INSTITUTO TECNOLOGICO DE MORELIA Jos Mara Morelos y Pavn

PROPUESTA DE RESPUESTA A INCIDENTES

Berenice Jazmn ngel Rosas Carmen Alejandra Rangel Zavala Francisco Daniel Aguilar Vargas

FASE I: Deteccin y Evaluacin

Debe haber un equipo encargado de llevar el control de los Incidentes de Seguridad Informtica el cual deber estar constituido por las personas que cuentan con la experiencia y la formacin necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informtica de una organizacin.

La organizacin deber mantener actualizada la lista de direcciones y telfonos de contacto para emergencias, para poder localizar inmediatamente a las personas clave.

En algunos casos ser necesario contratar a las personas con la necesaria experiencia y cualificacin profesional (conocimientos tcnicos, habilidades de comunicacin). La experiencia es un factor determinante para poder actuar de forma eficiente.

DETECCIN DE UN INCIDENTE DE SEGURIDAD

La organizacin deber prestar especial atencin a los posibles indicadores de un incidente de seguridad, como una actividad indispensable contemplar.

PRINCIPALES INDICADORES DE POSIBLES INCIDENTES DE SEGURIDAD:

Precursores de un ataque: escaneo de puertos, el escaneo de vulnerabilidades en servidores. Alarmas generadas en los Sistemas de Deteccin de Intrusiones (IDS) o en los cortafuegos. Aparicin de nuevas carpetas o ficheros con nombres extraos en el servidor, o modificaciones hechas en determinados ficheros del sistema (libreras, kernel, aplicaciones crticas...).

PRINCIPALES INDICADORES DE POSIBLES INCIDENTES DE SEGURIDAD:

Cada o mal funcionamiento de algn servidor: reinicios inesperados, fallos en algunos servicios, incremento anormal de la carga del procesador o del consumo de memoria del sistema. Cambios en la configuracin de determinados, modificacin de las polticas de seguridad y auditora, activacin de nuevos servicios, puertos abiertos que no estaban autorizados

PRINCIPALES INDICADORES DE POSIBLES INCIDENTES DE SEGURIDAD:

Aparicin de nuevas cuentas de usuario o deteccin de actividad inusual en algunas cuentas: conexiones de usuarios en unos horarios extraos (por ejemplo, por las noches o durante un fin de semana), utilizacin de la misma cuenta desde distintos equipos a la vez. Informes de los propios usuarios del sistema alertando de algn comportamiento extrao o de su imposibilidad de acceder a ciertos servicios.

PRINCIPALES INDICADORES DE POSIBLES INCIDENTES DE SEGURIDAD:

Aparicin de dispositivos extraos conectados directamente a algunos equipos de la organizacin. Notificacin de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organizacin

Conviene tener en cuenta que los ataques informticos se estn volviendo cada vez ms sofisticados, por lo que es difcil conseguir detectarlos a tiempo.

EVALUACIN INICIAL
Muchas actividades podran indicar un posible ataque a su organizacin. Por ejemplo, cuando un administrador de red realiza labores de mantenimiento del sistema, puede parecer que alguien est iniciando alguna forma de ataque. En otros casos, un sistema mal configurado puede llevar a varios falsos positivos en el sistema de deteccin de intrusiones, lo que dificulta la identificacin de los verdaderos incidentes.

COMO PARTE DE SU EVALUACIN, DEBE REALIZAR LAS SIGUIENTES ACCIONES:

Tomar

medidas para determinar si est tratando con un incidente verdadero o un falso positivo. Hacerse una idea general del tipo y la gravedad del ataque. Debe reunir al menos suficiente informacin para su investigacin adicional y para empezar a contener los daos y minimizar el riesgo. Registrar las acciones minuciosamente. Estos registros se usarn ms adelante para documentar el incidente (ya sea real o falso).

FASE 2

CONTENCION
Consiste en adoptar medidas para prevenir nueva intrusin o dao y eliminar la causa del problema. Ejemplo de medidas:

Cambie las contraseas. Bloquear algunos puertos o algunas conexiones de direccin IP.

ANALISIS E INVESTIGACION
El Plan de Respuesta a Incidentes debe definir cmo el equipo de respuesta debera proceder al anlisis de un posible incidente de seguridad en cuanto ste fuese detectado por la organizacin. Determinar en primer lugar cul es su alcance.

qu equipos, redes, servicios y/o aplicaciones se han podido ver afectados? Se ha podido comprometer informacin confidencial de la organizacin o de sus usuarios y clientes? Ha podido afectar a terceros?

Determinar cmo se ha producido el incidente.

Qu tipo de ataque informtico ha sido el causante. Qu vulnerabilidades del sistema han sido explotadas. Qu mtodos ha empleado el atacante.

Se podra utilizar una Matriz de Diagnstico para facilitar la actuacin del equipo en momentos de mximo estrs, evitando que se puedan tomar decisiones precipitadas que conduzcan a errores.

Matriz de Diagnstico
Sntoma Escaneo de puertos Cada de un servidor Modificacin de ficheros de un equipo Trfico inusual Equipos lentos Envo de e-mail sospechosos Cdigo malicioso Bajo Alto Alto Medio Medio Alto

Denegacin de Servicio (DoS)

Alto Alto Bajo Alto

Acceso no autorizado Medio Medio Alto Medio

Alto
Bajo

Bajo
Medio

Realizar una valoracin inicial de los daos y de sus posibles consecuencias. Establecer un orden de prioridades en las actividades.

Para establecer estar prioridades se debe tomar en cuenta el posible impacto del incidente en los recursos y servicios de la organizacin y en el desarrollo de su negocio o actividad principal.

