Your SlideShare is downloading. ×
0
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Flisol2010
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Flisol2010

736

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
736
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
42
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1.  
  • 2. <ul><li>Estudiar los incidentes de seguridad que se presentan en la Honeynet de la UTPL, a través de la aplicación de una metodología de Análisis Forense. </li></ul><ul><li>Analizar y comprender que actividades han sido realizadas por los atacantes cuando han logrado ingresar a los Honeypots a través de técnicas y herramientas de Análisis Forense. </li></ul><ul><li>Generar un recurso de investigación que permita conocer las acciones de una intrusión. </li></ul><ul><li>Difundir los resultados obtenidos al grupo de seguridad. </li></ul>
  • 3. El único sistema seguro es aquel que está totalmente apagado, desconectado, guardado en una caja fuerte de titanio, encerrado en un búnker de concreto rodeado de gas venenoso rodeado por guardias muy bien armados y aun así no apostaría mi vida por él.
  • 4. <ul><li>Se define Análisis Forense Digital a la aplicación de técnicas analíticas y científicas e infraestructura tecnológica para identificar, preservar, analizar y presentar datos que sean válidos en procedimiento legal. </li></ul><ul><li>  </li></ul><ul><li>Dentro del Análisis Forense Digital se destacan las siguientes fases: </li></ul><ul><li>  </li></ul><ul><li>Identificación del incidente. </li></ul><ul><li>Recopilación de evidencias. </li></ul><ul><li>Preservación de la evidencia. </li></ul><ul><li>Análisis de la evidencia. </li></ul><ul><li>Documentación y presentación de los resultados. </li></ul>
  • 5. <ul><li>E n principio un incidente de este tipo se entendía como cualquier evento anómalo que pudiese afectar a la seguridad de la información. Actualmente un Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos. </li></ul><ul><li>Incidentes de Denegación de Servicios (DoS) </li></ul><ul><ul><li>Incidentes de código malicioso </li></ul></ul><ul><ul><li>Incidentes de acceso no autorizado </li></ul></ul><ul><ul><li>Incidentes por uso inapropiado </li></ul></ul><ul><ul><li>Incidente múltiple </li></ul></ul>
  • 6. <ul><li>Infracciones a la Propiedad Intelectual </li></ul><ul><li>Falsedades </li></ul><ul><ul><li>Robo de secretos industriales </li></ul></ul><ul><ul><li>Sabotajes informáticos. </li></ul></ul><ul><ul><li>Fraudes informáticos. </li></ul></ul><ul><ul><li>Amenazas. </li></ul></ul><ul><ul><li>Calumnias e injurias. </li></ul></ul><ul><ul><li>Pornografía infantil. </li></ul></ul><ul><ul><li>CiberAcosos. </li></ul></ul><ul><ul><li>Terrorismo. </li></ul></ul><ul><ul><li>Narcotráfico. </li></ul></ul><ul><ul><li>Infidelidades – Adulterios. </li></ul></ul><ul><ul><li>Homicídios. </li></ul></ul><ul><ul><li>Secuestros. Medio Tecnológico. </li></ul></ul>
  • 7. <ul><li>Luego de haber sido comprometido, administradores intentan devolver su sistema a su estado normal lo más rápido posible. </li></ul><ul><li>El siguiente paso es la recolección de evidencias </li></ul><ul><li>Realizar apuntes detallados de todas las actividades que se realicen sobre los sistema comprometidos – fecha y hora de inicio y fin - características de equipos – fotografías – </li></ul><ul><li>Conservar la evidencia, hay que tener bastante cuidado en no alterar ni modificar las mismas. </li></ul><ul><li>Recolección de evidencias sobre el sistema “vivo” o “muerto” </li></ul><ul><li>“ VIVO” -&gt; conexiones de red activas, contenido de la memoria RAM, procesos en ejecución, puerto TCP/UDP abiertos, usuarios conectados remota y localmente. Almacenar en discos externos </li></ul>
  • 8. <ul><li>Recopilar la información contenida en los discos duros. </li></ul><ul><li>Se debe realizar una imagen del disco , creando una copia bit-a-bit del disco original preservando toda la información que contenga, incluyendo los bloques de los ficheros eliminados, espacio libre. </li></ul><ul><li>Las herramientas que permiten la obtención de este tipo de imágenes en entornos LINUX es dd que además permite la obtención de hash MD5 de la copia. </li></ul><ul><li>En WINDOS la herramienta que permite obtener este tipo de copias es FTK Imager que además permite la obtención en diferentes tipos de extensiones para su análisis en herramientas comerciales. (encase, helix) </li></ul>
