen Cibernético (Cyber Crime) De estas denuncias, unas cuatro mil (4.000) fueron lo suficientemente serias para ser derivadas a la policía y la justicia, y doscientos setenta y tres (273) organizaciones que fueron comprometidas por estos hechos registraron resultados financieros negativos por US$ 265 millones de dólares. La pérdida total de un informe similar tres años antes fue estimada en US$ 120 millones. Esto demuestra que obviamente el Crimen Cibernético esta en ascenso. Observe que estamos hablando únicamente de ataques que han sido denunciados. La mayoría de los ataques no solo no se denuncian sino lo que es peor, no son detectados. Como resultado, los Criminales Cibernéticos dominan libremente las redes y aplicaciones de negocios que han resultado ser su objetivo. La mayor parte de las organizaciones tienen excelentes políticas y procedimientos en relación al uso de computadores. Instalan un firewall para proteger sus activos de intrusiones desde internet y para registrar (log) violaciones, tienen un Oficial de Seguridad o un Gerente de Firewall que es responsable de exigir y aplicar la seguridad. Sin embargo el problema que vemos, es que no saben como determinar cuando un ataque debe ser investigado o simplemente bloqueado. En la mayoría de los casos, los ataques serios son bloqueados sin investigarse a posteriori. Los perpetradores pueden entonces esperar que los controles se relajen y luego intentar nuevamente. Son libres también de atacar otros sitios ya que sus acciones no se reportan a las autoridades. Desde el 11 de Septiembre, creemos que debemos incrementar la vigilancia para proteger los activos corporativos y la infraestructura. Esto significa que todos los eventos de cierta seriedad deben investigarse, debe obtenerse evidencia y notificar a las autoridades si se ha cometido un delito. Muchos Oficiales de Seguridad y Administradores de Firewalls no cuentan con las habilidades que se requieren para determinar si un evento amerita una investigación o si tienen el conocimiento para realizar la investigación que se requiera. Es el momento de adquirir estas habilidades e implementar nuevas técnicas.

2 SAFE Consulting Group El primer paso en este proceso es aprender como separar los inofensivos escaneos (scans) que se producen cientos de veces al día, de ataques determinados. No solo deben revisarse cuidadosamente los logs de los Firewall, sino que también deben analizarse los sistemas internos en busca de signos de una violación exitosa del firewall o el módem. Si ha signos presentes, entonces esto amerita una investigación forense. (Una investigación de Informática Forense, es el análisis de los dispositivos electrónicos tales como computadores, teléfonos, PDAs, discos, switches, routers, hubs y otros equipos electrónicos). Para asistirlo en este proceso hemos preparado una compilación de Mejores Prácticas de Informática Forense. En función de la extensión de este artículo, la lista no comprende información completa de detalle, pero pretende ser una buena guía de referencia sobre este tema. Mejores Prácticas de Informática Forense! Crear un log de los pasos y procedimientos realizados en la organización # Registrar fecha y hora de todos los pasos y procedimientos en un Registro de eventos o bitácora (nota: debe usarse un Registro de Eventos por cada incidente principal) $ Contactar al personal $ Contactar a la policía y la Justicia $ Acceder a los sistemas y dispositivos $ Revisar todos los logs $ Etc. # Otros items a incluir en el Registro de Eventos (nota: este registro debe ser prenumerado a fin de detectar si se ha arrancado una página) Quien (persona o grupo) identificó y reporto el incidente Incluir la fecha, hora y una descripción del incidente Detalles de la evaluación inicial que definió la investigación formal Nombres de todas las personas/organizaciones que conducen la investigación Numero de personas asignadas al incidente Razones de la investigación Lista de todos los sistemas, dispositivos, y/o aplicaciones incluidas en la investigación, junto con sus especificaciones. Si los sistemas/dispositivos tienen identificadores (numeros de serie, identificador de compania, etc) deben incluirse Lista de todas las aplicaciones y procesos que ejecutan en los sistemas indicados Copia de todas las políticas relacionadas con el acceso y uso de los sistemas listados Lista de los administradores responsables por el mantenimiento de rutina de los sistemas, dispositivos y aplicaciones Lista detallada de los pasos utilizados en obtener y analizar la evidencia Incluir la hora en que se realiza cada tarea, una descripción de la tarea, persona/s que la/s realiza/n y los resultados

