Cómputo Forense para un Equipo de Respuestas a Incidentes (CERT)

Cómputo Forense 

para un Equipo de Respuestas 

a Incidentes (CERT) 

Gaspar Modelo Howard 

Autoridad del Canal de Panamá

Objetivos 

• Definir roles del computo forense en 

respuesta a incidentes 

• Mencionar elementos necesarios en un 

CERT para realizar misiones forenses 

• Compartir experiencias 

Derechos Reservados 2002. Gaspar Modelo Howard

Agenda 

•CERT 

• Proceso forense 

• Fuerza Cohercitiva 

• Mecanismos proactivos 

– Honeypots 

–IDS 

• Conclusiones 


Premisas (Temas Recurrentes) 

• Nadie está inmune a los ataques 

• Uso de herramientas gratuitas 

• Punto de vista de organización no 

relacionada a fuerza cohercitiva 

• Cualquier cosa que hagas (incluso nada) 

cambiará el sistema 

• Piense como intruso y se paranoico 

• Necesidad de conocer (need to know) 

NOTA: Las opiniones expresadas son mi responsabilidad 

y no de la Autoridad del Canal de Panamá. 


Visión General 

CERT 

Proceso 

Forense 

Fuerza 

Cohercitiva 

Honeypot 

IDS 

Técnica 

Anti-forense 


Debemos pensar en CF? 

Alto 

Conocimiento 

Del Atacante 

Sofisticación 

Del Ataque 

Bajo 

1980 1985 1990 1995 2000 

• Mayor dependencia informática 

• Aumento de ancho de banda 

• Grandes pérdidas por delitos informáticos 

($455M en 2002 / CSI-FBI) 

Atacantes 

Herramientas 

Tomado de “The CERT Guide to System and Network Security Practices”, J. Allen. 2001 


Agenda 

• CERT 




– Honeypots 

–IDS 



Qué es un CERT? 

• Equipo que coordina y apoya la respuesta a 

incidentes de seguridad que involucran sitios o 

recursos dentro de un dominio o distrito 

(constituency) 

• Objetivos: 

– Provee un medio seguro para recibir y transmitir 

reportes de incidentes 

– Coordina asistencia en el manejo de incidentes 

– Disemina información relacionada a incidentes 

• Preparar Detectar Contener Erradicar 

Recuperar Lección aprendida 


CERT 

• Servicios 

– Reactivos y proactivos 

– Niveles de respuesta 

• Políticas y procedimientos 

– Proveen consistencia, confidencialidad 

y estructura 

• Equipo humano 

– Conocimiento técnico 

– Habilidad de comunicación (servicio al cliente) 

– Deseo de resolver problemas 

• Herramientas 

– Capacidad para distintos sistemas 

– Mecanismos de respaldo 


Clasificación de Heridos (Triage) 

1-3 

Solicitud de 

Información 

Manejo de 

Incidentes 

Manejo de 

Vulnerabilidades 

1-5 

5-8 

8-10 

• Necesario mantener la pista: uso de formularios, buzón 

central, números de referencias y firmas en correo 


Pólitica para CF 

• Elimina posibles problemas durante la investigación 

• Asignar vocero ante prensa 

• Desconectar o no desconectar? 

• Apagar o no apagar? 

• Definir frecuencia de reportes Amenaza 

y audiencia 

Externa 

• Clasificación de sistemas 

– Misión crítica, departamentales 

• Clasificación de incidentes 

– Internos, externos 

Proceso 

Legal 

Amenaza 

Incidente 

Interno 


Agenda 





– Honeypots 

–IDS 



Proceso Forense 

• Cada acción debe estar claramente 

documentada 

– A pesar que parezca meramente 

administrativo 

• Importancia de mantener la integridad del 

medio involucrado 

• CF brinda una oportunidad de aprender postmortem 

que ocurrió en un sistema 

informático 


Vertedero del Nuevo Siglo 

• Reto: cómo será una computadora 

y cómo analizarla? 


