SlideShare una empresa de Scribd logo

Curso de práctica operativa en investigación módulo 5 herramientas

Internet Security Auditors
Internet Security Auditors

Clase impartida en el Colegio Oficial de Detectives de Cataluña. En esta clase se analizan las "Herramientas de Investigación" de las que se disponen en un ordenador para detectar intrusiones, ataques o acciones realizadas en los sistemas. También se presentan las "Herramientas de Seguridad" que provee Internet y que están disponibles para todo el mundo que sepa dónde y como emplear estas herramientas.

Tecnología
1 de 57
Descargar para leer sin conexión
CURSO DE PRÁCTICA OPERATIVA EN INVESTIGACIÓN MÓDULO 5 INTERNET, DOCUMENTACIÓN Y BASES DE DATOS HERRAMIENTAS DE INVESTIGACIÓN P o r t a d a Y SEGURIDAD EN INTERNET Daniel Fernández dfernandez@isecauditors.com Xavier Carbonell xcarbonell@isecauditors.com 4 de Julio de 2003
Contenidos Índice • Introducción • Intrusiones y ataques • Métodos de defensa • Técnicas de detección • Localización y Preservación de la evidencia digital • Casos de Investigación 2
Introducción ¿Qué es un cibercrimen/ciberdelito? • Cibercrimen o ciberdelito es aquel acto delictivo que emplea Internet de dos posibles formas: • Como una vía más para cometer el delito: • Estafa a través de correo electrónico • Apuestas, juego, ventas, etc. ilegales • Distribución de pornografía infantil • Piratería de propiedad intelectual • Espionaje industrial • etc. • Como objetivo sin el cual no existiría el delito: • Intrusión en sistemas o redes • Ataques de DoS a sistemas de información • etc. 3
Introducción Categorías de ciberdelito • La UE definió los ciberdelitos en el Convenio sobre la Ciberdelincuencia (23.XI.2001): • Delitos contra la confidencialidad, integridad, disponibilidad de los datos y sistemas informático. • Acceso ilícito • Interceptación Ilícita • Interferencia en los datos • Interferencia en el sistema • Abuso de los dispositivos • Delitos informáticos: • Falsificación informática • Fraude informático • Delitos relacionados con el contenido: • Delitos relacionados con la pornografía infantil • Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. 4
Introducción 5 Actores de un cibercrimen • El mito del cibercriminal lo define así: • Muy inteligente, fanático de los ordenadores pero no integrado socialmente. • Adolescentes varones no violentos. • No cometen delitos en el mundo real. • etc, etc, etc....... • La realidad es que el perfil del cibercriminal cada vez es más amplio: +600 Millones de usuarios de Internet no son fáciles de clasificar . • Las razones del cibercriminal encajan en estas: • Por diversión o reto • Provecho monetario • Venganza • Motivaciones políticas o ideológicas • Motivaciones sexuales
Intrusiones y Ataques Índice • Diferencias entre Intrusiones y Ataques • Tipos de ataques • Directos • Distribuidos • Ataques automáticos • Actividades de ataque • Hacking para todos 6
Intrusiones y Ataques Intrusiones vs. Ataques • El ataque precede a la intrusión. • Es posible realizar un ataque sin entrar en una máquina o sistema. • Los ataques acostumbran a tener una duración menor que las intrusiones, y normalmente no se altera el sistema atacado, mientras que en las intrusiones si. • La recuperación de los sistemas frente a un ataque es siempre mucho más rápida. • Una intrusión puede implicar fugas de información, mientras que un ataque no. • Un ejemplo de un ataque podría ser un ataque de Denegación de Servicio (DoS). 7
Intrusiones y Ataques Ataques Directos/Distribuidos • Ataques Directos: • Lanzados desde el ordenador del atacante. • Fácilmente localizables y neutralizables • Ataques Distribuidos: • Más complejos. • Utilizan múltiples máquinas, llamadas agentes o zombies. • Comunicación cifrada entre el atacante y los agentes. • Dificultad para localizar al atacante (múltiples orígenes del ataque). 8
Intrusiones y Ataques Ataques automáticos • La tendencia actual es a la automatización de los ataques. • Hace unos años, la realización de un ataque requería.... • Herramienta que busca una vulnerabilidad en concreto. • Otra herramienta que explota la vulnerabilidad. • Otra para propagar el ataque a otras máquinas. • Actualmente una sola herramienta o programa autónomo hace todos los pasos anteriores. • Ejemplos: • CodeRed • Nimda 9
Intrusiones y Ataques 10 Actividades de ataque • Un ataque comienza con recogida de información sobre los sistemas: • Escaneos de Puertos: conocer los tipos de sistemas, entradas al sistema y tipos de estas entradas. • Búsqueda de información pública en CVs, foros, grupos de noticias, etc. que ayude a conocer el sistema a atacar. • Una vez se conocen los sistemas, podemos emplear técnicas más o menos avanzadas apara llegar a la intrusión: • Atacar los servicios ofrecidos por las máquinas aprovechando vulnerabilidades o deficiencias de configuración. • IP (Internet)/ARP (Intranet) Spoofing: falsear el origen de intento de acceso al sistema con el fin de evitar protecciones o redirigir el tráfico para poder capturarlo. • Troyanización: conseguir que en el interior de la red se ejecute un programa que se conecte al atacante de forma automática, instalar programas de escucha, etc. • Password cracking: ataques a accesos protegidos con contraseña. • Ejecución de exploits: uso de pequeños programas que explotan vulnerabilidades o deficiencias de seguridad específicas. • Ataques con virus y gusanos.
Intrusiones y Ataques 11 Hacking para todos • Los ataques emplean técnicas cada vez más evolucionadas o que convinan diversos métodos en un mismo ataque. • La facilidad de uso de herramientas de hacking ha evolucionado como cualquier otro software: • El caso del script kiddie o hacker ignorante: • Hace unos años, algunos de los ataques requería conocimientos técnicos muy elevados. • Ahora existen herramientas que realizan automáticamente los ataques. • Herramientas de Point&Click Hacking: muchas veces se realizan ataques sin saberlo o sin conocer qué se está haciendo en ese ataque. • El caso del hacker 31337: • La información realmente dañina se mueve en ámbitos limitados en manos de gente con elevados conocimientos. • Los hackers de la élite siempre van por delante a los sistemas de defensa, o definen nuevos sistemas de defensa. • Los expertos en seguridad no siempre están en el lado oscuro.
Métodos de Defensa Índice • Introducción a los métodos de defensa • Elementos de protección • Firewall / IDS • Antivirus 12
Métodos de Defensa Introducción • La seguridad es un proceso. • Es importante actuar siempre de forma proactiva y no reactiva. • Son necesarias una política de seguridad en la empresa respaldada por dirección. • La política de seguridad establece las directrices de la empresa: • Necesidades de seguridad. • Recursos asignados. • Prioridades. • Procedimientos de seguridad. • etc. • Planes de contingencia. • Recuperación ante desastre. 13
Métodos de Defensa Elementos de protección • La primera medida de protección es la propia arquitectura de red de la empresa. • Red interna separada de la red pública (DMZ - Demilitarized Zone). • Acceso a Internet desde la red interna mediante NAT. • Es necesario disponer de dispositivos de protección en el perímetro de la empresa (seguridad perimetral - entre Internet y la red de la empresa): • Firewall o Cortafuegos. • Software de Antivirus. • Sistemas de detección de Intrusos (IDS). • Los propios sistemas accesibles desde Internet son elementos de protección: • Fortaleza de las contraseñas. • Deshabilitación de servicios innecesarios. • Hardening de sistemas. 14
Métodos de Defensa Firewall / IDS • Firewall: • Software / Dispositivo de red que filtra todo el tráfico que entra o sale de la red. • Filtran en función de unas reglas en las que se indica el tipo de tráfico permitido y el que no. • Existen también firewall personales que se instalan en los PCs personales. • Se dividen en: • Screening routers: Filtran por dirección de origen y destinatario y por servicio que utilizan. • Stateful inspection filters: En el filtrado tienen en cuenta el estado de la comunicación. Más evolucionados que los anteriores. • IDS: • Software / Dispositivo de red que analiza continuamente todo el tráfico que circula por ella. • Parten de una serie de patrones de ataques conocidos que intentan identificar en el tráfico de analizan. • Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.). 15
Métodos de Defensa Antivirus • Antivirus: • Detecta la presencia o llegada de virus/gusanos/código malicioso. • La detección la realizan a partir de las “firmas” de los virus o por el comportamiento de los programas. • Actualmente la infección vírica se realiza a través de los correos electrónicos. • ¿Dónde se sitúan los sistemas antivirus?: • A nivel de gateway o servidor de correo. • A nivel de cliente en los PCs de los usuarios. • La tendencia actual es fusionar los tres sistemas anteriores en uno. 16
Técnicas de Detección Índice • Introducción • Preparación de los sistemas: Auditoría + Logs • Auditoría en Sistemas Windows • Auditoría en Sistemas Unix • Análisis de logs • Logs de un servidor web • Logs de un firewall • Logs de sistema • Logs de un servidor de correo • Cabeceras de mails • Investigación mediante herramientas accesibles desde Internet 17
Técnicas de Detección Introducción • Las técnicas de detección hacen referencia a las técnicas y herramientas disponibles por el investigador para obtener información en caso de ataque o de una intrusión efectiva en un sistema. • La detección se realiza a dos niveles: • Local: Primero se ha de obtener toda la información posible del sistema atacado. La información a buscar será: • ¿Qué se ha hecho en la máquina? • Datos de identificación del atacante ( IP, SW utilizado, nick, etc.) • ¿Cómo se ha conseguido entrar en el sistema? • Internet: A partir de los datos obtenidos podemos seguir investigando en Internet. • Los ataques pueden producirse también de forma interna dentro de la propia empresa. 18
Técnicas de Detección 19 Preparación: Auditoría + Logs • Los sistemas se pueden preparar para facilitar una investigación en caso de sufrir una intrusión. • Para ello se han de activar las capacidades de auditoría y de logeo, tanto a nivel de sistema operativo como a nivel de aplicaciones: • Auditoría: Identifica el acceso o uso de recursos del sistema y deja constancia de ello. • Logs: Los ficheros de log son el resultado de la auditoría donde queda reflejada la actividad del sistema, siendo una prueba clave como evidencia de una intrusión al sistema, pues puede quedar reflejada en ellos. • El concepto fundamental es AAA (triple A): Autenticación + Autorización + Accounting • Autenticación: Permite asegurar la identidad del usuario. • Autorización (control de acceso): Delimita el acceso a los recursos en función de los usuarios, perfiles, y privilegios. • Accounting: Monitoriza y tracea la actividad del sistema. Si se realiza desde el punto de vista de la seguridad, se llama auditoría.