3 Una lista de quienes tienen acceso a la evidencia obtenida con fechas y horas SAFE Consulting Group # Sea consciente de en quienes puede confiar # Desde aquí en adelante, la información obtenida y revisada debe ser utilizada para crear el perfil del intruso sospechoso $ Cuál es o fue el objetivo posible? $ Cuál es el motivo para la intrusión? $ Dónde están los cómplices? $ Cuáles fueron las herramientas que utilizaron? Fueron silenciosos o ruidosos? ( dejaron muchas pistas o poca evidencia para rastrearlos?)! Identificar al intruso # Revisar los logs del IDS (Intrusion Detection System - si tiene la habilidad) $ Revisar los ataques de alto riesgo $ Identificar violadores primarios internos y externos $ Observar aspectos y elementos comunes sobre un amplio período de tiempo en relación a escaneos, pruebas y otras conexiones. $ Revisar todos los intentos de login # Revisar los logs del firewall # Revisar el tráfico entrante $ Observe todas las direcciones IP que escanean en forma consistente sus sistemas basados en Internet $ Observe todas las direcciones que intentan escanear otras direcciones que apuntan a direcciones de la red interna $ Revise todos los escaneos dirigidos específicamente al firewall $ Observe todas las direcciones IP que intentan ataques de Negación de Servicios (Denial of Service Attacks) $ # Revise el Tráfico saliente $ Establezca relaciones cruzadas entre las direcciones de ataques entrantes con direcciones salientes (este es un indicio de un posible ataque interno) $ Identifique las direcciones IP con gran cantidad de tráfico hacia ellas desde las direcciones internas de la compañía o los sistemas basados en Internet. $ Revise los archivos de tipo files (.avi,.jpg,.zip,.pst, etc.) $ Revise la cantidad de tiempo que los usuarios estuvieron en línea con el mundo Internet externo. Revise el tipo de servicios que utilizaron para conectarse (ftp, telnet, ssh, rlogin, etc.) Revise los intentos fallidos de Log (todos los sistemas operativos posibles, específicamente aquellos en áreas de alto tráfico y públicas) Identifique todos los intentos de Login fallidos, particularmente consistentes o repetitivos Revise las cuentas que fueron atacadas por permisos débiles sobre los archivos y los cambios principales a esas cuentas

4 SAFE Consulting Group Revise los archivos del sistema primario (agregado de usuarios, archivos de passwords, archivos de trust, archivos de servicio, etc) y verifique que no hayan sido alterados desde el inicio del ataque # Revise el SU log si es aplicable $ Primero identifique las cuentas que intentaron ejecutar un su al root o otras cuentas privilegiadas $ Valide y revea todos los intentos de usuarios de realizar su $ Revise la última alteración del log del su # Revisión del log de la PBX $ Revisar cualquier discrepancia en la facturación de llamadas realizadas y recibidas $ Identificar los números de teléfono entrantes que llaman a la compañía en horas sin operación o llamados frecuentes. $ Revisar todos los llamados con tiempo excesivo de conexión $ Revisar todos los modems en su fortaleza y seguridad! Que hacer cuando ha verificado la intrusión? # Siga su procedimiento de respuesta a incidentes (PRI) # Si no tiene un PRI proceda de la siguiente forma $ Informe al nivel gerencial apropiado $ Ponga a todo el staff de Seguridad Informática en alerta $ NO informe a toda la organización, solo debe informar a aquellos que sea estrictamente necesario $ Realice un back-up de logs inmediatamente $ Prepare para implementar procedimientos de recupero de evidencias $ Asegure el área física en la que están ubicados los sistemas y dispositivos que han sido comprometidos $ Intente identificar los medios que han permitido que sus sistemas o dispositivos fuesen comprometidos $ Intente identificar las cuentas que fueron comprometidas por el intruso $ Cuando revise los archivos, es importante revisar la imagen exacta y no trabajar sobre el original. Esto es para asegurar que el original no ha sido alterado, y protegerlo para ser utilizado como evidencia legal de ser necesario.! Revise las opciones disponibles (Como debe proceder su organización?) # Tiene su organización los conocimientos, habilidades y herramientas para realizar una investigación de Informática forense? $ Si la respuesta es no, entonces contrate a alguien capacitado $ Si la respuesta es SI, continúe con la lista de mejores prácticas # Existen contratos en su organización con socios, clientes o proveedores que requieran que les transmita la novedad de la intrusión? $ Si la respuesta es SI, entonces debe decidir que se debe transmitir y como debe hacerse $ Si la respuesta es NO, entonces pregúntese si seria beneficioso para la organización exponer o cubrir la intrusión? # Tiene su organización un seguro contra hackers? $ Si cuenta con el, cubrirá esta intrusión? Cuando se supone que debe reportarse a la aseguradora?