Documentos RFC 1244 y RFC 2196 (del IETF, Internet Engineering Task Force)
proponen la siguiente priorizacin: 1. proteger la vida humana y la seguridad de las personas. 2. Proteger datos e informacin sensible de la organizacin. 3. prevenir daos en los sistemas informticos (prdida o modificacin de ficheros bsicos para las aplicaciones y los servidores). 4. Minimizar la interrupcin de los servicios ofrecidos a los distintos usuarios (internos y externos).

RECOLECCION DE EVIDENCIA

Documentar minuciosamente todos los procesos al tratar con un incidente. Se debe incluir una descripcin de la infraccin y detalles de cada accin tomada (quin llev a cabo la accin, cundo lo hizo y por qu motivos). Se debe organizar la documentacin cronolgicamente, comprobar que est completa, y firmarla y revisarla con la directiva y los representantes legales. Proteger las pruebas recopiladas. Implicacin de varias personas, esto ayudar a reducir la probabilidad de que las pruebas se consideren no admisibles y de que se modifiquen despus.

ESTRATEGIAS MITIGACION
El equipo de respuesta debe tener una actuacin rpida para evitar que el incidente pueda tener mayores consecuencias para la organizacin. Por ejemplo: Apagar todos los equipos afectados Desconexin de estos equipos de la red informtica Desactivacin de ciertos servicios, etctera. Retrasar la contencin para poder estudiar con ms detalle el tipo de incidente y tratar de averiguar quin es el responsable del mismo. Esta estrategia se adopta si se monitoriza y controla al atacante, para reunir pruebas para demandar al atacante.

QU ES UN ANLISIS FORENSE?
Es la aplicacin de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que permiten: o Identificar o Preservar o Analizar

y presentar datos que sean vlidos dentro de un proceso legal.

OBJETIVOS DEL ANLISIS FORENSE

El anlisis forense de sistemas pretende lo siguiente:

Averiguar lo ocurrido durante una intrusin.

Busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: quin realiz el ataque? Qu activos de informacin se vieron afectados y en qu grado?

Cundo tuvo lugar? Dnde se origin? Contra qu blancos se dirigi?

Cmo fue llevado a cabo y por qu?

TIPOS DE EVIDENCIA
Suelen distinguirse dos tipos de evidencia: Evidencia voltil: comprende la informacin que desaparece cuando un sistema informtico pierde la alimentacin elctrica. Por ejemplo:

La memoria RAM Los procesos activos y usuarios conectados La informacin de la red y aplicaciones

La evidencia de disco: Que puede ser capturada sin necesidad de tener la mquina encendida, simplemente con acceso fsico al disco.

RECOLECCIN DE EVIDENCIAS
Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en s, salvaguardando su integridad.

 A este proceso se le conoce con el nombre de cadena de custodia. Si se desea que las pruebas obtenidas tengan validez jurdica, habr que demostrar la integridad de la cadena de custodia.

Recuperacin de evidencias en discos

Por medio de herramientas especializadas se realizan duplicaciones exactas del contenido de un disco, incluso de forma remota. SMART es una utilidad que permite instalar en un disco las imgenes capturadas con Encase. La recuperacin de ficheros borrados o no accesibles entra tambin dentro de este campo. bsqueda de cadenas en los datos adquiridos. Lo ms normal en caso de querer recuperar datos de un disco es intentar montar la particin con un arranque del sistema operativo Linux.

Foremost permite extraer ficheros del interior de una imagen de disco realizada con el comando dd de Linux. Existen varias herramientas de recuperacin de ficheros, como por ejemplo: CIA Underuse File Recover Restores 2000 Active@ R-Studio Ontrack Easy Recovery GetDataBack

Recuperacin de contraseas
Se trata de un software de recuperacin de passwords por fuerza bruta y por diccionario para Microsoft Windows. Las versiones anteriores de L0phtcrack tienen el cdigo fuente disponible.

Piero Bunari ha profundizado en la utilizacin y adaptacin de crackeadores de contraseas; dando como resultado las utilidades wJohn, el port para windows de Lepton's Crack y W@RP.

 Ms recientemente, el proyecto Rainbowcrack permite agilizar el cracking de contraseas mediante precomputacin de hashes. Este proyecto ha tenido tanto xito que se ha creado una pgina web para el cracking online de hashes. Revelation es una utilidad freeware para revelar las contraseas ocultas en el GUI de Windows.

Seguridad en el correo electrnico

La amenaza ms propagada, aunque aparentemente inofensiva, son los hoaxes, mensajes de correo electrnico en los que se advierte de un virus extremedamente peligroso o de alguna otra noticia alarmista que, en realidad, no existe.

Seguridad en el correo electrnico

Estos mensajes normalmente son reenviados por quien los recibe a toda su agenda de direcciones, como se requiere en el mensaje, ayudando a que la falsa alarma se extienda an ms. Existen varios sitios donde se puede consultar si un mensaje pude ser o no un hoax.

Anlisis de Redes P2P

Las redes P2P (peer to peer) se basan en el intercambio masivo de ficheros de forma distribuida mediante el protocolo MFTP (Multisource File Transmission Protocol) entre mltiples usuarios de Internet, mediante un software cliente, que se conecta a alguno de los mltiples servidores en donde se alojan mltiples usuarios que comparten partes (chunksde 9500KB) de ficheros.

BIBLIOGRAFIA
http://www.idg.es/pcworldtech/mostrararticulo. asp?id=194718&seccion=seguridad
http://www.kriptopolis.org/los-peligros-de-unanalisis-forense http://www.download.microsoft.com/.../060711mad-microsoft-3-forense.pdf http://www.ausejo.net/seguridad/forense.htm