Técnicas de Detección Auditoría en Windows I • Las plataformas Windows (95/NT/2000/...) poseen capacidades de autoría. • Tres niveles de auditoría: • Log de Aplicación: Mensajes + info. de estado + eventos reportados, de aplicaciones no esenciales. • Log de Sistema: Errores + warnings + eventos, generados por el propio SO o por los sistemas esenciales. • Log de Seguridad: Muestra todos los intentos con éxito o fracaso de todas aquellas actividades que se auditan. 20
Técnicas de Detección Auditoría en Windows II • Clases de eventos o actividades que se pueden auditar en Windows 2000: • Eventos de logon • Cuentas de Administración • Acceso a Servicios de Directorio • Eventos de logon • Acceso a objetos • Cambios de política • Uso de privilegios • Tracking de procesos • Eventos de sistema 21
Técnicas de Detección Auditoría en Windows III 22
Técnicas de Detección Auditoría en Unix • El responsable de la auditoría en sistemas Unix/Linux es el demonio Syslog. • El demonio distribuye diferentes mensajes de sistemas a distintos ficheros de log, dependiendo del tipo de mensaje y de su urgencia o severidad. • Los logs de los diferentes sistemas de una red en entornos Unix se suelen centralizar en una única máquina. 23
Técnicas de Detección Análisis de logs • Una vez se ha producido una intrusión en una sistema, los ficheros de logs son una de las principales fuentes de evidencias. • Pero los logs a veces no son sencillos de entender. • Existen aplicaciones que interpretan los logs de estos dispositivos. •Ejemplos de logs que se pueden tener que analizar en caso de una intrusión: • Logs del servidor web. • Logs de mensajes del sistema. • Logs del firewall. • Cabeceras de mails. 24
Técnicas de Detección Ej: Logs de un Web Server 25
Técnicas de Detección Ej: Logs de un Firewall PE,2003/06/27,09:46:20 +2:00 GMT,Aplicación de servicios y controlador,219.9.65.14:53,N/A PE,2003/06/27,09:47:15 +2:00 GMT,FTP Transfer Engine,217.76.135.104:22,N/A FWOUT,2003/06/23,10:07:38 +2:00 GMT,10.10.0.51:1347,216.34.38.96:80,TCP (flags:R) PE,2003/06/27,09:47:22 +2:00 GMT,putty.exe,217.76.135.104:22,N/A PE,2003/06/27,09:50:22 +2:00 GMT,Generic Host Process for Win32 Services,207.46.249.61:80,N/A ACCESS,2003/06/26,17:37:27 +2:00 GMT,java.exe was unable to obtain permission for connecting to the Internet (217.76.128.102:SMTP); access was denied.,N/A,N/A 26
Técnicas de Detección Ej: Logs de sistema 27
Técnicas de Detección Ej: Logs servidor de correo 28
Técnicas de Detección Cabeceras de mails I • Los correos electrónicos son hoy en día una de las principales puertas de entrada para ataques y infecciones en las empresas • Pero los correos electrónicos también son malévolamente utilizados para: • Acosar a las víctimas • Enviar demandas de extorsión, amenazas, etc. • Contactar con víctimas potenciales (pedófilos, violadores, etc.) • Timos (de pirámide, etc.) • etc. • Siendo los propios correos la única pista para identificar al criminal • Normalmente los criminales no firman el correo con su nombre, dirección y teléfono • A simple vista puede que no nos revelen información, pero..... y las CABECERAS de los correos? 29
Técnicas de Detección Cabeceras de mails II • Los correos electrónicos “viajan” por diferentes ordenadores hasta llegar al destinatario. • Cada servidor por los que pasa el correo añade información en la cabecera de este. • Es necesario conocer qué información podemos obtener y cual no. Los campos más importantes que podemos ver (RFC-822 - email headers): • From: Identifica el emisor del mensaje (nombre o dirección de correo) • Sender: Identifica el actual emisor del mensaje (puede variar del “from”) • Reply-to: Dirección de correo a la que las respuestas tendrán que ser enviadas • Received: Cada servidor de correo por el que pasa el email, añade su propia linea de received” • Message-ID: Identificador único del mensaje dentro del servidor de correo que lo ha originado. • Es importante comprender que toda la información puede ser falseada. 30
Técnicas de Detección Cabeceras de mails III Return-Path: <boletin@kriptopolis.com> Received: from localhost (SC1-1A-u-0035.mc.onolab.com [62.42.144.36]) by llca097.servidoresdns.net (8.11.0/8.10.2) with ESMTP id g4RIaqi10332 for <dfernandez@isecauditors.com>; Mon, 27 May 2002 20:36:52 +0200 Received: from test (unknown [192.168.3.128]) by localhost (Postfix) with SMTP id D48651A1CC; Mon, 27 May 2002 20:24:11 +0200 (CEST) From: Kriptopolis <boletin@kriptopolis.com> To: Boletin <boletin@kriptopolis.com> Reply-To: boletin@kriptopolis.com Subject: Sobre nuestro Boletin Mime-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Message-Id: <20020527182411.D48651A1CC@localhost> Date: Mon, 27 May 2002 20:24:11 +0200 (CEST) Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from quoted-printable to 8bit by llca097.servidoresdns.net id g4RIaqi10332 Status: 31
Técnicas de Detección Cabeceras de mails IV • Pero y ¿cómo podemos ver estas cabeceras de los correos en los lectores de correo que se utilizan habitualmente? • OUTLOOK: Una vez abierto el mensaje, desde la opción “Ver + Opciones”: 32
Técnicas de detección Cabeceras de mails V • Outlook Express: Una vez abierto el mensaje desde la opción “Archivo + Guardar como” guardamos el mensaje con extensión .eml. Una vez guardado lo podemos abrir con cualquier editor de texto, y podremos ver la cabecera del mail. • Netscape Communicator: Permite ver la cabecera en todos los mensajes que recibimos de forma automática. Para ello es necesario activar la opción “View + Headers + All”: 33
Técnicas de Detección Investigación Internet I • Una vez se han recabado todos los datos posibles en el sistema analizado podemos continuar la investigación en Internet. • En Internet existen muchas páginas de donde sacar información: • Motores de búsqueda genéricos • google ( www.google.com ) • terra ( www.terra.es ) • yahoo ( www.yahoo.com ) • altavista ( www.altavista.com ) • lycos ( www.lycos.com ) • etc. • Existen programas que realizan una búsqueda automatizada en muchos motores de búsqueda de Internet, facilitando la tarea del investigador al tener centralizada de esta forma toda la búsqueda de información. • copernic ( www.copernic.com ) 34
Técnicas de Detección 35 Investigación Internet II • Otra fuente de información en Internet son los nombres de dominios y las IPs. La identificación en el sistema analizado de la supuesta IP desde la que se originó el ataque nos permite proseguir la búsqueda del atacante..... •Teoría: Cada sistema visible en Internet tiene un identificador único (IP), pero como que no son fáciles de recordar para las persones, también tienen un nombre (p.e. www.collegidetectius.org ). La traducción de nombres a IPs la realizan los Servidores de Nombres de Dominios (DNS - Domain Name System). • P.e. Al poner un nombre como dirección en un navegador ( www.google.com ), internamente el navegador hace una petición a un DNS para que le traduzca el nombre a qué IP corresponde. • En una investigación podemos encontrarnos en la necesidad de saber a quién corresponde un dominio, o una determinada IP a quién corresponde: • dominios .es ( www.nic.es ) • dominios .com / .net / .org ( www.networksolutions.com ) • relación IPs con dominios ( www.ripe.net ) • localizar una IP (www.visualroute.com )
Técnicas de Detección Investigación Internet III • Webs con herramientas útiles: • (www.samspade.org ) • ( http://centralops.net/co/body.asp ) • (http://www.demon.net/external/ ) • También puede ser necesario o a veces útil investigar las historia o cambios que se han producido a lo largo del tiempo en las páginas web: • ( www.archive.org ) 36
Localización/Preservación Evidencia Digital Índice • Informática forense. • Introducción a la Informática forense. • Estándares de localización • Preservación de la evidencia digital. • Preservación de los datos volátiles. • Preservación de los datos no volátiles. • Recuperación de la evidencia digital 37
Localización/Preservación Evidencia Digital Informática forense • Informática forense: Es la especialidad en la que se fusionan la informática con la investigación y que proporciona las bases para la localización y preservación de la evidencia digital. • Asociaciones donde encontrar abundante información: • The International Association of Computer Investigative Specialists (www.cops.org) • Asociación de Expertos Forenses en Tecnologías de la Información ( www.aeftic.org ) • International Organization on Computer Evidence ( www.ioce.org ) • Revistas online especializadas: • International Journal of Digital Evidence ( www.ijde.org ) 38
Localización/Preservación Evidencia Digital Introducción • En el entorno informático una evidencia es de uno de estos 3 tipos: • Evidencia Digital: Información de valor para el caso que es transmitida o guardada en formato digital. • Evidencia digital original • Evidencia digital duplicada • Objetos de datos: Información valiosa relacionada con el caso asociada a objetos físicos. • Objetos físicos: Soporte físico sobre el que se guarda la información digital. • Las evidencias “escritas“ las podemos clasificar en: • Evidencia demostrativa: Reconstruye la escena o incidente en cuestión. • Evidencia de documentación: Documentos escritos que constituyen una evidencia. • En el mundo digital dado la facilidad de realizar copias exactas de documentos, generalmente se considera la evidencia digital cómo evidencia demostrativa. 39
Localización/Preservación Evidencia Digital Estándares de localización • Las diferentes organizaciones de informática forense coinciden en los estándares a seguir en la localización de las evidencias digitales: • La evidencia ha de ser conservada de la forma más parecida a cómo se encontró • Si es posible, se realizará una copia o imagen exacta del original, para poder hacer las investigaciones sin dañar el original • Las copias que se hagan del original, se tienen que hacer en un medio forensicamente estéril (disco virgen sin datos previos, sin sectores defectuosos, etc.) • Todas las evidencias han de ser marcadas y documentadas, así como todos los pasos realizados en la investigación documentados en detalle. • Existe también un RFC (Request For Comments, de la Internet Engineering Task Force) que establece las bases para la localización y preservación de las evidencias digitales: • RFC 3227 - “Guidelines for Evidence Collection and Archiving” ( http://www.ietf.org/rfc/rfc3227.txt?number=3227 ) 40