5 SAFE Consulting Group $ Si no tiene seguro, debería considerar contratar una póliza? # Su organización se encuentra obligada por ley a contactar a la justicia o policía en relación a una intrusión? (ejemplo: lavado de dinero, Institución de Gobierno comprometida, dispositivos utilizados para almacenar materiales ilegales, etc) $ Si es así, que efecto tendrá esta situación en las relaciones con los clientes y/o contribuyentes? $ Cuál es la responsabilidad de la organización? $ Con que elementos contamos para iniciar una causa judicial contra el posible perpertrador? # Desea la organización lograr la condena del autor? $ Que procedimientos se encuentran activos para permitir que la organización inicie una acción judicial si descubre al intruso? # Es el objetivo de la organización establecer mejores controles y en lugar de dedicarse por buscar la condena del culpable? # Tiene la organización políticas implementadas que apunten a resolver estos aspectos? $ Son suficientes estas políticas? $ Debería agregarse o crearse nuevas políticas si estas no existen? # La organización puede optar por contratar a un asesor legal! Asegúre su Información y activos físicos # Ubique los sistemas y dispositivos que hayan sido comprometidos $ Siga procedimientos estrictos de recolección de evidencias $ Utilice rótulos de identificación de evidencias $ Registre todos los pasos y eventos en el forma manual para incluir: Fecha Hora Persona que genera el evento Descripción de la tarea realizada Identificación de rótulos o indicadores utilizados $ Crear copias imágenes de estos sistemas y dispositivos $ Asegurar que todo el personal que conduce la investigación, comprenda y adhiera a prácticas adecuadas de recolección de evidencias. Estas incluyen una cadena de custodia para asegurar que la evidencia recogida es confiable para su uso en un posible caso legal # Mantenga un log de todo el personal que accede a las áreas, sistemas o dispositivos en cuestión # Cierre todas las áreas en la medida de lo posible y asegúrese que solo accede personal autorizado # Pueden implementarse cámaras, micrófonos u otros dispositivos (esto depende específicamente de cómo se maneje esta cuestión, si hay sospechas de alguien interno o no, etc.)! Identifique donde han estado los intrusos # Ubique los puntos de entrada primarios

6 $ Cuentas $ Servicios $ Sistemas $ Dispositivos (modems, routers, puntos de acceso, switch, etc.) $ Aplicaciones SAFE Consulting Group # Revise los logs creados en los sistemas, dispositivos y aplicaciones comprometidas $ En sistemas Unix, revise lo siguiente: Log de logins fallidos Log del SU Historia de cuentas (.sh_history) sospechosas de haber sido comprometidas Log del Tripwire si estuviese disponible Logs del IDS si estuviesen disponibles Todo log creado en relación a un cambio reciente en cualquier archivo del sistema $ En Sistemas Windows revise los log en busca de: # Log de Seguridad en busca de: Intentos fallidos de login Intentos fallidos de cuentas Login fallidos del Administrador Cambios de políticas exitosos o no Cambios de cuentas exitosos o no Cambios de grupos exitosos o no Loailed login attempts # Log del sistema en busca de: El inicio y fin del log de eventos y verificar si el inicio corresponde con el booteo del sistema y si se mantuvo on-line hasta el momento en que el sistema fue bajado # El log de aplicaciones en busca de: El inicio y fin de todas las aplicaciones de seguridad y otras aplicaciones primarias. Fíjese si hay discrepancias en el lapso de tiempo en que el intruso estuvo en el sistema. # En los routers revisar el syslog en busca de: Que el log de Acceso (si existe) se haya creado Inicio y terminación del syslog Direcciones y tráfico supuestas del/os intruso/s # Sobre los firewalls, revise los logs y reglas: Intentos fallidos de login al firewall Alteración de reglas e identificación del que lo hizo Direcciones y tráfico supuesto del/os intruso/s Revise los puertos únicos o poco utilizados Observe paquetes routeados al origen Observe paquetes salientes sospechosos

