Informática Forense - LDC Noticiasldc.usb.ve/~wpereira/PDF/JornadasInformaticaForense.pdf ·...

Universidad Católica Andrés BelloUniversidad Simón Bolívar

Prof. Wílmer Pereira Jornadas de Informática2011

Informática ForenseInformática Forense

Prof. Wílmer Pereira

USB / UCAB / UCV



Objetivos de la SeguridadObjetivos de la Seguridad

Servicios Mecanismos

Confidencialidad PoliticasAutentificación CifradoIntegridad Firma Digital No repudio FirewallAutorización VPNDisponibilidad IDS

Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta

efectiva ante ataques y pérdidas



Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis

Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis

Informática ForenseInformática Forense

Evidencia Digital: – Correos, archivos e imágenes– Históricos y archivos de configuración– Hojas de cálculo, bases de datos, etc.Debe considerarse que puede ser duplicada, eliminada y alterada

Procedimientos: – Esterilidad para evitar contaminación– Verificación y resguardo mediante firma digital– Mantenimiento de la cadena de custodia (quien la entregó, como, …)

Herramientas: – Propietarias y código abierto (http://www.evidence.info/vendors.html)

Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen

Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen



Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas

Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas

HackingHackingIntruso Administrador InvestigadorEn general todos especialistas en informática

Actores en Informática ForenseActores en Informática Forense

Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia técnica para explorar sistemas y diagnosticar fallas.

Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de información para su beneficio personal

– Ciberterrorista – Phreakers– Script kiddies – Crackers– Desarrolladores de virus – Atacante interno



Argumento con los que se autojustifica un hacker …Mostrar debilidades de los sistemasLa información debe circular libremente sin censuraPracticar hacking permite adquirir habilidadesLos hackers protegen al ciudadano de la presencia del gobierno fuertemente regulador del cual se debe desconfiar

… … todos son rebatible pero … hay problema en la legislación …todos son rebatible pero … hay problema en la legislación …

Se consideran una subcultura revolucionaria que atrae la admiración de los adolescentes

HackersHackers



Estos son los principios éticos de la comunidad underground:Protege a los datos y el hardware. Respeta y protege la privacidad. Utiliza lo que otros derrochan. Promueve el derecho a las comunicación de todas las personas y en todo el mundo. Evita dejar rastros. Ante todo, ¡discreción!. Comparte los datos y el software. Vigila la cybertiranía. Poner a prueba la seguridad y la integridad de todos los sistemas informáticos a tu alcance.

Código ético de hackersCódigo ético de hackers



Hackers famososHackers famosos

Bill Gates: Desarrolló lenguajes para computadores de juegossin embargo abandonó el movimiento al fundar Microsoft

Kevin Mitnick: Substrajo información de varias empresas y fue perseguidopor el FBI y una víctima hasta su última captura (1995). La sentencia le prohibe acceder a cualquier aparato electrónico

Richard Stallman: Trabajó en MIT hasta que fundó FSF (Free Software Foundation). Generó la filosofía copyleft

Onel de Guzmán. Estudiante de un instituto filipino autor de virus IloveYou. Atacó 50 millones de computadores con pérdidas de 5.500 millones de dólares

Johan Helsingius: Creador del reenviador del correo anónimo. Problemas con la justicia por denuncia de la iglesia ¨cientología¨

Hackers chilenos: ataques al gobierno peruano y venezolano. Capturados primera semana Nov/2006, Leonardo Hernández (23 años) …



Implicaciones legalesImplicaciones legales

Es comun escuchar que los hackers se hacen famosos y luegoobtienen trabajos excelentemente remunerados ?Cómo evitarque empresas contraten hackers de sombrero negro?

Los cuerpos policiales y fiscales disponen de pocos mediostécnicos y equipos especializados para levantar eficazmente las pruebas de los casos

Muchas leyes una vez publicadas en gaceta no se usan y aplican por falta de recursos (Decreto-Ley sobre Mensajes de Datos y Firmas Digitales). Promulgada en febrero del 2001 y con un fuerterol de la Superintendencia de Servicios de Certificación Electrónica.



EchelonEchelonLa mayor red de espionaje y análisis para

interceptar comunicaciones electrónicas dela historia (película Enemigo Público ...)

Puede capturar comunicaciones por radio, satélite llamada de teléfono, faxes y e-mails

Incluye análisis automático y clasificación de la información (tres mil millones por día ...)

Originalmente para la guerra fría y oficialmente se sigue usando para combatir el terrorismo y el narcotráfico pero extraoficialmente espionaje económico e invasión de la privacidad a gran escala.

