Informática Forense - LDC - Universidad Simón Bolívar
Anuncio
Informática Forense Prof. Wílmer Pereira USB / UCAB / UCV Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Objetivos de la Seguridad Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta efectiva ante ataques y pérdidas Servicios Mecanismos Confidencialidad Autentificación Integridad No repudio Autorización Disponibilidad Universidad Católica Andrés Bello Universidad Simón Bolívar Politicas Cifrado Firma Digital Firewall VPN IDS Prof. Wílmer Pereira Jornadas de Informática 2011 Informática Forense Ciencia Cienciaque queapoyada apoyadaen enlalaevidencia evidenciadigital, digital,procura procuradescubrir descubrireeinterpretar interpretar lalainformación informaciónpara paraesclarecer esclarecerlos loshechos hechosyyformular formularhipótesis hipótesis Evidencia Digital: – – – Correos, archivos e imágenes Históricos y archivos de configuración Hojas de cálculo, bases de datos, etc. Error Errorepisodio episodioCSI CSI(2005) (2005) Greg GregSander Sanderleyó leyócorreos correos de deun uncomputador computadoren enuna una escena escenadel delcrimen crimen Debe considerarse que puede ser duplicada, eliminada y alterada Procedimientos: – – – Esterilidad para evitar contaminación Verificación y resguardo mediante firma digital Mantenimiento de la cadena de custodia (quien la entregó, como, …) Herramientas: – Propietarias y código abierto (http://www.evidence.info/vendors.html) Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Actores en Informática Forense Intruso Administrador Investigador En general todos especialistas en informática Hacking Término Términoacuñado acuñadoen enMIT MITalrededor alrededorde de1959 1959… …Inicialmente Inicialmente acuñado acuñadoaadesarrolladores desarrolladoresde deaplicaciones aplicacionessofisticadas sofisticadas Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia técnica para explorar sistemas y diagnosticar fallas. Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de información para su beneficio personal – – – Ciberterrorista Script kiddies Desarrolladores de virus Universidad Católica Andrés Bello Universidad Simón Bolívar – Phreakers – Crackers – Atacante interno Prof. Wílmer Pereira Jornadas de Informática 2011 Hackers Argumento con los que se autojustifica un hacker … Mostrar debilidades de los sistemas La información debe circular libremente sin censura Practicar hacking permite adquirir habilidades Los hackers protegen al ciudadano de la presencia del gobierno fuertemente regulador del cual se debe desconfiar Se consideran una subcultura revolucionaria que atrae la admiración de los adolescentes … todos son rebatible pero … hay problema en la legislación … Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Código ético de hackers Estos son los principios éticos de la comunidad underground: Protege a los datos y el hardware. Respeta y protege la privacidad. Utiliza lo que otros derrochan. Promueve el derecho a las comunicación de todas las personas y en todo el mundo. Evita dejar rastros. Ante todo, ¡discreción!. Comparte los datos y el software. Vigila la cybertiranía. Poner a prueba la seguridad y la integridad de todos los sistemas informáticos a tu alcance. Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Hackers famosos Bill Gates: Desarrolló lenguajes para computadores de juegos sin embargo abandonó el movimiento al fundar Microsoft Kevin Mitnick: Substrajo información de varias empresas y fue perseguido por el FBI y una víctima hasta su última captura (1995). La sentencia le prohibe acceder a cualquier aparato electrónico Richard Stallman: Trabajó en MIT hasta que fundó FSF (Free Software Foundation). Generó la filosofía copyleft Onel de Guzmán. Estudiante de un instituto filipino autor de virus IloveYou. Atacó 50 millones de computadores con pérdidas de 5.500 millones de dólares Johan Helsingius: Creador del reenviador del correo anónimo. Problemas con la justicia por denuncia de la iglesia ¨cientología¨ Hackers chilenos: ataques al gobierno peruano y venezolano. Capturados primera semana Nov/2006, Leonardo Hernández (23 años) … Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Implicaciones legales Es comun escuchar que los hackers se hacen famosos y luego obtienen trabajos excelentemente remunerados ?Cómo evitar que empresas contraten hackers de sombrero negro? Los cuerpos policiales y fiscales disponen de pocos medios técnicos y equipos especializados para levantar eficazmente las pruebas de los casos Muchas leyes una vez publicadas en gaceta no se usan y aplican por falta de recursos (Decreto-Ley sobre Mensajes de Datos y Firmas Digitales). Promulgada en febrero del 2001 y con un fuerte rol de la Superintendencia de Servicios de Certificación Electrónica. Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Echelon La mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia (película Enemigo Público ...) Puede capturar comunicaciones por radio, satélite llamada de teléfono, faxes y e-mails Incluye análisis automático y clasificación de la información (tres mil millones por día ...) Originalmente para la guerra fría y oficialmente se sigue usando para combatir el terrorismo y el narcotráfico pero extraoficialmente espionaje económico e invasión de la privacidad a gran escala. La comunidad la conforman USA (NSA), Reino Unido (GCHQ), Canada (CSE), Australia (DSD) y Nueva Zelandia (GCSB) Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Modelos de Ataques E R E R I I Intercepción E R E R I I Fabricación Interrupción Universidad Católica Andrés Bello Universidad Simón Bolívar E: Emisor R: Receptor I: Intruso Modificación Prof. Wílmer Pereira Jornadas de Informática 2011 Fases de una Auditoría o Ataque El atacante o auditor del sistema: Reconocimiento general: Recolección de datos por Internet (whois) Revisión del sistema atacado Enumeración de servicios (nmap) Vulneración del sistema: Comprometer el sistema, servicios o programas Escalar los privilegios Mantener el control (troyanos) Eliminación y transferencia: Borrado de rastros manteniendo el control Busqueda de otras máquinas a partir de la atacada Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Página de interes ... Auditoría y hacking benéfico: http://www.phrack.org (volumen 11, número 59: Antiforense ...) http://www.insecuremag.com http://www.cgisecurity.com Herramientas forenses: Encase: http://www.encase.com/products/ef_index.asp Forensic toolkit: http://www.accessdata.com/products/utk Winhex: http://www.x-ways.net/forensic/index-m.html Sleuth Kit: http://www.sleuthkit.org (open source) Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Administrador ... Responsable del buen desempeño del sistema operativo, la seguridad, la red, las aplicaciones instaladas, los programas de clientes, la base de datos ... Los roles pueden estar separados dependiendo de la talla de la institución. Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas. Se requiere capacidad técnica y experiencia. No basta que funcione … debe ser de manera confiable ... La transparencia que ofrece el modelo Web, facilita el desarrollo de aplicaciones pero es un modelo más vulnerable. La auditoría y logs son vitales para el buen funcionamiento de los sistemas Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 VPN (Virtual Private Network) Conexión Conexiónaatravés travésde deWAN WANque quesimula simulaun uncanal canaldedicado, dedicado, mediante mediantecifrado, cifrado,por porlo loque queemula emulaun uncircuito circuitovirtual virtual Usos: Usos Más barato que un canal dedicado Acceder localmente servidores situados remotos (transparencia) Cliente que remotamente accede de manera segura a su LAN (privacidad) Tipos de VPN: VPN Cliente/Red: Cliente se conecta usando la red, a través de un ISP, vía protocolo VPN, (modos transparente o no transparente) Red/Red: Conectar LAN’s Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 VPN Cliente/Red (1) Con ISP Transparente Web ISP Cliente PPTP WAN E-mail Servidor PPTP . . . (2) Hacia LAN no transparente Servidor PPTP WAN Cliente PPTP LAN Corporativa Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 VPN Red/Red C/S PPTP WAN C/S PPTP LAN Corporativa LAN Corporativa Protocolos de Tunneling: Tunneling PPTP: Desarrollado por Microsoft a partir de PPP Encapsula tramas IP con un encabezado PPTP L2F: Propuesto por CISCO Tunneling dinámico (se abre sólo a la conexión) L2TP: CISCO + Microsoft (IETF) Configurable (IP o cualquier otro protocolo de red) Usa IPsec Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Firewall Controlador Controladorde detráfico tráficoentre entrela lared redinterna internayyla lared redexterna externa Filtra Filtrapaquetes paquetessobre sobreun unúnico únicopunto puntode deentrada entrada Cuidado con las puertas traseras .... Conexiones vía modem Enlaces inalámbricos Internet Uno o varios routers o máquinas bastiones Firewall LAN Corporativa Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Capacidades de un Firewall Virtudes: Virtudes Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List) Estadísticas de tráfico y prevención de problemas Debilidades: Proteger contra usuarios maliciosos internos Amenazas no previstas en el ACL Normalmente no protege contra virus (el filtrado sería muy lento) Tipos de Firewalls Firewall de Red: Firewall de Aplicación: Firewall de Kernel: Universidad Católica Andrés Bello Universidad Simón Bolívar router de protección proxy dependiente de las aplicaciones (clásico o transparente) corre con el SOP (iptables para linux) Prof. Wílmer