7 Identifique las direcciones IP con destino en sistemas y puertos que no existen SAFE Consulting Group! Que hacer después? # Ya ha ubicado las áreas en donde ha estado el intruso. Ahora que? $ Restrinja los derechos de acceso a las cuentas comprometidas $ Si las cuentas son necesarias, cambie las passwords en estas cuentas a otras que no puedan ser crackeadas fácilmente $ Si las cuentas no hacen falta, deben inhabilitarse hasta que finalice la investigación y luego deben ser removidas $ Coloque restricciones adicionales en áreas que requieren acceso limitado (utilice permisos de archivos y directorios) $ Revise toda herramienta de monitoreo o dispositivos que se hayan instalado por evidencia adicional $ Analice la nueva evidencia $ Continúe monitoreando si lo considera necesario # Identifique posibles sospechosos Pregúntese si tiene derechos legales (recomendamos consultar con un asesor legal) Si los sistemas o direcciones originarias IP sospechosas fueron identificados y ubicados, requiera y obtenga los logs de parte de los ISP sospechosos solicitando las fechas que coincidan con los intentos de intrusión. Puede que sea necesaria la autorización de un Juez para proseguir Obtenga autorización legal para analizar sistemas sospechosos Utilice herramientas forenses para revisar los sistemas (una lista de herramientas y otros recursos puede identificarse al final del artículo)! Perseguir o no perseguir al perpetrador? # Si se ha obtenido suficiente evidencia para perseguir al perpetrador, que debe hacerse? $ Cual es el objetivo de iniciar la demanda? Lograr un convenio de bajo perfil con el intruso Obtener un caso de alto perfil contra el intruso $ Contactar a todas las entidades legales necesarias Abogados Fiscales y Policia local o federal Mediador Etc. $ Liste todos los testigos que están siendo considerados: Testigos presenciales Testigos expertos $ Coloque todos los logs (procedure logs) en orden eficiente para lograr un fácil acceso

8 $ Asegúrese que toda la evidencia puede ser sustentada SAFE Consulting Group # No se ha obtenido suficiente evidencia para perseguir al perpetrador $ Remueva o al menos proteja todas las cuentas comprometidas $ Cierre todos los puntos de entrada inseguros identificados durante la investigación $ Cambie las password en todos los sistemas y dispositivos en el área sospechada $ Mejore los controles (IDS, sniffers, etc.) para prepararse para la próxima vez $ Eduque y entrene al personal necesario Adquiera los conocimientos y habilidades que le faltaron a la organización durante la investigación $ Proponga nuevas políticas si es necesario $ Puede ser necesario que se realice una Auditoria de Penetración para identificar cualquier exposición adicional que requiera atención. 1.1 INFORMACION ADICIONAL Hay dos maneras en que SAFE Consulting Group y Canaudit pueden asistir a su organización. Se ha desarrollado un nuevo curso para brindar a los participantes las habilidades requeridas para luchar contra el Crimen Cibernético. Como es habitual si desea mayor información acerca de este curso "Informática Forense para Profesionales de Auditoria y Seguridad", comuníquese con nosotros en la dirección de mail indicada. También es posible brindarle un amplio rango de servicios forenses para asistir a su organización en la creación de habilidades de Informática Forense o realizar investigaciones en profundidad de incidentes delicados. Si tiene preguntas relativas al seminario o los servicios de consultoria o este artículo, por favor contacte a Daniel Ramos en dramos@safecg.com o visite

9 SAFE Consulting Group 2. HERRAMIENTAS Y RECURSOS UTILES! Encase: Software de evidencia forense, descubrimiento y análisis. Byte Back: Software de evidencia forense, descubrimiento y análisis.! TUCOFS: Fuente excelente de herramientas forenses DMARES: Excelente sitio para recursos sobre donde encontrar todo tipo de herramientas y recursos adicionales. Paraben Forensic Software: Conjunto de herramientas para asistir en el recupero de evidencias y validación New Technologies Inc.: Recursos de Software y Servicios. Access Data: Buen sitio para software y servicios. Norton Ghost: Copias de discos. Norton tambien cuenta con otras herramientas de seguridad. CFTCO: Sitio de software y recursos. COPS: Buen recursos de políticas y procedimientos. Digital Intel: Excelente herramienta forense y soporte. Canaudit Inc. Printed with permission