Es común encontrar estas preguntas, cuando se ha perpetrado un ataque Que fue lo que hicieron...? Como Fue que lo hicieron...? Es donde la recolección de eventos en la red juega un papel importante al igual que su análisis andres_almanza@hotmail.com
Objetivos Mostrar los aspectos mas importantes en la recolección de evidencia en ambientes de red. Cuestionar los conocimientos de los ambientes de red existentes hoy en día, para el proceso de recolección de evidencia en redes.
Plan de Temas Introducción Definiciones Proceso de recolección de evidencia Herramientas del proceso Conclusiones
Introducción Existe un aumento creciente en 4500 las vulnerabilidades de los 4000 sistemas. (1220 1Q-2005) según CERT A su vez existe mayor interés y creciente sobre las implicaciones 3500 3000 2500 2000 1500 Vulnerabilidades de la seguridad en los ambientes 1000 organizacionales. E-Crime Survey 2005 Según 500 0 2000 2001 2002 2003 2004 2005
Introducción Virus o código malicioso, spyware, pishing y spam de mayor proyección. Siendo el pishing uno de los de mayor crecimiento contra el año 2003. Según E-Crime Survey 2005 Sin embargo existe mas de un 30% no posee sistemas para registrar los incidentes y un 39% no tiene procedimientos para responder ante una intrusión. Dejando espacio para la improvisación. Según E-Crime Survey 2005 Un 19% no sabe de donde proviene el ataque
Introducción Un 80% reportan que realizan un procedimiento continuo de monitoreo a sus infraestructuras de red. Aunque el manejo de los incidentes en su mayoría (78%) siguen siendo manejados por la empresa. En muchos casos estas situaciones se dan por el desconocimiento de la normatividad vigente. La educación se ha vuelto un factor importante a la hora de generar cultura de seguridad y tratar de disminuir las amenazas existentes.
Definiciones Básicas La evidencia puede ser definida como cualquier información de valor probatorio. El término evidencia implica que tanto quien recoge la evidencia como el proceso para recoger dicha evidencia son reconocidos por estamentos legales. Corte, juzgado, legislación. Para el FBI (Federal Bureau of Investigation) existen algunos conceptos críticos en la computación forense. Objetos de Datos. Objetos o información de valor probatorio, que está asociado con elementos físicos. Pueden estar en diferentes formatos ( NTFS,EXT3), sin la alteración de la información original
Definiciones Básicas Elementos Físicos. Elementos sobre los cuales los objetos de datos o información son almacenados y/o transferidos. (Diskettes, Discos, etc) Evidencia Digital Original. Elementos físicos y objetos de datos o información asociados a ellos en el momento de la adquisición Duplicado de la Evidencia Digital. Replicación exacta de todos los objetos de datos contenidos en los elementos físicos originales
Definiciones Básicas Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999) Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000) Evidencia Digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence) Evidencia Digital. Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
Definiciones Básicas Computación Forense. Ciencia que se encarga de adquirir, recuperar, preservar y presentar datos que han sido procesados electrónicamente y están almacenados en medios electrónicos. Computación forense. Aplicación de investigación sobre medios electrónicos y aplicación de técnicas de análisis, con el interés de determinar evidencia potencial. Judd Robins
Definiciones Básicas Incidente de Seguridad. Son eventos que interrumpen los procedimientos normales de operación y precipitan a algún nivel de crisis. Específicamente Incidentes pueden ser considerados intrusiones en computadores, denegaciones de servicios, actividad de red no permitida o no autorizada que requieran de personal de seguridad, administradores o investigadores para responder. Investigación. Un proceso que desarrolla y evalua hipotesis para responder preguntas acerca de un incidente que ha ocurrido. Investigación Forense Digital. Un proceso que usa la ciencia y la tecnología para examinar objectos digitales que desarrollen y prueben teorias, las cuales puedan ser entregadas en una corte, para responder preguntas de los incidentes ocurridos.
Objetivos de la Investigación Forense Conducir una investigación estructurada Preservar y asegurar los datos electrónicos usando métodos que sean aceptados legalmente Obtener la mayor cantidad de datos relevantes frente a una intrusión Documentar Saber que fue lo que sucedió Conducir un proceso legal
Por que Investigar Por que existe un propósito Dentro de los mas comunes están Uso inapropiado de Internet, email, y/o recursos de la corporación Robo o perdida de la información Violación de políticas o normas de seguridad Infracción de la propiedad intelectual Invasión de la red
Network Foresinc Derivación de Computación Forense Captura, almacenamiento y análisis de los eventos presentados en una red, para identificar la fuente de un posible ataque o presencia de un incidente. Según searchsecurity.com Principio de reconstruir las actividades que conducen a un evento y poder determinar las respuestas de Que hicieron? y Como lo hicieron? La recolección y centralización de los eventos, así como su análisis son de gran importancia.