  • 9. <ul><li>Como me voy a llevar las cosas y cual es la mejor forma. </li></ul><ul><li>Se debe seguir un proceso metódico para la preservación: </li></ul><ul><li>2 copias de las evidencias obtenidas y generar una suma de comprobación de integridad de cada copia mediante el empleo de funciones hash tal como MD5 o SHA1 </li></ul><ul><li>Etiquetar las copias con un nombre identificativo para cada copia, fecha y hora de la creación de la copia, datos de la persona que realizó esta operación y las firmas de integridad. </li></ul><ul><li>Mantener la cadena de custodia establecer responsabilidades y controles a cada una de las personas que tengan acceso a las evidencias. </li></ul><ul><li>Todas estas medidas harán que el acceso a la evidencia sea muy restrictivo y quede claramente documentado. </li></ul>
  • 10. <ul><li>El objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque. </li></ul><ul><li>Este análisis se dará por concluido cuando se conozca como se produjo el ataque que daños causaron, etc. </li></ul><ul><li>Preparación del entorno de trabajo. Equipamiento y Kit de software necesarios. </li></ul><ul><li>Evaluación del impacto causado en el sistema: </li></ul><ul><ul><li>Ataque Activos </li></ul></ul><ul><ul><li>Ataques pasivos </li></ul></ul><ul><li>Este informe consiste en una exposición detallada del análisis efectuado. Describir en profundidad la metodología, técnicas y hallazgos del equipo forense. </li></ul>
  • 11. <ul><li>Computadoras </li></ul><ul><li>PDAs </li></ul><ul><li>Cámaras digitales </li></ul><ul><li>Discos duros </li></ul><ul><li>USB </li></ul><ul><li>Memory Stics </li></ul><ul><li>Impresoras </li></ul><ul><li>Celulares </li></ul>
  • 12. &nbsp;
  • 13. File Checksum Integrity Verifier (FCIV) es una herramienta de símbolo de sistema que calcula y comprueba los valores hash criptográficos de los archivos. FCIV puede calcular valores hash criptográficos MD5 o SHA-1. Estos valores pueden mostrarse en pantalla o almacenarse en una base de datos de archivos XML para su posterior uso y comprobación. DESCARGAR DE: http://support.microsoft.com/kb/841290   WRR: Windows Registry Recovery es una aplicación que permite ver el contenido de los ficheros de registro como SAM de Windows para poder obtener los usuarios y grupos del sistema y los demás archivos del directorio Windowssystem32config.   DUMPEVT es una utilidad que permite volcar a texto los ficheros de eventos de los sistemas Windows, esta utilidad me ha permitido obtener en texto los ficheros de eventos de seguridad, eventos de aplicación y eventos
  • 14. de sistema de la maquina atacada. DESCARGAR DE: http://www.brothersoft.com/dumpevt-download-86717.html Visor de sucesos de Windows: Es una herramienta incluida en Windows XP y versiones superiores, con la cual es posible explorar los eventos registrados en los archivos de eventos de una maquina con Windows.   Idex.dat analyzer: Herramienta que recolecta los archivos index.dat de los usuarios del sistema y presenta una lista detallada de las páginas que han sido accedidas. DESCARGAR DE: http://index-dat-analyzer.softonic.com/descargar   Rifiuti: Herramienta de análisis forense que nos ayudará a examinar los archivos que se encuentran en la papelera de reciclaje. DESCARGAR DE : http://sourceforge.net/projects/odessa/files
  • 15. <ul><li>Es una colección de herramientas forenses para entonos UNIX/Linux . Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd. Incluye funciones como registro de caso separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, permite buscar datos dentro de las imagenes por palabra clave, permite crear notas del investigador y genera informes. </li></ul><ul><li>Este toolkit pude trabajar conjuntamente con el Autopsy Forensic Browser, es una interfáz gráfica que facilita la tarea a la par que muestra vistosas salidas gráficas para su informe. </li></ul><ul><li>Es una poderosa herramienta forense para organizar y estudiar sus evidencias. Descargar del sitio Web http://www.sleuthkit.org </li></ul>