Proceso Forense 

• Manejo de evidencia 

• Respuesta a incidente 

• Duplicado forense 

• Análisis forense 


Manejo de Evidencia 

• Considerar incidentes como si fueran a 

ser debatidos (en una corte de justicia) 

• Identificación de incidente 

– Etiquetas para caso 

• Cadena de custodia 

– Movimiento de evidencia 

• “Fotografía” del lugar 

– Estado del sistema 

– Descripción del entorno 


Respuesta a Incidente 

• Dos opciones: En vivo o post-mortem 

• Riesgo de análisis en vivo 

– datos volátiles 

• Unidad de arranque 

con herramientas: 

– NT/2K Resource kit 

– Cygwin 

– Foundstone 

– Sysinternals 

• Herramienta IRCR: 

Incident Response 

Collection Report 

PASO COMANDO 

Abrir una consola cmd 

Guardar hora y fecha date, time 

Quien está conectado loggedon 

Grabar conexiones a 

red netstat 

Casar procesos y 

respectivos puertos fport 

Listar procesos pslist 

Listar situación 

windows nbtstat 

Grabar pasos tomados doskey 


Duplicado Forense 

• Análisis post-mortem: mayor posibilidad 

de éxito 

• Justificación: 

– Posible acción judicial 

– Pérdida económica 

– Necesidad de recuperar datos borrados 

imagen 

respaldo 

análisis 


Duplicado Forense 

• Copia HDD desde tu máquina 

– Safeback, Encase, dd 

• Envía imagen a través de la red 

– Uso de netcat o cryptcat 

• Sello de integridad (MD5) en HDD original 

y copia 

arranque 

(boot) 

evidencia 

imagen 

forense 


Herramienta dd.exe 

• Capacidad de copiar cada porción 

en HDD de evidencia 

• Disponible en http://www.incident-response.org 

• Usa bloqueador de escritura para HDD 

– PDBlock (http://digitalintel.com) 

• Funciona con herramienta md5sum.exe 

• Ejemplos: 

– dd if=\\.\PhysicalDrive1 of=D:\HDD-evidencia.img 

--md5sum --verifymd5 

--md5out=D:\HDD-evidencia.img.md5 

– dd if=\\.\PhysicalMemory of=C:\memory.img 


Análisis Forense 

• Establecer línea de tiempo 

• Análizar archivos 

• Análizar espacio no 

asignado 

• Análizar memoria temporal 

(swap) 

• Herramientas: 

– The Coroner’s Toolkit (TCT) 

– TASK (The @stake Sleuth Kit) 

– Autopsy 

• 0.5hrs. de ataque / 48hrs de 

investigación (Honeynet 

Project) 

Navegador 

Remoto 

SSL / ACL 

TASK / 

Autopsy 

Forense 


Sistema de Archivos 

• Depende del 

sistema de archivos 

(FAT16, FAT32, 

NTFS, EXT2FS2) 

ARCHIVO NUEVO 

SLACK 

CLUSTER 

TRACK 


Forense a “Word” 

• W97: PID_GUID contiene dirección MAC 

• W2K: Usuarios que han guardado el documento 

administrator D:\GMvita_espa.ol-corto.doc 

admistrator.5 C:\TEMP\AutoRecovery save of GMvita_espa.ol-corto.asd 

GMHoward,K:\personal\resumes\GMvita_espa.ol-corto.do.c 

Gaspar Modelo Howard E:\personal\resumes\GMvita_espa.ol-corto-011116.doc 

Gaspar Modelo Howard C:\Documents and Settings\gmhoward\Application 

Data\Microsoft\Word\AutoRecovery save of GMvita_espa.ol-corto-011116.asd 


Gaspar Modelo Howard - \\Centauri\D\GMvita_espa.ol-corto-020415.doc 





Técnica Anti-Forense 

• Objetivo: mitigar calidad y cantidad 

de información a investigar 

• Ocultar datos 

– Crear bloques defectuosos (bad blocks) 

• Destruir datos 

– The Defiler’s Toolkit 

• Criptografía (cifrar) 


Técnica Anti-forense 

• Cómo limpiar un HDD? 