Localización/Preservación Evidencia Digital Preservación • Por naturaleza la Evidencia Digital es frágil: • Parte es volátil: Está en la memoria temporal de los ordenadores, y cuando estos se apagan se pierde. • Parte es no volátil: La que permanece en el disco duro, pero esta es fácilmente destruida, o modificada (accidental o deliberadamente). • Pasos básicos para la preservación: 1. Preservación de los datos volátiles. 2. Realizar una imagen completa a nivel de bit del medio donde se almacena la evidencia (ficheros ocultos, corruptos, fragmentados, borrados, etc.) 3. Comprobar la integridad de la imagen realizada. 4. Apagar el sistema analizado (quitando la corriente). 5. Conservar el sistema en un lugar seguro. 41
Localización/Preservación Evidencia Digital Datos volátiles • Donde se encuentran? RAM, Memoria cache, en la memoria de periféricos (tarjeta de video, de red, etc.). • Problema: su propia recolección implica cambiar el estado del sistema y por lo tanto del contenido propio de la memoria. • Existen algunas herramientas para obtener esta información volátil: • netstat / nbdstat: Muestran las conexiones de red. • arp: nos permite conocer que máquinas se han conectado recientemente con el sistema analizado. • ps / pslists: Muestran los procesos que están corriendo en la máquina. • ifconfig / ipconfig: Nos dan información sobre el estado de la red. • dd: Permite hacer una copia del contenido de la memoria en máquinas Unix. 42
Localización/Preservación Evidencia Digital Datos no volátiles • Donde se encuentran? Básicamente en el disco duro de la sistema analizado. • Datos no volátiles duplicado del disco duro (imagen) • Formas para hacer la imagen: • Quitar el disco duro del sistema analizado y instalarlo en otro para hacer la copia. • Instalar otro disco duro en el sistema analizado y hacer la copia. • Utilizar dispositivos autónomos especiales para hacer imágenes (DIBS Portable Evidence Recovery Unit, Rapid Action Imaging Device). • Utilizando una conexión de red para transferir los contenidos del disco a otro. • Imagen del disco <> Copia de backup • Consideraciones especiales a tener en cuenta: • Factores ambientales: temperatura, campos electromagnéticos. • Fecha y hora: Documentar la fecha y hora del sistema analizado antes de apagarlo (puede no ser la actual) 43
Localización/Preservación Evidencia Digital Recuperar Evidencia Digital I • Hay casos en los que recuperar una evidencia digital puede parecer más difícil: • Ha sido borrada del sistema • Está cifrada • Está oculta • Cómo recuperar archivos borrados? • El borrado normal de un archivo no lo elimina del disco duro! • Todo o la mayor parte del contenido del archivo persiste en el sistema y es posible recuperarla con las herramientas adecuadas: • Fast File Recover (http://www.savemyfiles.com/fastfile.htm ) • The Coroner’s Toolkit ( http://www.porcupine.org/forensics/tct.html ) • Cómo recuperar información cifrada? • No siempre es posible. Depende del tipo de cifrado y la clave utilizada. • Ataques por fuerza bruta, por diccionarios, etc. 44
Localización/Preservación Evidencia Digital Recuperar Evidencia Digital II • Donde buscar la información oculta? A nivel básico podríamos buscar: • Ficheros ocultos. • Papelera de reciclaje. • Alternate DataStreams en sistemas de ficheros NTFS (Windos NT, 2000). • Donde buscar más información: • El histórico de URLs visitadas de los navegadores. • En las cache que se guarda de las páginas web visitadas. • Ficheros temporales creados por las propias aplicaciones (word, etc.) • Páginas de swap utilizadas por los Sistemas Operativos. 45
Casos de Investigación Índice • Correos Anónimos • Investigación post-intrusión 46
Casos de Investigación Correos Anónimos I • El envío: 220 llca201.servidoresdns.net ESMTP Sendmail 8.11.6/8.10.2; Fri, 1 Jul 2003 10:03:48 +0200 EHLO ANONYMOUS 250-llca201.servidoresdns.net Hello docs41-167.menta.net [62.57.40.167], pleased to meet you 250-ENHANCEDSTATUSCODES 250-EXPN ...... 250 HELP MAIL FROM: ANON@ANON.COM 250 2.1.0 ANON@ANON.COM... Sender ok RCPT to: DFERNANDEZ@ISECAUDITORS.COM 250 2.1.5 DFERNANDEZ@ISECAUDITORS.COM... Recipient ok DATA 354 Enter mail, end with "." on a line by itself SUBJECT: MAIL ANONYMOUS ANONYMOUS MAIL . 250 2.0.0 h64841g09995 Message accepted for delivery 47
Casos de Investigación Correos Anónimos II • El mail: • La cabecera del mail: Return-Path: <ANON@ANON.COM> Received: from ANONYMOUS (------------------) by llca201.servidoresdns.net (8.11.6/8.10.2) with ESMTP id h64841g09995 for DFERNANDEZ@ISECAUDITORS.COM; Fri, 1 Jul 2003 10:04:31 +0200 Date: Fri, 1 Jul 2003 10:04:31 +0200 From: ANON@ANON.COM Message-Id: <200307040804.h64841g09995@llca201.servidoresdns.net> SUBJECT: MAIL ANONYMOUS Status: 48
Casos de Investigación Correos Anónimos III • Investigando el origen: • Sepamos a quien corresponde este servidor de correo: [d:]ping llca201.servidoresdns.net Haciendo ping a llca201.servidoresdns.net [217.76.128.102] con 32 bytes de datos: • Ahora obtengamos datos para ponernos en contacto: http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=217.76.128.102&do_search=Search • Según la LSSICE los ISP están obligados a almacenar registros de uso de sus servidores. • A partir de los registros del ISP podremos obtener la IP de origen de la conexión. http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=62.57.40.167&do_search=Search • Ahora deberemos pedir al ISP que proveé la conexión nos facilite el titular de dicha cuenta. 49
Casos de Investigación Investigación post-intrusión I El Caso Ideal: • Identificación: ¿Nuestro sistema ha sido realmente comprometido? Debemos revisar los logs de los Detectores de Intrusos, registros de acceso anómalos, etc. • Preservación de la evidencia: Hay que congelar la escena del crimen sin dar pistas que se está haciendo. • Hay que intentar preservar archivos de memoria (archivos swap Windows, /proc en Unix, etc.). • Realizar una copia inmediata del disco duro. • Construir una linea temporal de actuación: • Qué sucedió en el sistema antes de su compromiso. • Qué hizo el intruso durante el compromiso (cantidad de intrusos, acciones, etc.) • Porqué salió del sistema. • Análisis de toda la información: • Las intrusiones crean alteraciones en los sistemas, cuanta más operaciones realizan los intrusos más ruido crean en estos y cuantas más huellas quieren borrar, más huellas dejan. 50
Casos de Investigación Investigación post-intrusión II El Caso Real: servidores en producción de una empresa de servicios on-line 24x7. • El rendimiento de la red de servidores había descendido un 80%. • 4 horas para descubrirse si la máquina había sido o estaba siendo comprometida. • Descubrir los puntos de entrada al sistema y cerrarlos. • Analizar cuáles habían sido las acciones que se habían producido en su interior • Intentar averiguar quién había sido en intruso, o el origen de la intrusión. • Restituir el servicio en la máquina. Contras: • No se dispone de herramientas de análisis forense. • No se dispone de acceso físico al sistema. • Únicamente se cuenta con el software básico de una máquina Linux y las herramientas propias del servidor Windows, supuestamente comprometido. 51
Casos de Investigación Puertas de entrada Port scanning Estado de los puertos Puerto Protocolo Estado 20 TCP Cerrado 21 TCP Abierto 80 TCP Abierto 1025 TCP Abierto 1026 TCP Abierto 1032 TCP Abierto 1042 TCP Abierto 1043 1045 1046 1047 1402 1433 3372 3389 5631 5800 5900 15876 54321 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Servicio FTP-Data FTP http NFS o IIS LSA o nterm Iad3 Comentarios Servidor de FTP Servidor web Win Server lo utiliza para administrar sus recursos. Prm-sm-nc Ms-sql-s Msdtc Ms-term-serv Pcanywheredata VNC-http VNC Desconocido Desconocido Servidor de SQL Servidor de Terminales PCAnyWhere Acceso VNC Acceso VNC Referencias a alguno de los servidores en listas de Internet: Inclusión en listas publicas o underground de máquinas Gusano Sapphire http://www.netsys.com/library/sapphire-hosts.txt 52
Casos de Investigación Servicios anómalos • Hay servicios no habituales en ejecución. • Los puertos no estándar que están ofreciendo servicios se deshabilitan parándolos. 53
Casos de Investigación Entradas en el registro • El registro de Windows mantiene información sobre los servicios que se arrancan al encender el ordenador, donde están estos programas, etc. • Se localizan las entradas en el registro que arrancan estos servicios y se localizan los ejecutables en el disco duro. 54
Casos de Investigación Localización de los troyanos • Se ha troyanizado alguno de los servidores, se han instalado FTPs y se emplean para el intercambio de software, películas, música pirata y como foro de hackers. • La red había sufrido una caida debido al flujo de datos que implicaba esto. 55
Casos de Investigación Limpieza y restitución • La máquina se había preparado de forma que parecía que intentaba borrar sus huellas si la conexión al exterior se perdía. • Había que localizar las herramientas instaladas y ocultadas en el sistema con tal de proteger las Bases de Datos, ya que se todavía no se conocía completamente que operaciones realizaban estos troyanos. • Eliminados éstos, se revisa el sistema, con el objeto de salvaguardar la mayor cantidad de información sobre el origen de la intrusión. • La intrusión no fue realizada desde un único punto. Los resultados fueron que los servidores en concreto no eran el objetivo, sino las capacidades de la infraestructura para sus fines y la intrusión era cuanto menos, desordenada y sin coordinación. • No se habían realizado accesos a las Bases de Datos y las alteraciones en los directorios del sistema habían sido mínimas, con el fin de no levantar sospechas • La intrusión se había producido gracias a un indebido mantenimiento de las máquinas durante unas semanas, hecho que facilito la entrada a los sistemas aprovechando una vulnerabilidad publicada. • La red y los servidores estuvieron funcionando al 100% en 3 horas y 15 minutos. • Este tipo de intrusión más común en Internet. 56
CURSO DE PRÁCTICA OPERATIVA EN INVESTIGACIÓN MÓDULO 5 INTERNET, DOCUMENTACIÓN Y BASES DE DATOS HERRAMIENTAS DE INVESTIGACIÓN C o n t r a p o r t a d a Y SEGURIDAD EN INTERNET Muchas gracias su vuestra atención Daniel Fernández Xavier Carbonell dfernandez@isecauditors.com xcarbonell@isecauditors.com 4 de Julio de 2003

