Upload
lethu
View
221
Download
2
Embed Size (px)
Citation preview
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Informática ForenseInformática Forense
Prof. Wílmer Pereira
USB / UCAB / UCV
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Objetivos de la SeguridadObjetivos de la Seguridad
Servicios Mecanismos
Confidencialidad PoliticasAutentificación CifradoIntegridad Firma Digital No repudio FirewallAutorización VPNDisponibilidad IDS
Definir mecanismos y arquitecturas para tener ambientes seguros con respuesta
efectiva ante ataques y pérdidas
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis
Ciencia que apoyada en la evidencia digital, procura descubrir e interpretar la información para esclarecer los hechos y formular hipótesis
Informática ForenseInformática Forense
Evidencia Digital: – Correos, archivos e imágenes– Históricos y archivos de configuración– Hojas de cálculo, bases de datos, etc.Debe considerarse que puede ser duplicada, eliminada y alterada
Procedimientos: – Esterilidad para evitar contaminación– Verificación y resguardo mediante firma digital– Mantenimiento de la cadena de custodia (quien la entregó, como, …)
Herramientas: – Propietarias y código abierto (http://www.evidence.info/vendors.html)
Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen
Error episodio CSI (2005)Greg Sander leyó correos de un computador en una escena del crimen
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas
Término acuñado en MIT alrededor de 1959 … Inicialmente acuñado a desarrolladores de aplicaciones sofisticadas
HackingHackingIntruso Administrador InvestigadorEn general todos especialistas en informática
Actores en Informática ForenseActores en Informática Forense
Hackers de sombrero blanco: Personas cuyo motivo es aumentar su experticia técnica para explorar sistemas y diagnosticar fallas.
Hackers de sombrero negro: Son la peor faceta del sentido de los hackers. Son delincuente que se apropian de información para su beneficio personal
– Ciberterrorista – Phreakers– Script kiddies – Crackers– Desarrolladores de virus – Atacante interno
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Argumento con los que se autojustifica un hacker …Mostrar debilidades de los sistemasLa información debe circular libremente sin censuraPracticar hacking permite adquirir habilidadesLos hackers protegen al ciudadano de la presencia del gobierno fuertemente regulador del cual se debe desconfiar
… … todos son rebatible pero … hay problema en la legislación …todos son rebatible pero … hay problema en la legislación …
Se consideran una subcultura revolucionaria que atrae la admiración de los adolescentes
HackersHackers
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Estos son los principios éticos de la comunidad underground:Protege a los datos y el hardware. Respeta y protege la privacidad. Utiliza lo que otros derrochan. Promueve el derecho a las comunicación de todas las personas y en todo el mundo. Evita dejar rastros. Ante todo, ¡discreción!. Comparte los datos y el software. Vigila la cybertiranía. Poner a prueba la seguridad y la integridad de todos los sistemas informáticos a tu alcance.
Código ético de hackersCódigo ético de hackers
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Hackers famososHackers famosos
Bill Gates: Desarrolló lenguajes para computadores de juegossin embargo abandonó el movimiento al fundar Microsoft
Kevin Mitnick: Substrajo información de varias empresas y fue perseguidopor el FBI y una víctima hasta su última captura (1995). La sentencia le prohibe acceder a cualquier aparato electrónico
Richard Stallman: Trabajó en MIT hasta que fundó FSF (Free Software Foundation). Generó la filosofía copyleft
Onel de Guzmán. Estudiante de un instituto filipino autor de virus IloveYou. Atacó 50 millones de computadores con pérdidas de 5.500 millones de dólares
Johan Helsingius: Creador del reenviador del correo anónimo. Problemas con la justicia por denuncia de la iglesia ¨cientología¨
Hackers chilenos: ataques al gobierno peruano y venezolano. Capturados primera semana Nov/2006, Leonardo Hernández (23 años) …
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Implicaciones legalesImplicaciones legales
Es comun escuchar que los hackers se hacen famosos y luegoobtienen trabajos excelentemente remunerados ?Cómo evitarque empresas contraten hackers de sombrero negro?
Los cuerpos policiales y fiscales disponen de pocos mediostécnicos y equipos especializados para levantar eficazmente las pruebas de los casos
Muchas leyes una vez publicadas en gaceta no se usan y aplican por falta de recursos (Decreto-Ley sobre Mensajes de Datos y Firmas Digitales). Promulgada en febrero del 2001 y con un fuerterol de la Superintendencia de Servicios de Certificación Electrónica.
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
EchelonEchelonLa mayor red de espionaje y análisis para
interceptar comunicaciones electrónicas dela historia (película Enemigo Público ...)
Puede capturar comunicaciones por radio, satélite llamada de teléfono, faxes y e-mails
Incluye análisis automático y clasificación de la información (tres mil millones por día ...)