Proceso Forense Trabajar con evidencias digitales en red presentan ciertos desafíos para el investigador. Los datos en los sistemas de red son volátiles y dinámicos, haciendo difícil tomar una fotografía en un instante de tiempo. A diferencia de un PC es difícil tener abajo un ambiente de red. Uno de los retos de los investigadores forenses es asegurar la evidencia con la mínima interrupción de la operacional del negocio que confía en la red.
Proceso Forense Debido a la diversidad de ambientes de red se debe seleccionar los procedimientos adecuados para recoger de ellas la mejor información Aislar una escena del crimen es mas difícil debido a que tenemos un contexto multidimensional, se pueden presentar en varios escenarios de red y a su vez en cualquier momento. Al tener la evidencia digital en varios contextos y ambientes genera ventajas con relación a la eliminación de la evidencia digital.
Proceso Forense Autorización y Preparación Reportes y Resultados Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción
Autorización y Preparación Antes de recoger cualquier prueba se debe preocuparse por no infringir, ninguna normativa referente al manejo de la evidencia o que genere alguna responsabilidad. Se debe obtener los permisos necesarios para recolectar e indagar en el escenario propuesto. Estos permisos deberían ser escritos y estar autorizados por los abogados o los encargados. Se deben revisar las políticas de utilización de los recursos computacionales. Para no ir en contra de la violación de la privacidad.
Autorización y Preparación El investigador debe conocer y entender claramente el escenario de red que esta bajo investigación. Identificando actores y el(los) incidente(s) presentados. Comunicar y definir que tipo de evidencia necesita en su totalidad. Algunas veces deben recoger información antes de la autorización, para definir que clase de herramientas utilizar. Se debe planear que es lo que se desea recolectar, particularmente cuando la cooperación es nula con los administradores del sistema. Es importante definir los procedimientos necesarios para preservar dicha información
Identificación Identificar todos los factores que interviene para el proceso de recolección de la red. Deben existir métodos para identificar los sistemas que mas evidencia pueden tener. Fase uno Buscar en puntos terminales Buscar en puntos intermedios. Switches, Routers, Proxys Fase dos Buscar eventos en los archivos de logs, que suministran un panorama de las actividades de la red. Sistemas de monitoreo.
Identificación Fase tres Buscar en los sistemas de aplicaciones, para relacionar individuos. Es necesario procedimientos estándares para lo colección de evidencia de los diferentes dispositivos de red. Crear mapas digitales de evidencia que ayuden a realizar de manera metódica los procesos de búsqueda de evidencia. Utilizar los mapas de red de la organización y verificar sus niveles de detalles. Localización de los puntos de entrada y servidores claves, son las fuentes mas extensas de evidencia. Routers, Firewalls
Documentación, Recolección y Preservación La primera diferencia cuando se trabaja en ambientes de red, es que muchas veces no es posible realizar una copia bit a bit de la evidencia. Por razones como El sistema no puede estar abajo Disco con demasiada información No existe la autorización para copiar los datos En muchos casos se requiere recolectar la evidencia de manera remota
Documentación, Recolección y Preservación Preservación de la evidencia digital dinámica, Ej: Redireccionar la salida estándar de una maquina *nix a un archivo o dispositivo. Para recolectar evidencia de routers, firewall, y dispositivo de línea serial HyperTerminal de Windows es una solución. Se utiliza la figura de un segundo investigador que tome atenta nota y documente los resultados, con el objetivo de mejorar los procedimientos de recolección por parte de una sola persona Para garantizar la preservación de los datos se pueden utilizar mecanismos como grabaciones (video tapes), las firmas digitales son de gran uso para comprobar la integridad y evitar manipulaciones al futuro
Documentación, Recolección y Preservación La mayoría de veces es necesario utilizar herramientas que capturen el trafico de la red. La recolección de los logs se vuelve vital en los dispositivos de red. Logs de IDS, de firewalls, de proxys y de mas elementos de comunicaciones. Es importante de todos los eventos de recolección para su preservación mantener la cadena de custodia. Documentar Quien recoge y manipula la evidencia?, Como se recoge la evidencia?, Desde donde la recoge?, Cuando fue realizado el proceso?, y Por que fue realizado el proceso?