Pereira Jornadas de Informática 2011 Funcionalidades de un Firewall Filtrado: Filtrado IP fuente y destino (encabezado IP) Tipo de protocolo (encabezado IP) Puerto fuente y destino (encabezado TCP o UDP) Bit de ack (encabezado TCP) Políticas: Políticas lo que no está expresamente permitido está prohibido lo que no está expresamente prohibido está permitido Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Arquitecturas de Firewalls (1) (2) Router Router ACL ACL LAN LAN Router + Proxy Bastion LAN Corporativa Internet Internet Perímetro de Seguridad Router Externo (3) Router Interno Internet Bastion LAN Corporativa Perímetro de seguridad Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Sistema de Detección de Intrusos (IDS) Sniffer Snifferinteligente inteligentepara paramonitoreo monitoreode desegmentos segmentosde dered red ante anteataques ataquescon conuna unaoovarias variasmáquinas máquinassensores sensoresyy una unaestación estaciónadministradora administradora Por defecto se puede colocar en un concentrador (hub), máquina a dos tarjetas de red y es posible en switches con puerto promiscuo. A diferencia de los firewall, un IDS tiene “memoria” es decir revisa secuencias de paquetes, tramas o segmentos Vulnerable a falsos positivos (falsas alarmas) o falsos negativos (ataques indetectados) La herramienta más conocida, código abierto, es SNORT aunque se clasifican dependiendo del ámbito de protección Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 IDS de máquinas Verificador de integridad: chequea si archivos vitales son modificados. Para ello calcula hash (MD5 o SHA-2) y se almacena en un dispositivo externo (CDRom, DVD, Cinta, etc) TRIPWIRE Monitor de registros: chequea históricos del sistema generados por los demonios SWATCH, TCPWRAPER, … Honey pot: Simula problemas en una máquina para registrar actividades del intruso FAKEBO Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 IDS por Detección de Uso Indebido Se Seconocen conocenlos lospatrones patronesde deataques ataquesque quese semantienen mantienenen enun un base basede dedatos datosdinámica dinámicaes esdecir decirdetecta detectalo loque quese sesabe sabede deantemano antemano que quees esuna unaintrusión intrusión(conocimiento (conocimientonegativo) negativo) No genera ni un solo falso positivo pero puede tener falsos negativos (ataques indetectados), lo cual es nefasto. Su principal inconveniente es que no es capaz de aprender o adaptarse rápidamente. Además un ataque se da a conocer a la base de datos una vez que causa daños en alguna LAN Se desenvuelve con sistema expertos, autómatas de estado finito, concordancia de patrones o modelos (escenarios) Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 IDS por Detección de Anomalías Suponer Suponerque quecualquier cualquiercomportamiento comportamientofuera fueradel deltráfico tráficonormal normales es un unataque. ataque. Esto Estoimplica implicaque quese sedebe debeconocer conocerlo lonormal normal (conocimiento (conocimientopositivo) positivo)yylo loque queeste estefuera fuerade deeste este contexto contextode denormalidad normalidades esuna unaintrusión intrusión Genera inicialmente muchos falsos positivos hasta que se parametrice a la normalidad de la LAN. Con certeza no dejará pasar ningún falso negativo … Sin embargo ¿ Cómo se define el tráfico normal ? Lincoln Lab (MIT) Aprendizaje Indicación explicita de la normalidad Gramáticas especificando comportamientos Menos común que los IDS por detección de uso indebido Un IDS no tiene por que ser exclusivamente de detección de uso indebido o detección de anomalías http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/ Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Investigador ... Identificación -- Inicio de la cadena de custodio Preservación – Integridad de la evidencia física y digital Análisis – Revisión exhaustiva de la evidencia Presentación – Informe lo menos técnico posible. Certificaciones: IACIS: Programas de certificación forense CFCE HTCN, IISFA, ISFCE, etc ... Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011 Competencia simulación de juicio Grupo interdisciplinario de estudiantes de informática, derecho y comunicación social Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía, defensa, peritos de la defensa y comunicadores sociales Varias universidades, con sus equipos, conforman juicios simultaneos donde se desarrolla el mismo caso Sólo el juez será un actor externo, de hecho jueces en ejercicio o jubilados Cada equipo es puntuado por evaluadores externos y se suman los puntos de los 5 equipos de cada universidad. La que obtenga mayor puntuación es la universidad ganadora Universidad Católica Andrés Bello Universidad Simón Bolívar Prof. Wílmer Pereira Jornadas de Informática 2011