Recomendados

Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidasUniversidad Tecnológica de México - UNITEC
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezTecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 

Recomendados

Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidasUniversidad Tecnológica de México - UNITEC
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezTecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Trabajo practico n° 4
Trabajo practico n° 4Trabajo practico n° 4
Trabajo practico n° 4dlezcano01
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónAntonio González Castro
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Hacking
HackingHacking
HackingLaura858115
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Hacking etico
Hacking eticoHacking etico
Hacking eticoHacking etico
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Alex Avila
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos FrancisBuisaCalle
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoxavazquez
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaErnesto Herrera
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Antonio Leonel Rodriguez b.
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticosDavid Galindo Baron
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1Alexis Julian Starrk
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más contenido relacionado

La actualidad más candente

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Trabajo practico n° 4
Trabajo practico n° 4Trabajo practico n° 4
Trabajo practico n° 4dlezcano01
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Alex Avila
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoxavazquez
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 

La actualidad más candente (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataques
 
Trabajo practico n° 4
Trabajo practico n° 4Trabajo practico n° 4
Trabajo practico n° 4
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de Intrusión
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakan
 
Hacking
HackingHacking
Hacking
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
 
Etical hacking
Etical hackingEtical hacking
Etical hacking
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticos
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 

Destacado

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 

Destacado (13)

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 

Similar a Curso de práctica operativa en investigación módulo 5 herramientas

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Practica unidad 6 gaby
Practica unidad 6 gabyPractica unidad 6 gaby
Practica unidad 6 gabylagos12
 
Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Oscar Hdez
 
Lección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónLección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónOriol Borrás Gené
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Alexader
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaDjJerrys
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 

Similar a Curso de práctica operativa en investigación módulo 5 herramientas (20)

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
 
Practica unidad 6 gaby
Practica unidad 6 gabyPractica unidad 6 gaby
Practica unidad 6 gaby
 
Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
S2 cdsi1-1
S2 cdsi1-1S2 cdsi1-1
S2 cdsi1-1
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9
 
Lección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónLección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusión
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad de redes informaticas
Seguridad de redes informaticasSeguridad de redes informaticas
Seguridad de redes informaticas
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Seguridad informatica marlon
Seguridad informatica marlonSeguridad informatica marlon
Seguridad informatica marlon
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptxACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Más de Internet Security Auditors (17)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Curso de práctica operativa en investigación módulo 5 herramientas