Documentación, Recolección y Preservación En muchos casos cuando las copias bits a bits no son posibles se siguiere Notificar la hora y fecha del sistema para el archivo de log correspondiente Documentar la localización del archivo, y los datos del metadata (tamaño, firmas de tiempo) Utilizar algoritmos de hash para los archivos. MD5 Impresión de los logs en caso de ser pequeños Tratar de salvar el archivo o logs archivos en otro medio, y verificar su lectura para futuros usos. Mejor el archivo completo
Documentación, Recolección y Preservación Para ayudar a documentar y demostrar integridad y autenticidad de la maquina que recolecta la evidencia en red se debe saber. Seguir estándares de operaciones Esencial conservar un registro de las acciones tomadas durante el proceso de recolección de la evidencia y tomar las pantallas de los ítems más relevantes Es necesario documentar que servidor es de donde se esta extrayendo la información, por que es posible que quien examine tenga que ir a otro servidor en alguna otra parte.
Documentación, Recolección y Preservación Calcular las huellas MD5/SHA1 de toda la evidencia antes y después de transferirla de la máquina remota. Fírmelos digitalmente, cífrelos y sálvelos en dispositivos de solo lectura Trate de utilizar más de una forma de recolectar la información
Examinar y Analizar Examinar la información es vital para poder realizar su posterior análisis. La profundización en la examinación de la evidencia depende en gran medida, del conocimiento de la escena del crimen y de las restricciones colocadas por el investigador. Este proceso es divido en tres grandes labores Filtraje y Reducción de Datos Recuperación de los datos Clasificación y Evaluación de la Fuente
Filtrado y Reducción de Datos Cantidades extensas de información que en algunos casos no esta relacionada con la investigación. Se debe realizar para obtener la evidencia concluyente e importante. Para extraer la información relevante de los archivos se debe tener en cuenta. Todo los archivos irrelevantes a la investigación. No tenerlos en cuenta Enfocar la investigación en los archivos mas probables creados por los usuarios Manejar redundancia de archivos Discrepancias entre las evidencias digitales recolectadas. Ej: MD5
Filtrado y Reducción de Datos Es útil utilizar filtros a nivel de las aplicaciones de recolección de datos tcpdump i eth0 tcp[13]==24 and host 172.30.8.54 and host 172.30.4.1 and port 3128 A menudo es muy útil utilizar las técnicas de búsquedas por patrones dentro de los archivos de logs. Cat /var/log/messages grep \(conecction\ 172.30.8.41\)
Clasificación y Evaluación de la Fuente Cuando se analiza la evidencia es importante responder a las siguientes preguntas Que es?. Permite Identificar y Clasificar la Evidencia De donde viene? El proceso de identificar involucra clasificar basados en características similares. class characteristic Un ítem es clasificado cuando este puede ser colocado en una clase de ítems con características similares. (Inman and Rudin 1997)
Clasificación y Evaluación de la Fuente Cuando se evalúa el origen de una pieza de evidencia, el investigador compara todos los ítems, determinando si son iguales o parecidos o si viene del mismo origen Examina característica por característica para determinar si tienen relación. Entre más características en común tenga un ítem y su origen mayor será la probabilidad de que estén relacionadas. Los ítems pueden tener características que los diferencien. características individuales.
Clasificación y Evaluación de la Fuente En los ambientes de red, las clases de características así como las características individuales, son utilizadas para poder identificar el origen de la evidencia. 2003-01-23 12:52:40 172.16.1.19-192.168.1.3 80 GET /documents/ project21.html - 200 Mozilla/4.75+[en]+(Windows+NT+5.0;+U) Características Individuales Clases de Características
Recuperación de la Evidencia Tratar de recuperar archivos de logs y/o eventos de las operaciones de red Se deben utilizar las herramientas apropiadas para la recuperación de dichos datos. Sniffer en el caso de red Existen hoy en día grandes retos relacionados con el cifrado de los datos. Utilización de las técnicas acordes a procedimientos forenses claras para la obtención de los datos cuando se encuentren cifrados.
