Documentos de Académico
Documentos de Profesional
Documentos de Cultura
r3 Ejecutivo1 PDF
r3 Ejecutivo1 PDF
Resumen ejecutivo
Marzo de 2006
Introduccin
Este documento es el resumen ejecutivo en respuesta al reto de anlisis forense
lanzado por UNAM-CERT y RedIRIS en colaboracin con otras empresas en
Febrero de 2006 a travs de su pgina web
http://www.seguridad.unam.mx/eventos/reto/
El objetivo del mismo es el anlisis de un sistema Windows 2003 previamente
atacado y comprometido. Para ello, como nica informacin, se proporciona una
imagen (o copia) de dicho sistema.
Anlisis
Para la realizacin del anlisis se procedi a la instalacin de un entorno de
trabajo en el que, de forma segura y garantizando el no modificar la evidencia,
proceder a la ejecucin de las herramientas de anlisis forense seleccionadas, la
mayora de carcter pblico y accesibles en la red.
El detalle del trabajo tcnico realizado se describe en el informe tcnico, si bien
es interesante resaltar la cantidad de tiempo empleado en el mismo (un mnimo
de 5 jornadas/hombre de trabajo). Esto demuestra que, aunque muchas veces
los hackers justifican sus acciones diciendo que en realidad no hacen dao al
sistema, las horas de trabajo perdidas nicamente en analizar que esto es
verdad producen un dao econmico importante.
Pg. 1
Resumen ejecutivo
Pg. 2
Resumen ejecutivo
Pg. 3
Resumen ejecutivo
Solucin al incidente
Como consecuencia del ataque, el sistema y la informacin en l contenida han
quedado completamente comprometidas. Aunque se ha identificado el origen de
la intrusin y el detalle de la actividad realizada, no podemos estar
absolutamente seguros de que no haya otros cambios que han pasado
desapercibidos a la investigacin forense. Por tanto, para recuperarse de la
intrusin y conseguir un sistema completamente seguro los pasos recomendables
seran, si ello es posible:
Reinstalar una versin limpia del sistema operativo, siempre sin estar
conectado al exterior.
Deshabilitar los servicios innecesarios.
Instalar todos los hotfixes de seguridad.
Consultar peridicamente las alertas de seguridad en este sistema
operativo.
Recuperar con cuidado datos de usuario de los backups y verificar los
permisos (propietario, etc) de esos ficheros para que slo los usuarios que lo
necesiten puedan acceder a ellos.
Cambiar todos los passwords y, slo entonces, volver a conectarlo a la red
externa.
Una gua detallada de cmo recuperar un sistema de una intrusin puede
encontrarse bajo:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
en http://www.nohack.net/recovery.htm
Alternativamente, como forma ms rpida, si bien carente del 100% de
fiabilidad, la recuperacin de esta intrusin pasara por, con el sistema
desconectado de Internet:
Eliminacin de las cuentas creadas por el atacante.
Cambiar todos los passwords tanto del sistema como de la aplicacin
webERP, y asegurar que dichos passwords cumplen unos estndares
mnimos de seguridad.
Instalacin de los hotfixes de seguridad, especialmente los aplicables a la
vulnerabilidad empleada en este ataque.
Poner passwords para el acceso a MySQL Administrator.
Pg. 4
Resumen ejecutivo
Recomendaciones finales
De cara a evitar posibles problemas similares a ste en el futuro, se recomiendan
las siguientes acciones:
Instalar de forma inmediata los hotfixes de seguridad de Microsoft, a ser
posible de forma automtica a travs de Windows Update.
Asegurar que se minimiza el nmero de cuentas con privilegios de
administracin existentes, siendo recomendable dejar slo aquellas
estrictamente necesarias.
Instaurar una poltica que asegure que no se emplean servidores en
produccin para actividades personales como navegar por Internet,
consultar el correo o jugar.
Instalar algn sistema antivirus y antispyware, actualmente inexistente.
Instalar algn programa de deteccin de intrusin y/o modificacin de
ficheros clave del sistema operativo.
Formar a los usuarios en la importancia de la seguridad y la existencia de
ataques de ingeniera social ante los que deben estar preparados.
Asegurar que todos los sistemas de administracin (por ejemplo, MySQL)
tienen palabras de acceso adecuadas para restringir su acceso.
Guardar de forma cifrada la informacin de carcter confidencial, para
minimizar la posibilidad de robo de la misma.
Asegurar que existe en la organizacin un sistema de gestin operativa de
la seguridad, que permita la prevencin, deteccin y eficaz reaccin a
ataques, en particular debe existir un adecuado mecanismo de alerta.
Por ltimo, comentar que durante la investigacin se ha encontrado numerosa
informacin correspondiente a correos de aos anteriores (en concreto, la
mayora anteriores a 2004 y pertenecientes a la empresa eycsaa.com.mx,
dedicada a la formacin a travs de internet). Para evitar que este tipo de
informacin se de a conocer, es una buena prctica borrar completamente con
una herramienta especfica el contenido del disco antes de reinstalar el sistema
operativo.
Pg. 5