El Día No Deseado Javier Romero
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
El día no deseado
• Es inevitable
• Es telemático
• Es Bembos!
III Simposio Internacional de Redes y Comunicaciones de Datos
2
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Lecciones aprendidas
• Gestión de continuidad de negocios nos dice:
– Planifica la gestión de crisis • Fase 1: Gestiona los medios / riesgo
• Fase 2: Gestiona los medios
• Fase 3: Retirada
• Fase 4: Revisa
III Simposio Internacional de Redes y Comunicaciones de Datos
3
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Meta III Simposio Internacional de Redes y Comunicaciones de Datos
4
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
¿Cómo atraer al enjambre? III Simposio Internacional de Redes y Comunicaciones de Datos
5
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Activando el enjambre
– Poca información
– Disfraza con un halo aseverativo
– Un mensaje muchas interpretaciones
– No ofrezcas ni un ápice de lo técnico
– No seas profundo para nada
– No respaldes la denuncia, si puedes niégala
– Se muy lento, eterniza tu respuesta • Quizás nadie se entere
III Simposio Internacional de Redes y Comunicaciones de Datos
6
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos
7
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos
8
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos
9
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos
10
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Punto.pe III Simposio Internacional de Redes y Comunicaciones de Datos
11
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Una semana después del 1er. comunicado III Simposio Internacional de Redes y Comunicaciones de Datos
12
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Lección aprendida
– Responder rápido (si vas a ofrecer investigar, cumple!)
– Ser sincero • Ofrecer disculpas (si eres culpable)
– Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios
• Que ellos saquen el minuto a minuto de ti, y pronto
• Se aburrirán, y el enjambre se disolverá
III Simposio Internacional de Redes y Comunicaciones de Datos
13
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Ellos necesitan la miel del panal
• La compañía de gestión de medios
• Los abogados necesitan información
III Simposio Internacional de Redes y Comunicaciones de Datos
14
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Dónde está mi panal
• En la red: La red está en todos lados
III Simposio Internacional de Redes y Comunicaciones de Datos
15
17:29:28.483854 IP 192.168.1.201 > x.y.z.1: ICMP echo request, id 2802, seq
1, length 17
0x0000: 4500 0025 0000 4000 4001 bf4c c0a8 01c9 E..%..@[email protected]....
0x0010: c80e f10b 0800 b1ad 0af2 0001 5a47 5673 ............ZGVs
0x0020: 4367 3d3d 0a Cg==.
17:29:43.504762 IP 192.168.1.201 > x.y.z.1: ICMP echo request, id 2820, seq
1, length 21
0x0000: 4500 0029 0000 4000 4001 bf48 c0a8 01c9 E..)..@[email protected]....
0x0010: c80e f10b 0800 0af9 0b04 0001 6332 566a ............c2Vj
0x0020: 6447 3979 4367 3d3d 0a dG9yCg==.
17:29:58.525749 IP 192.168.1.201 > x.y.z.1: ICMP echo request, id 2838, seq
1, length 17
0x0000: 4500 0025 0000 4000 4001 bf4c c0a8 01c9 E..%..@[email protected]....
0x0010: c80e f10b 0800 709b 0b16 0001 6347 4677 ......p.....cGFw
0x0020: 5951 6f3d 0a YQo=.
del
sector
papa
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Demanda: Cache poisoning (12 años atrás) III Simposio Internacional de Redes y Comunicaciones de Datos
16
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
La pichanguita de TI III Simposio Internacional de Redes y Comunicaciones de Datos
17
Gerencia legal
Gerencia TI
Proveedor del servidor
Testimonios Helpdesk
¿Porcentaje de confiabilidad?
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Abogados necesitaban estar 100% seguros III Simposio Internacional de Redes y Comunicaciones de Datos
18
• Por el desempate
Hackeados Invictos Vs.
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Pre “visión” forense de la red
• Previsión = Captura
– En caso de emergencia • Forense = Inicie análisis
III Simposio Internacional de Redes y Comunicaciones de Datos
19
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Romper el vidrio ¿así de fácil?
• Cada caso es un reto (no es un doble-clic)
III Simposio Internacional de Redes y Comunicaciones de Datos
20
Poder forense
querty A B ñlkjh
paquetes
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Forense de red vs. sistema archivos
• Complejidad
– Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos
– Decodificadores • Varían según RFC, año liberación, singularidades del
fabricante.
• Más retador
– Ciencia forense es un trabajo “artesanal”
III Simposio Internacional de Redes y Comunicaciones de Datos
21
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
¿Cuál fue el reto?
• El Sistema capturaba
– 68 bytes
• Una consulta promedio puede tomar
– 300bytes (google, facebook)
• ¿Un doble clic con 68 bytes?
III Simposio Internacional de Redes y Comunicaciones de Datos
22
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Lo que debió pasar vs. lo que dicen que pasó
• www.erdp.com
– 200.48.33.214
• www.porki.com
– 181.44.6.189
III Simposio Internacional de Redes y Comunicaciones de Datos
23
Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página
pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta.
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Matemáticas
-14 bytes ethernet-header
-20 bytes ip-header
-08 bytes udp-header
-12 bytes dns-header
¿puedo escribir www.erdp.com y su IP con 14 bytes?
III Simposio Internacional de Redes y Comunicaciones de Datos
24
54
34
26
14
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Veamos III Simposio Internacional de Redes y Comunicaciones de Datos
25
19:54:16.603234 IP 207.31.248.3.62826 > 207.0.8.4.53: 61386+[|domain]
0x0000: 4500 003a 0000 4000 4011 9c8b cf1f f803 E..:..@.@.......