• Necesario para utilizar nuevamente un HDD 

• Ejemplos: 

– Wipe, overwrite, 

BCWipe, PGP 

• Preferible que cumpla 

con alguna directriz: 

– DOD 5220.22-M 

– NAVSO P5239-10 

– AFI31-401 

– AR380-19 


Agenda 





– Honeypots 

– IDS 



Fuerzas Cohercitivas 

• CERT provee canal de comunicación 

• Ubicación de atacante probablemente 

proviene fuera del país 

• Papel del FBI (50% de ataques 

provienen de EEUU) 

– http://www.fbi.gov/contact/legat/legat.htm 


Qué pasa en América Latina? 

• 65% poseen ley de e-com 

• 40% poseen ley contra crimen 

informático 

• Caso Panamá 

– Ley de Comercio Electrónico 

– No hay ley de Crimen Computacional 

–Se han presentado casos basados 

en propiedad intelectual 

– Ley de transparencia 

– Dependencia tecnológica en aumento 


Mecanismos Proactivos 

• Publicaciones técnicas 

• Evaluaciones de Seguridad 

• Desarrollo de herramientas 

• Vigilar recursos 

–IDS 

– Keylogger 

• Entrenamiento 

– Honeypots 


Detección de Intrusos (IDS) 

• Puede prevenir incidentes 

•Evita largas investigaciones forenses 

• Caso real: 

– Empresa con 45,000 computadoras 

– IDS evitó caso de espionaje industrial 

– Empleado utilizando software instalado 

por competidor 

– Ayuda con gusanos y virus 

– Localiza filtraciones antes que se repliquen 

– Intentos de hacking a sitio web (soborno) 

– Ataque no fue exitoso 


Keylogger 

• Capacidad de adquirir secreto o llave 

criptográfica 

• Hardware vs software 

– KeyGhost 

– BO2K, SubSeven 

• United States v. Scarfo, 

Criminal No. 00-404 (D.N.J.) 

http://www.keyghost.com 


Honeypots 

• “Recurso informático cuyo valor está en ser 

indagado, atacado o comprometido” Honeynet Project 

• Cualquier paquete que llegue es sospecho 

(no debería recibir!) 

• Usos: 

– Entrenamiento de CERT 

– Predecir ataques 

– Encontrar nuevos “exploits” 

– Detener a los malos 

• Ejemplos: Honeyd, 

Mantrap, Especter 

Auditoria 

Honeypot 


Conclusiones 

(Principios Operativos) 

• CERT provee estructura a equipo de análisis 

forense 

• Necesario crear fidelidad y confianza 

• Establece expectativas continuamente 

• Sé proactivo 

– Una onza de prevención vale más que 100 

kilos de detección (seguridad por capas) 

• Entrena para un largo camino 

• Reto más grande: entorno cambiante, qué es 

una computadora? 


Bibliografía 

• 2002 CSI/FBI Computer Crime and Security Survey 

– http://www.gocsi.com/pdfs/fbi/FBI2002.pdf 

• Forum of Incident Response and Security Teams 

– http://www.first.org 

• Coordinación de Emergencias en Redes 

Teleinformáticas 

– http://www.arcert.gov.ar 

• APSIRT (ATT Peru) / Conferencias de Seguridad 

– http://apsirt.attla.com.pe/e2002/ 

• Mandia, K. Incident Response: Investigating 

Computer Crime. Osborne/McGraw-Hill. 2001. 


Bibliografía 

• Searching and Seizing Computers and Obtaining 

Electronic Evidence in Criminal Investigations 

– http://www.usdoj.gov/criminal/cybercrime/searching.html 

• United States v. Scarfo, Criminal No. 00-404 (D.N.J.) 

– http://www.epic.org/crypto/scarfo.html 

• National Industrial Security Program Operating 

Manual (NISPOM) 

– http://www.dss.mil/isec/nispom.htm 

• TASK / Autopsy Forensic Analysis 

– http://www.atstake.com/research/tools/index.html 

• Defeating Forensic Analysis on Unix, Phrack No. 59 

– http://www.phrack.org/phrack/59/p59-0x06.txt 


Agradecimiento 

• Asociación Costarricense de Auditores 

en Informática 

• Autoridad del Canal de Panamá 

– Depto. de Informática y Tecnología 


Muchas gracias! 

• URL: 

http://www.fisc.utp.ac.pa/gmhoward 

• Correo electrónico: 

gmhoward@pancanal.com

Cómputo Forense para un Equipo de Respuestas a Incidentes (CERT)

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?