Originalmente para la guerra fría y oficialmente se sigue usando para combatir el terrorismo y el narcotráfico pero extraoficialmente espionaje económico e invasión de la privacidad a gran escala.
La comunidad la conforman USA (NSA), Reino Unido (GCHQ), Canada (CSE), Australia (DSD) y Nueva Zelandia (GCSB)
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Intercepción Modificación
Fabricación Interrupción
E: EmisorR: ReceptorI: Intruso
R EE
EE
R
R R
I I
II
Modelos de AtaquesModelos de Ataques
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Fases de una Auditoría o AtaqueFases de una Auditoría o AtaqueEl atacante o auditor del sistema:
Reconocimiento general:Recolección de datos por Internet (whois)Revisión del sistema atacadoEnumeración de servicios (nmap)
Vulneración del sistema:Comprometer el sistema, servicios o programasEscalar los privilegiosMantener el control (troyanos)
Eliminación y transferencia:Borrado de rastros manteniendo el controlBusqueda de otras máquinas a partir de la atacada
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Página de interes ...Página de interes ...Auditoría y hacking benéfico:
http://www.phrack.org (volumen 11, número 59: Antiforense ...)
http://www.insecuremag.com
http://www.cgisecurity.com
Herramientas forenses:
Encase: http://www.encase.com/products/ef_index.asp
Forensic toolkit: http://www.accessdata.com/products/utk
Winhex: http://www.x-ways.net/forensic/index-m.html
Sleuth Kit: http://www.sleuthkit.org (open source)
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Administrador ...Administrador ...Responsable del buen desempeño del sistema operativo,
la seguridad, la red, las aplicaciones instaladas, los programas de clientes, la base de datos ...
Los roles pueden estar separados dependiendo de la talla de la institución.
Muchas veces el rol del administrador de seguridad se contrapone a las funcionalidades operativas.
Se requiere capacidad técnica y experiencia. No basta que funcione … debe ser de manera confiable ...
La transparencia que ofrece el modelo Web, facilita el desarrollo de aplicaciones pero es un modelo más vulnerable. La auditoría y logs son vitales para el buen funcionamiento de los sistemas
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
VPN VPN (Virtual Private Network)(Virtual Private Network)
Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual
Conexión a través de WAN que simula un canal dedicado,mediante cifrado, por lo que emula un circuito virtual
UsosUsos:Más barato que un canal dedicadoAcceder localmente servidores situados remotos (transparencia)Cliente que remotamente accede de manera segura a su LAN(privacidad)
Tipos de VPNTipos de VPN:Cliente/Red: Cliente se conecta usando la red, a través de un ISP,
vía protocolo VPN, (modos transparente o no transparente)
Red/Red: Conectar LAN’s
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
VPN VPN Cliente/RedCliente/Red
WANCliente PPTP
.
.
.
Web
Servidor PPTP
(1) Con ISP Transparente
(2) Hacia LAN no transparente
ISP
Servidor PPTP WAN
ClientePPTP
LAN Corporativa
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
VPN VPN Red/RedRed/Red
C/S PPTP WAN
C/SPPTP
LAN Corporativa LAN Corporativa
Protocolos de TunnelingProtocolos de Tunneling:PPTP: Desarrollado por Microsoft a partir de PPP
Encapsula tramas IP con un encabezado PPTP
L2F: Propuesto por CISCOTunneling dinámico (se abre sólo a la conexión)
L2TP: CISCO + Microsoft (IETF)Configurable (IP o cualquier otro protocolo de red)Usa IPsec
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
FirewallFirewall
Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada
Controlador de tráfico entre la red interna y la red externaFiltra paquetes sobre un único punto de entrada
Cuidado con las puertas traseras ....Conexiones vía modemEnlaces inalámbricos
Internet
Firewall Uno o varios routers o máquinas bastiones
LAN Corporativa
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Capacidades de un FirewallCapacidades de un FirewallVirtudesVirtudes:Ente centralizado que facilita la toma de decisiones de seguridad con la ACL (Access Control List)Estadísticas de tráfico y prevención de problemas
Debilidades:Debilidades:Proteger contra usuarios maliciosos internosAmenazas no previstas en el ACLNormalmente no protege contra virus (el filtrado sería muy lento)
Firewall de Red: router de protecciónFirewall de Aplicación: proxy dependiente de las aplicaciones
(clásico o transparente) Firewall de Kernel: corre con el SOP (iptables para linux)
Tipos de Firewalls
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Funcionalidades de un FirewallFuncionalidades de un Firewall
FiltradoFiltrado:IP fuente y destino (encabezado IP)Tipo de protocolo (encabezado IP)Puerto fuente y destino (encabezado TCP o UDP)Bit de ack (encabezado TCP)