  • 1. CURSO DE PRÁCTICA OPERATIVA EN INVESTIGACIÓN MÓDULO 5 INTERNET, DOCUMENTACIÓN Y BASES DE DATOS HERRAMIENTAS DE INVESTIGACIÓN P o r t a d a Y SEGURIDAD EN INTERNET Daniel Fernández dfernandez@isecauditors.com Xavier Carbonell xcarbonell@isecauditors.com 4 de Julio de 2003
  • 2. Contenidos Índice • Introducción • Intrusiones y ataques • Métodos de defensa • Técnicas de detección • Localización y Preservación de la evidencia digital • Casos de Investigación 2
  • 3. Introducción ¿Qué es un cibercrimen/ciberdelito? • Cibercrimen o ciberdelito es aquel acto delictivo que emplea Internet de dos posibles formas: • Como una vía más para cometer el delito: • Estafa a través de correo electrónico • Apuestas, juego, ventas, etc. ilegales • Distribución de pornografía infantil • Piratería de propiedad intelectual • Espionaje industrial • etc. • Como objetivo sin el cual no existiría el delito: • Intrusión en sistemas o redes • Ataques de DoS a sistemas de información • etc. 3
  • 4. Introducción Categorías de ciberdelito • La UE definió los ciberdelitos en el Convenio sobre la Ciberdelincuencia (23.XI.2001): • Delitos contra la confidencialidad, integridad, disponibilidad de los datos y sistemas informático. • Acceso ilícito • Interceptación Ilícita • Interferencia en los datos • Interferencia en el sistema • Abuso de los dispositivos • Delitos informáticos: • Falsificación informática • Fraude informático • Delitos relacionados con el contenido: • Delitos relacionados con la pornografía infantil • Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. 4
  • 5. Introducción 5 Actores de un cibercrimen • El mito del cibercriminal lo define así: • Muy inteligente, fanático de los ordenadores pero no integrado socialmente. • Adolescentes varones no violentos. • No cometen delitos en el mundo real. • etc, etc, etc....... • La realidad es que el perfil del cibercriminal cada vez es más amplio: +600 Millones de usuarios de Internet no son fáciles de clasificar . • Las razones del cibercriminal encajan en estas: • Por diversión o reto • Provecho monetario • Venganza • Motivaciones políticas o ideológicas • Motivaciones sexuales
  • 6. Intrusiones y Ataques Índice • Diferencias entre Intrusiones y Ataques • Tipos de ataques • Directos • Distribuidos • Ataques automáticos • Actividades de ataque • Hacking para todos 6
  • 7. Intrusiones y Ataques Intrusiones vs. Ataques • El ataque precede a la intrusión. • Es posible realizar un ataque sin entrar en una máquina o sistema. • Los ataques acostumbran a tener una duración menor que las intrusiones, y normalmente no se altera el sistema atacado, mientras que en las intrusiones si. • La recuperación de los sistemas frente a un ataque es siempre mucho más rápida. • Una intrusión puede implicar fugas de información, mientras que un ataque no. • Un ejemplo de un ataque podría ser un ataque de Denegación de Servicio (DoS). 7
  • 8. Intrusiones y Ataques Ataques Directos/Distribuidos • Ataques Directos: • Lanzados desde el ordenador del atacante. • Fácilmente localizables y neutralizables • Ataques Distribuidos: • Más complejos. • Utilizan múltiples máquinas, llamadas agentes o zombies. • Comunicación cifrada entre el atacante y los agentes. • Dificultad para localizar al atacante (múltiples orígenes del ataque). 8
  • 9. Intrusiones y Ataques Ataques automáticos • La tendencia actual es a la automatización de los ataques. • Hace unos años, la realización de un ataque requería.... • Herramienta que busca una vulnerabilidad en concreto. • Otra herramienta que explota la vulnerabilidad. • Otra para propagar el ataque a otras máquinas. • Actualmente una sola herramienta o programa autónomo hace todos los pasos anteriores. • Ejemplos: • CodeRed • Nimda 9
  • 10. Intrusiones y Ataques 10 Actividades de ataque • Un ataque comienza con recogida de información sobre los sistemas: • Escaneos de Puertos: conocer los tipos de sistemas, entradas al sistema y tipos de estas entradas. • Búsqueda de información pública en CVs, foros, grupos de noticias, etc. que ayude a conocer el sistema a atacar. • Una vez se conocen los sistemas, podemos emplear técnicas más o menos avanzadas apara llegar a la intrusión: • Atacar los servicios ofrecidos por las máquinas aprovechando vulnerabilidades o deficiencias de configuración. • IP (Internet)/ARP (Intranet) Spoofing: falsear el origen de intento de acceso al sistema con el fin de evitar protecciones o redirigir el tráfico para poder capturarlo. • Troyanización: conseguir que en el interior de la red se ejecute un programa que se conecte al atacante de forma automática, instalar programas de escucha, etc. • Password cracking: ataques a accesos protegidos con contraseña. • Ejecución de exploits: uso de pequeños programas que explotan vulnerabilidades o deficiencias de seguridad específicas. • Ataques con virus y gusanos.
  • 11. Intrusiones y Ataques 11 Hacking para todos • Los ataques emplean técnicas cada vez más evolucionadas o que convinan diversos métodos en un mismo ataque. • La facilidad de uso de herramientas de hacking ha evolucionado como cualquier otro software: • El caso del script kiddie o hacker ignorante: • Hace unos años, algunos de los ataques requería conocimientos técnicos muy elevados. • Ahora existen herramientas que realizan automáticamente los ataques. • Herramientas de Point&Click Hacking: muchas veces se realizan ataques sin saberlo o sin conocer qué se está haciendo en ese ataque. • El caso del hacker 31337: • La información realmente dañina se mueve en ámbitos limitados en manos de gente con elevados conocimientos. • Los hackers de la élite siempre van por delante a los sistemas de defensa, o definen nuevos sistemas de defensa. • Los expertos en seguridad no siempre están en el lado oscuro.
  • 12. Métodos de Defensa Índice • Introducción a los métodos de defensa • Elementos de protección • Firewall / IDS • Antivirus 12
  • 13. Métodos de Defensa Introducción • La seguridad es un proceso. • Es importante actuar siempre de forma proactiva y no reactiva. • Son necesarias una política de seguridad en la empresa respaldada por dirección. • La política de seguridad establece las directrices de la empresa: • Necesidades de seguridad. • Recursos asignados. • Prioridades. • Procedimientos de seguridad. • etc. • Planes de contingencia. • Recuperación ante desastre. 13
  • 14. Métodos de Defensa Elementos de protección • La primera medida de protección es la propia arquitectura de red de la empresa. • Red interna separada de la red pública (DMZ - Demilitarized Zone). • Acceso a Internet desde la red interna mediante NAT. • Es necesario disponer de dispositivos de protección en el perímetro de la empresa (seguridad perimetral - entre Internet y la red de la empresa): • Firewall o Cortafuegos. • Software de Antivirus. • Sistemas de detección de Intrusos (IDS). • Los propios sistemas accesibles desde Internet son elementos de protección: • Fortaleza de las contraseñas. • Deshabilitación de servicios innecesarios. • Hardening de sistemas. 14
  • 15. Métodos de Defensa Firewall / IDS • Firewall: • Software / Dispositivo de red que filtra todo el tráfico que entra o sale de la red. • Filtran en función de unas reglas en las que se indica el tipo de tráfico permitido y el que no. • Existen también firewall personales que se instalan en los PCs personales. • Se dividen en: • Screening routers: Filtran por dirección de origen y destinatario y por servicio que utilizan. • Stateful inspection filters: En el filtrado tienen en cuenta el estado de la comunicación. Más evolucionados que los anteriores. • IDS: • Software / Dispositivo de red que analiza continuamente todo el tráfico que circula por ella. • Parten de una serie de patrones de ataques conocidos que intentan identificar en el tráfico de analizan. • Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.). 15