Reconstrucción del Escenario La reconstrucción con lleva a un escenario mas complejo y completo del incidente. En ella se pueden encontrar respuestas a preguntas como Que sucedió?, Quien?, Cuando?, Donde?, Como?, y Por Que? Existen tres formas de realizar la reconstrucción Análisis Funcional: De acuerdo a como funcionan las aplicaciones y/o programas comprometidos, y como generan la evidencia. Análisis Relacional: Análisis basado en la relación de la evidencia y la escena. Análisis Temporal: Análisis que relaciona los eventos y crea secuencias de acuerdo a los tiempos presentados en los sistemas
Reconstrucción del Escenario En ambientes de red se empiezan los procesos de reconstrucción a través de los tráficos generados y con ellos revisar si se han comprometido otros sitios. La reconstrucción de manera relacional tiene un grado de dificultad mayor por la variabilidad de sus elementos. Ej: Ips, DNS. Por lo tanto es necesario examinar todas las alternativas posibles de evidencia. Es importante ayudarse de los otros enfoques de reconstrucción de los escenarios para validar la evidencia que se esta utilizando. Los ambientes de red generalmente siempre tienen más de un origen para corroborar los datos.
Reconstrucción del Escenario En algunos casos se recomienda hacer extracción de los datos relevantes de las evidencias encontradas. Cuando se manejan volúmenes grandes de datos relacionados con la re, se recomienda reconstruir escenarios pequeños antes de integrarlo toda la escena del crimen. En el caso de los análisis temporales es importante relacionar los eventos de los diferentes elementos, antes de presentar un resultado puesto que podría ser pasado por alto. Fechas de los dispositivos Cuando se recolecta la evidencia de los ambientes de red, es posible identificar los patrones de comportamiento de los ataques y atacantes. Poder en muchos caso establecer el modus operandi
Reporte de resultados Se debe integrar todo lo encontrado en un reporte final que de las conclusiones de la investigación. Pieza clave cuando se presenta como evidencia en estamentos legales. Normalmente un reporte tiene una estructura como sigue Introducción: Quien solicito el reporte, que se buscó, quien escribió el reporte, cuando y que fue encontrado Resumen de evidencias: Que evidencias fueron examinadas, cuando, de donde y cuando se obtuvieron las pruebas Resumen de proceso: Que herramientas fueron utilizadas, que datos fueron recuperados Examinación de evidencias: Archivos de logs, tráficos de red o archivos. Análisis: Descripción del o los análisis realizados Conclusiones: Resumen que se enlace lógicamente y se refiera a todas las evidencias recolectadas Glosario de Términos: Explicación de los términos técnicos utilizados. Apéndices: Relación de la evidencia encontrada de manera numerada y ordenada
Herramientas utilizadas en el proceso Existen una gran cantidad de herramientas que ayudan al proceso de recolección de datos. Patrón C Clasificación de Herramientas Función Colección y Filtrado de datos Lo importante es entender cual puede L Análisis de logs ser su utilidad y cual es el momento indicado para utilizarlos. S R Reensamble de datos Correlación y análisis de múltiples fuentes de datos Herramientas de carácter global. A Visores de capa de aplicaciones Agrupación de herramientas W Workflow Herramientas de carácter individual. Entre algunas de las herramientas más utilizadas y su clasificación están
Herramientas utilizadas en el proceso Nombre Suministrada por Plataforma Características TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C Ngrep http://ngrep.sourceforge.net *nix C Network Stumbler http://netstumbler.com Windows C Kismet www.kismetwireless.net Windows, Linux C Argus www.qosient.com/argus7/ *nix CL Flow-tools www.splintered.net/sw/flow-tools/ *nix CL Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L Etherape http://etherape.sourceforge.net *nix C Ethereal www.ethereal.com Windows-Linux CLS Etherpeek www.wildpackets.com Windows CLS
Herramientas utilizadas en el proceso Nombre Suministrada por Plataforma Características Flag(Forensic and Log Analysis GUI ) www.dsd.gov.au/library/software/flag/ *nix L Shadow www.nswc.navy.mil/issec/cid/index.html *nix LS Sleuth9 www.deepnines.com/sleuth9.html *nix CSR Dragon IDS www.enterasys.com/products/ids/ *nix CLSR NSM Incident response www.intellitactics.com Windows CLSRW neusecure www.guarded.net *nix CLSRW NetIntercept www.sandstorm.net Linux box CSRA NetWitness www.forensicexplorer.com Windows CLSRA OSSIM www.ossim.net *nix CLSRA SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