La comunidad la conforman USA (NSA), Reino Unido (GCHQ), Canada (CSE), Australia (DSD) y Nueva Zelandia (GCSB)



Intercepción Modificación

Fabricación Interrupción

E: EmisorR: ReceptorI: Intruso

R EE

EE

R

R R

I I

II

Modelos de AtaquesModelos de Ataques



Fases de una Auditoría o AtaqueFases de una Auditoría o AtaqueEl atacante o auditor del sistema:

Reconocimiento general:Recolección de datos por Internet (whois)Revisión del sistema atacadoEnumeración de servicios (nmap)

Vulneración del sistema:Comprometer el sistema, servicios o programasEscalar los privilegiosMantener el control (troyanos)

Eliminación y transferencia:Borrado de rastros manteniendo el controlBusqueda de otras máquinas a partir de la atacada



Página de interes ...Página de interes ...Auditoría y hacking benéfico:

http://www.phrack.org (volumen 11, número 59: Antiforense ...)

http://www.insecuremag.com

http://www.cgisecurity.com

Herramientas forenses:

Encase: http://www.encase.com/products/ef_index.asp

Forensic toolkit: http://www.accessdata.com/products/utk

Winhex: http://www.x-ways.net/forensic/index-m.html

Sleuth Kit: http://www.sleuthkit.org (open source)

http://www.sleuthkit.org/



Administrador ...Administrador ...Responsable del buen desempeño del sistema operativo,

la seguridad, la red, las aplicaciones instaladas, los programas de clientes, la base de datos ...

Los roles pueden estar separados dependiendo de la talla de la institución.

Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas.

Se requiere capacidad técnica y experiencia. No basta que funcione … debe ser de manera confiable ...

La transparencia que ofrece el modelo Web, facilita el desarrollo de aplicaciones pero es un modelo más vulnerable. La auditoría y logs son vitales para el buen funcionamiento de los sistemas



VPN VPN (Virtual Private Network)(Virtual Private Network)

Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual

Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual

UsosUsos:Más barato que un canal dedicadoAcceder localmente servidores situados remotos (transparencia)Cliente que remotamente accede de manera segura a su LAN(privacidad)

Tipos de VPNTipos de VPN:Cliente/Red: Cliente se conecta usando la red, a través de un ISP,

vía protocolo VPN, (modos transparente o no transparente)

Red/Red: Conectar LAN’s



VPN VPN Cliente/RedCliente/Red

WANCliente PPTP

.

.

.

Web

E-mail

Servidor PPTP

(1) Con ISP Transparente

(2) Hacia LAN no transparente

ISP

Servidor PPTP WAN

ClientePPTP

LAN Corporativa



VPN VPN Red/RedRed/Red

C/S PPTP WAN

C/SPPTP

LAN Corporativa LAN Corporativa

Protocolos de TunnelingProtocolos de Tunneling:PPTP: Desarrollado por Microsoft a partir de PPP

Encapsula tramas IP con un encabezado PPTP

L2F: Propuesto por CISCOTunneling dinámico (se abre sólo a la conexión)

L2TP: CISCO + Microsoft (IETF)Configurable (IP o cualquier otro protocolo de red)Usa IPsec



FirewallFirewall

Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada

Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada

Cuidado con las puertas traseras ....Conexiones vía modemEnlaces inalámbricos

Internet

Firewall Uno o varios routers o máquinas bastiones

LAN Corporativa



Capacidades de un FirewallCapacidades de un FirewallVirtudesVirtudes:Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List)Estadísticas de tráfico y prevención de problemas

Debilidades:Debilidades:Proteger contra usuarios maliciosos internosAmenazas no previstas en el ACLNormalmente no protege contra virus (el filtrado sería muy lento)

Firewall de Red: router de protecciónFirewall de Aplicación: proxy dependiente de las aplicaciones

(clásico o transparente) Firewall de Kernel: corre con el SOP (iptables para linux)

Tipos de Firewalls



Funcionalidades de un FirewallFuncionalidades de un Firewall

FiltradoFiltrado:IP fuente y destino (encabezado IP)Tipo de protocolo (encabezado IP)Puerto fuente y destino (encabezado TCP o UDP)Bit de ack (encabezado TCP)

PolíticasPolíticas:lo que no está expresamente permitido está prohibidolo que no está expresamente prohibido está permitido



Arquitecturas de FirewallsArquitecturas de FirewallsRouter

ACL(1)(1) LAN Internet

LAN Corporativa

InternetBastion

Perímetro de Seguridad

Arquitecturas de FirewallsArquitecturas de FirewallsRouter

ACL(1)(1) LAN Internet

LAN Corporativa

Router +Proxy Internet(2)(2)