  • 16. Métodos de Defensa Antivirus • Antivirus: • Detecta la presencia o llegada de virus/gusanos/código malicioso. • La detección la realizan a partir de las “firmas” de los virus o por el comportamiento de los programas. • Actualmente la infección vírica se realiza a través de los correos electrónicos. • ¿Dónde se sitúan los sistemas antivirus?: • A nivel de gateway o servidor de correo. • A nivel de cliente en los PCs de los usuarios. • La tendencia actual es fusionar los tres sistemas anteriores en uno. 16
  • 17. Técnicas de Detección Índice • Introducción • Preparación de los sistemas: Auditoría + Logs • Auditoría en Sistemas Windows • Auditoría en Sistemas Unix • Análisis de logs • Logs de un servidor web • Logs de un firewall • Logs de sistema • Logs de un servidor de correo • Cabeceras de mails • Investigación mediante herramientas accesibles desde Internet 17
  • 18. Técnicas de Detección Introducción • Las técnicas de detección hacen referencia a las técnicas y herramientas disponibles por el investigador para obtener información en caso de ataque o de una intrusión efectiva en un sistema. • La detección se realiza a dos niveles: • Local: Primero se ha de obtener toda la información posible del sistema atacado. La información a buscar será: • ¿Qué se ha hecho en la máquina? • Datos de identificación del atacante ( IP, SW utilizado, nick, etc.) • ¿Cómo se ha conseguido entrar en el sistema? • Internet: A partir de los datos obtenidos podemos seguir investigando en Internet. • Los ataques pueden producirse también de forma interna dentro de la propia empresa. 18
  • 19. Técnicas de Detección 19 Preparación: Auditoría + Logs • Los sistemas se pueden preparar para facilitar una investigación en caso de sufrir una intrusión. • Para ello se han de activar las capacidades de auditoría y de logeo, tanto a nivel de sistema operativo como a nivel de aplicaciones: • Auditoría: Identifica el acceso o uso de recursos del sistema y deja constancia de ello. • Logs: Los ficheros de log son el resultado de la auditoría donde queda reflejada la actividad del sistema, siendo una prueba clave como evidencia de una intrusión al sistema, pues puede quedar reflejada en ellos. • El concepto fundamental es AAA (triple A): Autenticación + Autorización + Accounting • Autenticación: Permite asegurar la identidad del usuario. • Autorización (control de acceso): Delimita el acceso a los recursos en función de los usuarios, perfiles, y privilegios. • Accounting: Monitoriza y tracea la actividad del sistema. Si se realiza desde el punto de vista de la seguridad, se llama auditoría.
  • 20. Técnicas de Detección Auditoría en Windows I • Las plataformas Windows (95/NT/2000/...) poseen capacidades de autoría. • Tres niveles de auditoría: • Log de Aplicación: Mensajes + info. de estado + eventos reportados, de aplicaciones no esenciales. • Log de Sistema: Errores + warnings + eventos, generados por el propio SO o por los sistemas esenciales. • Log de Seguridad: Muestra todos los intentos con éxito o fracaso de todas aquellas actividades que se auditan. 20
  • 21. Técnicas de Detección Auditoría en Windows II • Clases de eventos o actividades que se pueden auditar en Windows 2000: • Eventos de logon • Cuentas de Administración • Acceso a Servicios de Directorio • Eventos de logon • Acceso a objetos • Cambios de política • Uso de privilegios • Tracking de procesos • Eventos de sistema 21
  • 23. Técnicas de Detección Auditoría en Unix • El responsable de la auditoría en sistemas Unix/Linux es el demonio Syslog. • El demonio distribuye diferentes mensajes de sistemas a distintos ficheros de log, dependiendo del tipo de mensaje y de su urgencia o severidad. • Los logs de los diferentes sistemas de una red en entornos Unix se suelen centralizar en una única máquina. 23
  • 24. Técnicas de Detección Análisis de logs • Una vez se ha producido una intrusión en una sistema, los ficheros de logs son una de las principales fuentes de evidencias. • Pero los logs a veces no son sencillos de entender. • Existen aplicaciones que interpretan los logs de estos dispositivos. •Ejemplos de logs que se pueden tener que analizar en caso de una intrusión: • Logs del servidor web. • Logs de mensajes del sistema. • Logs del firewall. • Cabeceras de mails. 24
  • 25. Técnicas de Detección Ej: Logs de un Web Server 25
  • 26. Técnicas de Detección Ej: Logs de un Firewall PE,2003/06/27,09:46:20 +2:00 GMT,Aplicación de servicios y controlador,219.9.65.14:53,N/A PE,2003/06/27,09:47:15 +2:00 GMT,FTP Transfer Engine,217.76.135.104:22,N/A FWOUT,2003/06/23,10:07:38 +2:00 GMT,10.10.0.51:1347,216.34.38.96:80,TCP (flags:R) PE,2003/06/27,09:47:22 +2:00 GMT,putty.exe,217.76.135.104:22,N/A PE,2003/06/27,09:50:22 +2:00 GMT,Generic Host Process for Win32 Services,207.46.249.61:80,N/A ACCESS,2003/06/26,17:37:27 +2:00 GMT,java.exe was unable to obtain permission for connecting to the Internet (217.76.128.102:SMTP); access was denied.,N/A,N/A 26
  • 27. Técnicas de Detección Ej: Logs de sistema 27
  • 28. Técnicas de Detección Ej: Logs servidor de correo 28
  • 29. Técnicas de Detección Cabeceras de mails I • Los correos electrónicos son hoy en día una de las principales puertas de entrada para ataques y infecciones en las empresas • Pero los correos electrónicos también son malévolamente utilizados para: • Acosar a las víctimas • Enviar demandas de extorsión, amenazas, etc. • Contactar con víctimas potenciales (pedófilos, violadores, etc.) • Timos (de pirámide, etc.) • etc. • Siendo los propios correos la única pista para identificar al criminal • Normalmente los criminales no firman el correo con su nombre, dirección y teléfono • A simple vista puede que no nos revelen información, pero..... y las CABECERAS de los correos? 29
  • 30. Técnicas de Detección Cabeceras de mails II • Los correos electrónicos “viajan” por diferentes ordenadores hasta llegar al destinatario. • Cada servidor por los que pasa el correo añade información en la cabecera de este. • Es necesario conocer qué información podemos obtener y cual no. Los campos más importantes que podemos ver (RFC-822 - email headers): • From: Identifica el emisor del mensaje (nombre o dirección de correo) • Sender: Identifica el actual emisor del mensaje (puede variar del “from”) • Reply-to: Dirección de correo a la que las respuestas tendrán que ser enviadas • Received: Cada servidor de correo por el que pasa el email, añade su propia linea de received” • Message-ID: Identificador único del mensaje dentro del servidor de correo que lo ha originado. • Es importante comprender que toda la información puede ser falseada. 30
  • 31. Técnicas de Detección Cabeceras de mails III Return-Path: <boletin@kriptopolis.com> Received: from localhost (SC1-1A-u-0035.mc.onolab.com [62.42.144.36]) by llca097.servidoresdns.net (8.11.0/8.10.2) with ESMTP id g4RIaqi10332 for <dfernandez@isecauditors.com>; Mon, 27 May 2002 20:36:52 +0200 Received: from test (unknown [192.168.3.128]) by localhost (Postfix) with SMTP id D48651A1CC; Mon, 27 May 2002 20:24:11 +0200 (CEST) From: Kriptopolis <boletin@kriptopolis.com> To: Boletin <boletin@kriptopolis.com> Reply-To: boletin@kriptopolis.com Subject: Sobre nuestro Boletin Mime-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Message-Id: <20020527182411.D48651A1CC@localhost> Date: Mon, 27 May 2002 20:24:11 +0200 (CEST) Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from quoted-printable to 8bit by llca097.servidoresdns.net id g4RIaqi10332 Status: 31
  • 32. Técnicas de Detección Cabeceras de mails IV • Pero y ¿cómo podemos ver estas cabeceras de los correos en los lectores de correo que se utilizan habitualmente? • OUTLOOK: Una vez abierto el mensaje, desde la opción “Ver + Opciones”: 32