0x0010: cf00 0804 f56a 0035 0026 48e1 efca 0100 .....j.5.&H.....
0x0020: 0001 0000 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00 p.com.
19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46)
0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............
0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6......
0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00 p.com.
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Con toda la captura completa III Simposio Internacional de Redes y Comunicaciones de Datos
26
19:54:37.129729 IP 207.31.248.3.59399 > 207.0.8.4.53: 28196+ A?
www.erdp.com. (30)
0x0000: 4500 003a 0000 4000 4011 9c8b cf1f f803 E..:..@.@.......
0x0010: cf00 0804 e807 0035 0026 d7ea 6e24 0100 .......5.&..n$..
0x0020: 0001 0000 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00 0001 0001 p.com.....
19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A
200.48.33.214 (46)
0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............
0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$..
0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00
0001 0001 c00c 0001 0001 p.com...........
0x0040: 0000 0e10 0004 c830 21d6 .......0!.
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Historia dentro de la historia III Simposio Internacional de Redes y Comunicaciones de Datos
27
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Checksums
• Integridad en secuencia de datos (transmitidos)
III Simposio Internacional de Redes y Comunicaciones de Datos
28
Ch
eck
sum
Dat
a
Pckt#3
Ch
eck
sum
Dat
a Pckt#2
Ch
eck
sum
Dat
a
Pckt#1
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio Internacional de Redes y Comunicaciones de Datos
29
0000 0000 0000 0000 0000
10011100 0011 1111
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Checksum IP / UDP
• IP
– Asegura que data permaneció intacta en el viaje
– Destino descarta paquete si checksum incorrecto
– A nivel de routers • Se verifica en cada salto (router)
• Se recalcula de nuevo con el TTL nuevo
• UDP
– Aún mejor
III Simposio Internacional de Redes y Comunicaciones de Datos
30
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio Internacional de Redes y Comunicaciones de Datos
31
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio Internacional de Redes y Comunicaciones de Datos
32
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
UDP Checksum III Simposio Internacional de Redes y Comunicaciones de Datos
33
Dirección IP fuente (32-bit)
Dirección IP destino (32-bit)
cero protocol (8-bit) Longitud UDP (16-bit)
Puerto origen (16-bit) Puerto destino (16-bit)
Longitud UDP (16-bit) Checksum (16-bit)
datos
Byte de relleno
0 8 16 31
Pseudo
Cabecera
UDP
Cabecera
UDP
Data
UDP
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
CSI, reconstrucción de los hechos
• Reproducir consultas, analizar respuestas, comparar checksums
– Pero empleando la “evidencia inicial”
III Simposio Internacional de Redes y Comunicaciones de Datos
34
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Trabajo forense
• Para descartar si el testimonio del acusado o del acusador fue real
– Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión
– Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los
campos únicos de la hora e instante del incidente.
III Simposio Internacional de Redes y Comunicaciones de Datos
35
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Campos únicos
• Aquí algunos de los campos únicos del caso: • IP
– Longitud Cabecera IP – Longitud total del paquete – IP ID – IP Flags – Fragment Offset – TTL – Checksum IP – IP origen
• A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP
• DNS – Query Identification
III Simposio Internacional de Redes y Comunicaciones de Datos
36
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
La información es poder (caso resuelto)
• La más sólida información posible
– No teorías, no conjeturas, no entredichos
• Certeza, para una certera defensa
III Simposio Internacional de Redes y Comunicaciones de Datos
37
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Hemos aprendido
• En el día no deseado – Necesita “habilitar” el poder forense de la red – Si callas, empeoras las cosas – Si te informas mal, empeoras las cosas – Si les documentas lo ocurrido con ciencia (lección
aprendida) • con disculpa bastará, y tu team de seguridad quedará bien
parado
• Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto
• No plug-ins
• Prepararlo requiere apoyo – Legal / técnico
• No se aventure a hacerlo sin asesoría de JACKSECURITY
III Simposio Internacional de Redes y Comunicaciones de Datos
38
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
Algunas FAQ de la solución propuesta
• ¿Cómo se compone una solución para el día no deseado?
• ¿Dónde consigo el rr.hh.?
• ¿Cuál es la dosis adecuada de captura?
• ¿Cuánto cuesta la solución?
• ¿Qué es primero, EH o Forense Red?
• ¿Son los logs útiles?
• ¿Qué más podría capturar/colectar?
• ¿Dónde, cómo habilito el poder forense en mi red?
• ¿Qué requisitos debo tener?
• ¿Qué poder legal tiene en la cadena de custodia?
• Nota: IMPORTANTE – No se aventure a hacerlo sin asesoría de JACKSECURITY
III Simposio Internacional de Redes y Comunicaciones de Datos
39
JaC
kS
ecuri
ty
III
Sim
posi
o d
e C
om
unic
acio
nes
y R
edes
de
Dat
os
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
JACKSECURITY
• Especialistas respondiendo incidentes, 2006
• Hermanados goblamente
– Con miembros de FIRST
• Creamos
– Tecnología propia
– Colectores de varios TiB
– Capturadores remotos e inalámbricos
• Practicamos el reciclaje, de nuestro KB
– Pentest
– Consultoría
III Simposio Internacional de Redes y Comunicaciones de Datos
40
Top Related