  • 16. &nbsp;
  • 17. <ul><li>Consiste en una colección de herramientas forenses para entonos UNIX/Linux . Puede analizar archivos de datos de evidencias generadas con utlidades de disco como por ejemplo dd. </li></ul><ul><li>Incluye funciones como registro de caso separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, permite buscar datos dentro de las imagenes por palabra clave, permite crear notas del investigador e incluso genera informes. </li></ul><ul><li>Este toolkit pude trabajar conjuntamente con el Autopsy Forensic Browser, consistente en una interfáz gráfica que le facilitará notablemente su labor a la par que le mostrará vistosas salidas gráficas para su informe. </li></ul><ul><li>Para analizar sus datos empleando este ToolKit dedique el tiempo necesario a su configuración inicial, que luego agradecerá, pues dispondrá de una poderosa herramienta forense para organizar y estudiar sus evidencias. Descargar del sitio Web http://www.e-fense.com/helix/ . </li></ul>
  • 18. <ul><li>F.I.R.E Forensics and Incident Response Environment </li></ul><ul><li>Life CD de respuesta ante incidentes y análisis forense compuesto por una distribución linux a las que se le han añadido una serie de utilidades de seguridad, tiene una interfaz gráfica que faciilita su uso. </li></ul><ul><li>Las herramientas que posee F.I.R.E son conocidas, se puede encontrar las siguientes: </li></ul><ul><ul><ul><li>Nessus, nmap, whisker, hping2, hunt, fragrouter. </li></ul></ul></ul><ul><ul><ul><li>Ethereal, Snort, tcpd </li></ul></ul></ul><ul><ul><ul><li>Chkrootkit, </li></ul></ul></ul><ul><ul><ul><li>TCT, Autopsy. </li></ul></ul></ul><ul><ul><ul><li>Testdisk, fdisk, gpart. </li></ul></ul></ul><ul><ul><ul><li>SSH (cliente y servidor), VNC (cliente y servidor) </li></ul></ul></ul><ul><ul><ul><li>Mozilla, IRC. </li></ul></ul></ul><ul><li>Ofrece dos modos de funcionamiento. Windows – Linux. Descargar del sitio Web http://biatchux.dmzs.com </li></ul>
  • 19. <ul><li>La mejor forma de evitar situaciones engorrosas de fraudes, robo y siniestros informáticos es estableciendo controles, pero por sobre todo, promover una cultura de seguridad en las organizaciones. </li></ul><ul><li>Capacitar continuamente al personal de la empresa para fomentar y mejorar la cultura organizativa con el propósito de establecer objetivos de control para que a su vez esto contribuya a la obtención y cumplimiento de metas y objetivos institucionales. </li></ul><ul><li>Se recomienda instalar los parches de seguridad que están disponibles en la Web para cada vulnerabilidad encontrada en los equipos. </li></ul><ul><li>Mantener una política de seguridad proactiva, se debe escanear periódicamente nuestra máquina con un escáner de vulnerabilidades e instalar un IDS para interpretar algún posible ataque. </li></ul>
  • 20. <ul><li>Con este proyecto se ha pretendido realizar una primera incursión en el apasionante y novedoso mundo del Análisis Forense Digital, exponiendo aquellas características y particularidades propias de esta disciplina de la seguridad informática. Se ha enfocado el tema desde el punto de vista de una herramienta indispensable que toda organización debe contemplar dentro de su política de seguridad y enmarcada dentro del proceso de respuesta a incidentes en los sistemas informáticos. </li></ul><ul><li>Se ha intentado destacar la necesidad imperiosa de aplicar metodologías y procedimientos específicos con el fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense, haciendo hincapié en la recopilación y custodia de las evidencias digitales. </li></ul><ul><li>Las herramientas Open Source de análisis forense son de valiosa importancia en el campo de la educación ya que permite a nuestro investigadores realizar primeros acercamientos a la metodología utilizada.. </li></ul>
  • 21. Henry F. Montalván [email_address] Telecomunicaciones – Seguridad Informática

×