  • 33. Técnicas de detección Cabeceras de mails V • Outlook Express: Una vez abierto el mensaje desde la opción “Archivo + Guardar como” guardamos el mensaje con extensión .eml. Una vez guardado lo podemos abrir con cualquier editor de texto, y podremos ver la cabecera del mail. • Netscape Communicator: Permite ver la cabecera en todos los mensajes que recibimos de forma automática. Para ello es necesario activar la opción “View + Headers + All”: 33
  • 34. Técnicas de Detección Investigación Internet I • Una vez se han recabado todos los datos posibles en el sistema analizado podemos continuar la investigación en Internet. • En Internet existen muchas páginas de donde sacar información: • Motores de búsqueda genéricos • google ( www.google.com ) • terra ( www.terra.es ) • yahoo ( www.yahoo.com ) • altavista ( www.altavista.com ) • lycos ( www.lycos.com ) • etc. • Existen programas que realizan una búsqueda automatizada en muchos motores de búsqueda de Internet, facilitando la tarea del investigador al tener centralizada de esta forma toda la búsqueda de información. • copernic ( www.copernic.com ) 34
  • 35. Técnicas de Detección 35 Investigación Internet II • Otra fuente de información en Internet son los nombres de dominios y las IPs. La identificación en el sistema analizado de la supuesta IP desde la que se originó el ataque nos permite proseguir la búsqueda del atacante..... •Teoría: Cada sistema visible en Internet tiene un identificador único (IP), pero como que no son fáciles de recordar para las persones, también tienen un nombre (p.e. www.collegidetectius.org ). La traducción de nombres a IPs la realizan los Servidores de Nombres de Dominios (DNS - Domain Name System). • P.e. Al poner un nombre como dirección en un navegador ( www.google.com ), internamente el navegador hace una petición a un DNS para que le traduzca el nombre a qué IP corresponde. • En una investigación podemos encontrarnos en la necesidad de saber a quién corresponde un dominio, o una determinada IP a quién corresponde: • dominios .es ( www.nic.es ) • dominios .com / .net / .org ( www.networksolutions.com ) • relación IPs con dominios ( www.ripe.net ) • localizar una IP (www.visualroute.com )
  • 36. Técnicas de Detección Investigación Internet III • Webs con herramientas útiles: • (www.samspade.org ) • ( http://centralops.net/co/body.asp ) • (http://www.demon.net/external/ ) • También puede ser necesario o a veces útil investigar las historia o cambios que se han producido a lo largo del tiempo en las páginas web: • ( www.archive.org ) 36
  • 37. Localización/Preservación Evidencia Digital Índice • Informática forense. • Introducción a la Informática forense. • Estándares de localización • Preservación de la evidencia digital. • Preservación de los datos volátiles. • Preservación de los datos no volátiles. • Recuperación de la evidencia digital 37
  • 38. Localización/Preservación Evidencia Digital Informática forense • Informática forense: Es la especialidad en la que se fusionan la informática con la investigación y que proporciona las bases para la localización y preservación de la evidencia digital. • Asociaciones donde encontrar abundante información: • The International Association of Computer Investigative Specialists (www.cops.org) • Asociación de Expertos Forenses en Tecnologías de la Información ( www.aeftic.org ) • International Organization on Computer Evidence ( www.ioce.org ) • Revistas online especializadas: • International Journal of Digital Evidence ( www.ijde.org ) 38
  • 39. Localización/Preservación Evidencia Digital Introducción • En el entorno informático una evidencia es de uno de estos 3 tipos: • Evidencia Digital: Información de valor para el caso que es transmitida o guardada en formato digital. • Evidencia digital original • Evidencia digital duplicada • Objetos de datos: Información valiosa relacionada con el caso asociada a objetos físicos. • Objetos físicos: Soporte físico sobre el que se guarda la información digital. • Las evidencias “escritas“ las podemos clasificar en: • Evidencia demostrativa: Reconstruye la escena o incidente en cuestión. • Evidencia de documentación: Documentos escritos que constituyen una evidencia. • En el mundo digital dado la facilidad de realizar copias exactas de documentos, generalmente se considera la evidencia digital cómo evidencia demostrativa. 39
  • 40. Localización/Preservación Evidencia Digital Estándares de localización • Las diferentes organizaciones de informática forense coinciden en los estándares a seguir en la localización de las evidencias digitales: • La evidencia ha de ser conservada de la forma más parecida a cómo se encontró • Si es posible, se realizará una copia o imagen exacta del original, para poder hacer las investigaciones sin dañar el original • Las copias que se hagan del original, se tienen que hacer en un medio forensicamente estéril (disco virgen sin datos previos, sin sectores defectuosos, etc.) • Todas las evidencias han de ser marcadas y documentadas, así como todos los pasos realizados en la investigación documentados en detalle. • Existe también un RFC (Request For Comments, de la Internet Engineering Task Force) que establece las bases para la localización y preservación de las evidencias digitales: • RFC 3227 - “Guidelines for Evidence Collection and Archiving” ( http://www.ietf.org/rfc/rfc3227.txt?number=3227 ) 40
  • 41. Localización/Preservación Evidencia Digital Preservación • Por naturaleza la Evidencia Digital es frágil: • Parte es volátil: Está en la memoria temporal de los ordenadores, y cuando estos se apagan se pierde. • Parte es no volátil: La que permanece en el disco duro, pero esta es fácilmente destruida, o modificada (accidental o deliberadamente). • Pasos básicos para la preservación: 1. Preservación de los datos volátiles. 2. Realizar una imagen completa a nivel de bit del medio donde se almacena la evidencia (ficheros ocultos, corruptos, fragmentados, borrados, etc.) 3. Comprobar la integridad de la imagen realizada. 4. Apagar el sistema analizado (quitando la corriente). 5. Conservar el sistema en un lugar seguro. 41
  • 42. Localización/Preservación Evidencia Digital Datos volátiles • Donde se encuentran? RAM, Memoria cache, en la memoria de periféricos (tarjeta de video, de red, etc.). • Problema: su propia recolección implica cambiar el estado del sistema y por lo tanto del contenido propio de la memoria. • Existen algunas herramientas para obtener esta información volátil: • netstat / nbdstat: Muestran las conexiones de red. • arp: nos permite conocer que máquinas se han conectado recientemente con el sistema analizado. • ps / pslists: Muestran los procesos que están corriendo en la máquina. • ifconfig / ipconfig: Nos dan información sobre el estado de la red. • dd: Permite hacer una copia del contenido de la memoria en máquinas Unix. 42
  • 43. Localización/Preservación Evidencia Digital Datos no volátiles • Donde se encuentran? Básicamente en el disco duro de la sistema analizado. • Datos no volátiles duplicado del disco duro (imagen) • Formas para hacer la imagen: • Quitar el disco duro del sistema analizado y instalarlo en otro para hacer la copia. • Instalar otro disco duro en el sistema analizado y hacer la copia. • Utilizar dispositivos autónomos especiales para hacer imágenes (DIBS Portable Evidence Recovery Unit, Rapid Action Imaging Device). • Utilizando una conexión de red para transferir los contenidos del disco a otro. • Imagen del disco <> Copia de backup • Consideraciones especiales a tener en cuenta: • Factores ambientales: temperatura, campos electromagnéticos. • Fecha y hora: Documentar la fecha y hora del sistema analizado antes de apagarlo (puede no ser la actual) 43