PolíticasPolíticas:lo que no está expresamente permitido está prohibidolo que no está expresamente prohibido está permitido
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Arquitecturas de FirewallsArquitecturas de FirewallsRouter
ACL(1)(1) LAN Internet
LAN Corporativa
InternetBastion
Perímetro de Seguridad
Arquitecturas de FirewallsArquitecturas de FirewallsRouter
ACL(1)(1) LAN Internet
LAN Corporativa
Router +Proxy Internet(2)(2)
Perímetro de Seguridad
(3)(3)Router Interno
Router Externo
Bastion
Perímetro de seguridad
LAN Corporativa
Internet
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Sistema de Detección de Intrusos Sistema de Detección de Intrusos (IDS)(IDS)
Sniffer inteligente para monitoreo de segmentos de red ante ataques con una o varias máquinas sensores y
una estación administradora
Sniffer inteligente para monitoreo de segmentos de red ante ataques con una o varias máquinas sensores y
una estación administradora
Por defecto se puede colocar en un concentrador (hub),máquina a dos tarjetas de red y es posible en switches con puerto promiscuo.A diferencia de los firewall, un IDS tiene “memoria” es decir revisa secuencias de paquetes, tramas o segmentosVulnerable a falsos positivos (falsas alarmas) o falsos negativos (ataques indetectados)La herramienta más conocida, código abierto, es SNORTaunque se clasifican dependiendo del ámbito de protección
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
IDS de máquinasIDS de máquinas
Verificador de integridad: chequea si archivos vitales son modificados. Para ello calcula hash (MD5 o SHA-2)y se almacena en un dispositivo externo (CDRom, DVD,Cinta, etc) TRIPWIRETRIPWIRE
Monitor de registros: chequea históricos del sistema generados por los demonios SWATCH, TCPWRAPER, …SWATCH, TCPWRAPER, …
Honey pot: Simula problemas en una máquina para registrar actividades del intruso FAKEBOFAKEBO
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
IDS por Detección de Uso IndebidoIDS por Detección de Uso Indebido
Se conocen los patrones de ataques que se mantienen en un base de datos dinámica es decir detecta lo que se sabe de antemano
que es una intrusión (conocimiento negativo)
Se conocen los patrones de ataques que se mantienen en un base de datos dinámica es decir detecta lo que se sabe de antemano
que es una intrusión (conocimiento negativo)
No genera ni un solo falso positivo pero puede tener falsos negativos (ataques indetectados), lo cual es nefasto. Su principal inconveniente es que no es capaz de aprender o adaptarse rápidamente. Además un ataque se da a conocer a la base de datos una vez que causa daños en alguna LANSe desenvuelve con sistema expertos, autómatas de estado finito, concordancia de patrones o modelos (escenarios)
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
IDS por Detección de AnomalíasIDS por Detección de Anomalías
Suponer que cualquier comportamiento fuera del tráfico normal es un ataque. Esto implica que se debe conocer lo normal
(conocimiento positivo) y lo que este fuera de estecontexto de normalidad es una intrusión
Suponer que cualquier comportamiento fuera del tráfico normal es un ataque. Esto implica que se debe conocer lo normal
(conocimiento positivo) y lo que este fuera de estecontexto de normalidad es una intrusión
Genera inicialmente muchos falsos positivos hasta que separametrice a la normalidad de la LAN.
Con certeza no dejará pasar ningún falso negativo …Sin embargo ¿ Cómo se define el tráfico normal ? Lincoln Lab (MIT)
Aprendizaje Indicación explicita de la normalidadGramáticas especificando comportamientos
Menos común que los IDS por detección de uso indebido
Un IDS no tiene por que ser exclusivamente de detección de uso indebido o detección de anomalías
http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Investigador ...Investigador ...
Identificación -- Inicio de la cadena de custodio
Preservación – Integridad de la evidencia física y digital
Análisis – Revisión exhaustiva de la evidencia
Presentación – Informe lo menos técnico posible.
Certificaciones:
IACIS: Programas de certificación forense CFCE
HTCN, IISFA, ISFCE, etc ...
Universidad Católica Andrés BelloUniversidad Simón Bolívar
Prof. Wílmer Pereira Jornadas de Informática2011
Competencia simulación de juicioCompetencia simulación de juicio Grupo interdisciplinario de estudiantes de informática, derecho y
comunicación social
Cada universidad conforma 5 equipos: fiscalía, peritos de la fiscalía,
defensa, peritos de la defensa y comunicadores sociales
Varias universidades, con sus equipos, conforman juicios simultaneos
donde se desarrolla el mismo caso
Sólo el juez será un actor externo, de hecho jueces en ejercicio o
jubilados
Cada equipo es puntuado por evaluadores externos y se suman los
puntos de los 5 equipos de cada universidad. La que obtenga mayor
puntuación es la universidad ganadora