Perímetro de Seguridad

(3)(3)Router Interno

Router Externo

Bastion

Perímetro de seguridad

LAN Corporativa

Internet



Sistema de Detección de Intrusos Sistema de Detección de Intrusos (IDS)(IDS)

Sniffer inteligente para monitoreo de segmentos de red ante ataques con una o varias máquinas sensores y

una estación administradora

Sniffer inteligente para monitoreo de segmentos de red ante ataques con una o varias máquinas sensores y

una estación administradora

Por defecto se puede colocar en un concentrador (hub),máquina a dos tarjetas de red y es posible en switches con puerto promiscuo.A diferencia de los firewall, un IDS tiene “memoria” es decir revisa secuencias de paquetes, tramas o segmentosVulnerable a falsos positivos (falsas alarmas) o falsos negativos (ataques indetectados)La herramienta más conocida, código abierto, es SNORTaunque se clasifican dependiendo del ámbito de protección



IDS de máquinasIDS de máquinas

Verificador de integridad: chequea si archivos vitales son modificados. Para ello calcula hash (MD5 o SHA-2)y se almacena en un dispositivo externo (CDRom, DVD,Cinta, etc) TRIPWIRETRIPWIRE

Monitor de registros: chequea históricos del sistema generados por los demonios SWATCH, TCPWRAPER, …SWATCH, TCPWRAPER, …

Honey pot: Simula problemas en una máquina para registrar actividades del intruso FAKEBOFAKEBO



IDS por Detección de Uso IndebidoIDS por Detección de Uso Indebido

Se conocen los patrones de ataques que se mantienen en un base de datos dinámica es decir detecta lo que se sabe de antemano

que es una intrusión (conocimiento negativo)

Se conocen los patrones de ataques que se mantienen en un base de datos dinámica es decir detecta lo que se sabe de antemano

que es una intrusión (conocimiento negativo)

No genera ni un solo falso positivo pero puede tener falsos negativos (ataques indetectados), lo cual es nefasto. Su principal inconveniente es que no es capaz de aprender o adaptarse rápidamente. Además un ataque se da a conocer a la base de datos una vez que causa daños en alguna LANSe desenvuelve con sistema expertos, autómatas de estado finito, concordancia de patrones o modelos (escenarios)



IDS por Detección de AnomalíasIDS por Detección de Anomalías

Suponer que cualquier comportamiento fuera del tráfico normal es un ataque. Esto implica que se debe conocer lo normal

(conocimiento positivo) y lo que este fuera de estecontexto de normalidad es una intrusión

Suponer que cualquier comportamiento fuera del tráfico normal es un ataque. Esto implica que se debe conocer lo normal

(conocimiento positivo) y lo que este fuera de estecontexto de normalidad es una intrusión

Genera inicialmente muchos falsos positivos hasta que separametrice a la normalidad de la LAN.

Con certeza no dejará pasar ningún falso negativo …Sin embargo ¿ Cómo se define el tráfico normal ? Lincoln Lab (MIT)

Aprendizaje Indicación explicita de la normalidadGramáticas especificando comportamientos

Menos común que los IDS por detección de uso indebido

Un IDS no tiene por que ser exclusivamente de detección de uso indebido o detección de anomalías

http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/



Investigador ...Investigador ...

Identificación -- Inicio de la cadena de custodio

Preservación – Integridad de la evidencia física y digital

Análisis – Revisión exhaustiva de la evidencia

Presentación – Informe lo menos técnico posible.

Certificaciones:

IACIS: Programas de certificación forense CFCE

HTCN, IISFA, ISFCE, etc ...



Competencia simulación de juicioCompetencia simulación de juicio Grupo interdisciplinario de estudiantes de informática, derecho y

comunicación social

Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía,

defensa, peritos de la defensa y comunicadores sociales

Varias universidades, con sus equipos, conforman juicios simultaneos

donde se desarrolla el mismo caso

Sólo el juez será un actor externo, de hecho jueces en ejercicio o

jubilados

Cada equipo es puntuado por evaluadores externos y se suman los

puntos de los 5 equipos de cada universidad. La que obtenga mayor

puntuación es la universidad ganadora

Informática Forense - LDC Noticiasldc.usb.ve/~wpereira/PDF/JornadasInformaticaForense.pdf ·...

Documents

Transcript of Informática Forense - LDC Noticiasldc.usb.ve/~wpereira/PDF/JornadasInformaticaForense.pdf ·...