Herramientas utilizadas en el proceso Algunas otras herramientas que ayudan en el proceso de recolección de la información. Nessus. www.nessus.org Nmap. www.insecure.org También existen las llamadas distribuciones booteables, que son definidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B Dentro del conjunto de herramientas existen dos herramientas que se consideran vitales para el manejo de incidentes y análisis forense. IDS/IPS Honeytrap
IDS Considerada de las herramientas de nuestro arsenal la más poderosa. Por las operaciones que realiza. Herramienta de apoyo en los procesos de seguridad Recolección de Información Basado en el análisis de la información contra patrones previamente definidos Tengo como objetivo primario el de informar, puede llegar a tomar medidas (IPS)
IDS Dentro de las funciones básicas de un IDS están Monitorea las actividades a nivel de usuario o procesos y actividades de un sistema (HIDS), o las actividades de una red (NIDS) Basa su trabajo en los estándares de protocolos construidos. Cifrado de datos uno de los retos actuales Debe garantizar el 100% de confianza en los reportes presentados. Falsos positivos Hace un diagnostico completo del ataque En algunos casos puede dar recomendaciones de cómo controlar el ataque
IDS DMZ Network DMZ Network Desktop Desktop Internet Router WWW Server Red Interna Internet Router WWW Server Red Interna Firewall Firewall IDS IDS
Honeytrap Sistemas diseñados para ser comprometidos Su característica principal es que no tendrán datos reales o información relevante Su objetivo principal es el recolectar, capturar y analizar los datos en orden para aprender sobre los ataques realizados en una red. Están dividido en dos clases o grupos Honeypots: Máquinas con servicios activos, aislados con el objetivo de atraer a los atacantes, y capturar las actividades realizadas por ellos Honeynets: Redes donde se encuentran sistemas de producción y honeypots interconectados, con el objetivo de recoger, analizar la información de un ataque, para aprender de el
Validez Jurídica La evidencia digital deben cumplir con algunos requerimientos para tener validez jurídica Autenticidad: La evidencia no ha sido modificada Precisión: Tanto las herramientas, como los procedimientos no deben presentar dudas, además debe estar relacionada con el incidente Suficiencia: Debe mostrar todo los eventos que relacionan a un incidente
Validez Jurídica En colombia la Ley 527. Art. 10, referencia la fuerza probatorio de los mensajes de datos La ley 527. Art. 11, Presenta los criterios probatorio de los mensajes de datos. confiabilidad en la forma que se generó la evidencia, confiabilidad en la forma en que se conservó la evidencia y la confiabilidad en la forma en como se identificó al autor Sentencia No. C-662 de junio 8 de 2000, da el mismo valor de peso a la evidencia digital frente a otros medios probatorios existentes.
Conclusiones Grandes retos por parte de los investigadores forenses frente a los modelos de red de hoy y sus posibles situaciones. Spoofing, Robo de Identidad. Complejidad de los protocolos y a su vez inseguridad de los mismos, naturaleza volátil de las conexiones Los investigadores deben ser muy cuidadosos en las formas como recojan la evidencia en ambientes de red, para darle un peo y valor probatorio Uno de los grandes retos en estos escenarios es el dinamismo y multiplicidad de ambientes a los que se enfrenta un investigador forense. Nuevamente la educación y formación en estos temas es de gran ayuda para poder enfrentarse a estas situaciones
Conclusiones En muchos casos muchos de estos delitos son cometidos desde punto fuera de control Café Internet, haciendo que la investigación pueda llegar a hasta este punto. No existe una normativa vigente de mayor control para este tipo de situaciones. Independiente de la legislación sobre la que se encuentre debe haber un manejo adecuado de la evidencia. Dada la gran proyección de delitos que día a día se comente deberían existir mayores proyecciones en la presencia de procedimientos forenses en informática para contrarrestar esta situación. Fortalecer la utilización y creación de los grupos de manejo de incidentes que ayuden en el proceso.
Referencias I. Jhon R. Vacca (2002). Computer Forensic: Computer Crime Scene Investigaction. Charles Rivera Media II. Eogan Casey (2004). Digital Evidence and Computer Crime: Forensic Science, Computers and Internets. Second Edition. Academic Press III.Julie Lucals, Brian Moller (2003). Effective Incident Response Team. Addison Wesley IV.Douglas Schweitzer (2003). Incident Response: Computer Forense Toolkit. Wiley V. Debra Littlejohn Shinder (2002). Scene of the cyber crime: Computer Forensic Handbook. Syngress. VI.Evidencia Digital en el contexto colombiano. Consideraciones técnicas y Juridicas para su Manejo. Daniel A. Torres, Jeimy J. Cano, Sandra Rueda
Referencias I. Honeytraps, A Network Forensic Tool. Alec Yasinac y Yanet Manzano II. A Framework of Distributed Agent-Based Network Forensic System. Dr Ren Wei