  • 44. Localización/Preservación Evidencia Digital Recuperar Evidencia Digital I • Hay casos en los que recuperar una evidencia digital puede parecer más difícil: • Ha sido borrada del sistema • Está cifrada • Está oculta • Cómo recuperar archivos borrados? • El borrado normal de un archivo no lo elimina del disco duro! • Todo o la mayor parte del contenido del archivo persiste en el sistema y es posible recuperarla con las herramientas adecuadas: • Fast File Recover (http://www.savemyfiles.com/fastfile.htm ) • The Coroner’s Toolkit ( http://www.porcupine.org/forensics/tct.html ) • Cómo recuperar información cifrada? • No siempre es posible. Depende del tipo de cifrado y la clave utilizada. • Ataques por fuerza bruta, por diccionarios, etc. 44
  • 45. Localización/Preservación Evidencia Digital Recuperar Evidencia Digital II • Donde buscar la información oculta? A nivel básico podríamos buscar: • Ficheros ocultos. • Papelera de reciclaje. • Alternate DataStreams en sistemas de ficheros NTFS (Windos NT, 2000). • Donde buscar más información: • El histórico de URLs visitadas de los navegadores. • En las cache que se guarda de las páginas web visitadas. • Ficheros temporales creados por las propias aplicaciones (word, etc.) • Páginas de swap utilizadas por los Sistemas Operativos. 45
  • 46. Casos de Investigación Índice • Correos Anónimos • Investigación post-intrusión 46
  • 47. Casos de Investigación Correos Anónimos I • El envío: 220 llca201.servidoresdns.net ESMTP Sendmail 8.11.6/8.10.2; Fri, 1 Jul 2003 10:03:48 +0200 EHLO ANONYMOUS 250-llca201.servidoresdns.net Hello docs41-167.menta.net [62.57.40.167], pleased to meet you 250-ENHANCEDSTATUSCODES 250-EXPN ...... 250 HELP MAIL FROM: ANON@ANON.COM 250 2.1.0 ANON@ANON.COM... Sender ok RCPT to: DFERNANDEZ@ISECAUDITORS.COM 250 2.1.5 DFERNANDEZ@ISECAUDITORS.COM... Recipient ok DATA 354 Enter mail, end with "." on a line by itself SUBJECT: MAIL ANONYMOUS ANONYMOUS MAIL . 250 2.0.0 h64841g09995 Message accepted for delivery 47
  • 48. Casos de Investigación Correos Anónimos II • El mail: • La cabecera del mail: Return-Path: <ANON@ANON.COM> Received: from ANONYMOUS (------------------) by llca201.servidoresdns.net (8.11.6/8.10.2) with ESMTP id h64841g09995 for DFERNANDEZ@ISECAUDITORS.COM; Fri, 1 Jul 2003 10:04:31 +0200 Date: Fri, 1 Jul 2003 10:04:31 +0200 From: ANON@ANON.COM Message-Id: <200307040804.h64841g09995@llca201.servidoresdns.net> SUBJECT: MAIL ANONYMOUS Status: 48
  • 49. Casos de Investigación Correos Anónimos III • Investigando el origen: • Sepamos a quien corresponde este servidor de correo: [d:]ping llca201.servidoresdns.net Haciendo ping a llca201.servidoresdns.net [217.76.128.102] con 32 bytes de datos: • Ahora obtengamos datos para ponernos en contacto: http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=217.76.128.102&do_search=Search • Según la LSSICE los ISP están obligados a almacenar registros de uso de sus servidores. • A partir de los registros del ISP podremos obtener la IP de origen de la conexión. http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=62.57.40.167&do_search=Search • Ahora deberemos pedir al ISP que proveé la conexión nos facilite el titular de dicha cuenta. 49
  • 50. Casos de Investigación Investigación post-intrusión I El Caso Ideal: • Identificación: ¿Nuestro sistema ha sido realmente comprometido? Debemos revisar los logs de los Detectores de Intrusos, registros de acceso anómalos, etc. • Preservación de la evidencia: Hay que congelar la escena del crimen sin dar pistas que se está haciendo. • Hay que intentar preservar archivos de memoria (archivos swap Windows, /proc en Unix, etc.). • Realizar una copia inmediata del disco duro. • Construir una linea temporal de actuación: • Qué sucedió en el sistema antes de su compromiso. • Qué hizo el intruso durante el compromiso (cantidad de intrusos, acciones, etc.) • Porqué salió del sistema. • Análisis de toda la información: • Las intrusiones crean alteraciones en los sistemas, cuanta más operaciones realizan los intrusos más ruido crean en estos y cuantas más huellas quieren borrar, más huellas dejan. 50
  • 51. Casos de Investigación Investigación post-intrusión II El Caso Real: servidores en producción de una empresa de servicios on-line 24x7. • El rendimiento de la red de servidores había descendido un 80%. • 4 horas para descubrirse si la máquina había sido o estaba siendo comprometida. • Descubrir los puntos de entrada al sistema y cerrarlos. • Analizar cuáles habían sido las acciones que se habían producido en su interior • Intentar averiguar quién había sido en intruso, o el origen de la intrusión. • Restituir el servicio en la máquina. Contras: • No se dispone de herramientas de análisis forense. • No se dispone de acceso físico al sistema. • Únicamente se cuenta con el software básico de una máquina Linux y las herramientas propias del servidor Windows, supuestamente comprometido. 51
  • 52. Casos de Investigación Puertas de entrada Port scanning Estado de los puertos Puerto Protocolo Estado 20 TCP Cerrado 21 TCP Abierto 80 TCP Abierto 1025 TCP Abierto 1026 TCP Abierto 1032 TCP Abierto 1042 TCP Abierto 1043 1045 1046 1047 1402 1433 3372 3389 5631 5800 5900 15876 54321 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Abierto Servicio FTP-Data FTP http NFS o IIS LSA o nterm Iad3 Comentarios Servidor de FTP Servidor web Win Server lo utiliza para administrar sus recursos. Prm-sm-nc Ms-sql-s Msdtc Ms-term-serv Pcanywheredata VNC-http VNC Desconocido Desconocido Servidor de SQL Servidor de Terminales PCAnyWhere Acceso VNC Acceso VNC Referencias a alguno de los servidores en listas de Internet: Inclusión en listas publicas o underground de máquinas Gusano Sapphire http://www.netsys.com/library/sapphire-hosts.txt 52
  • 53. Casos de Investigación Servicios anómalos • Hay servicios no habituales en ejecución. • Los puertos no estándar que están ofreciendo servicios se deshabilitan parándolos. 53
  • 54. Casos de Investigación Entradas en el registro • El registro de Windows mantiene información sobre los servicios que se arrancan al encender el ordenador, donde están estos programas, etc. • Se localizan las entradas en el registro que arrancan estos servicios y se localizan los ejecutables en el disco duro. 54
  • 55. Casos de Investigación Localización de los troyanos • Se ha troyanizado alguno de los servidores, se han instalado FTPs y se emplean para el intercambio de software, películas, música pirata y como foro de hackers. • La red había sufrido una caida debido al flujo de datos que implicaba esto. 55
  • 56. Casos de Investigación Limpieza y restitución • La máquina se había preparado de forma que parecía que intentaba borrar sus huellas si la conexión al exterior se perdía. • Había que localizar las herramientas instaladas y ocultadas en el sistema con tal de proteger las Bases de Datos, ya que se todavía no se conocía completamente que operaciones realizaban estos troyanos. • Eliminados éstos, se revisa el sistema, con el objeto de salvaguardar la mayor cantidad de información sobre el origen de la intrusión. • La intrusión no fue realizada desde un único punto. Los resultados fueron que los servidores en concreto no eran el objetivo, sino las capacidades de la infraestructura para sus fines y la intrusión era cuanto menos, desordenada y sin coordinación. • No se habían realizado accesos a las Bases de Datos y las alteraciones en los directorios del sistema habían sido mínimas, con el fin de no levantar sospechas • La intrusión se había producido gracias a un indebido mantenimiento de las máquinas durante unas semanas, hecho que facilito la entrada a los sistemas aprovechando una vulnerabilidad publicada. • La red y los servidores estuvieron funcionando al 100% en 3 horas y 15 minutos. • Este tipo de intrusión más común en Internet. 56
  • 57. CURSO DE PRÁCTICA OPERATIVA EN INVESTIGACIÓN MÓDULO 5 INTERNET, DOCUMENTACIÓN Y BASES DE DATOS HERRAMIENTAS DE INVESTIGACIÓN C o n t r a p o r t a d a Y SEGURIDAD EN INTERNET Muchas gracias su vuestra atención Daniel Fernández Xavier Carbonell dfernandez@isecauditors.com xcarbonell@isecauditors.com 4 de Julio de 2003