HADES

1
HADES

• SEGURIDAD EN LA RED
• Y
• ANÁLISIS FORENSE

Universidad de Murcia Facultad de Informática
2
Tabla de Contenido

• Introducción
• Objetivos y Metodología
• Diseño y Resolución
• Conclusión y Vías Futuras

Universidad de Murcia Facultad de Informática
3
Introducción (I)

• Antecedentes
• Desde el primer gran incidente de seguridad en
  1988 la preocupación por la seguridad en equipos
  y redes de computadores de propósito general se
  ha convertido en algo fundamental.
• Ante la aparición de los peligros potenciales que
  podía entrañar un fallo o un ataque a los equipos
  informáticos surgen los CERT para dar respuesta
  rápida a los problemas de seguridad. El primero
  en crearse fue el CERT/CC.

Universidad de Murcia Facultad de Informática
4
Introducción (II)

• El Problema de la Seguridad
• Cada día se hace más patente la preocupación por
  los temas relacionados con la seguridad en la red
  y sus equipos informáticos, así como la necesidad
  de esta seguridad.
• El número de incidentes de seguridad reportados y
  el costo económico asociado crece de forma
  espectacular año tras año.

Universidad de Murcia Facultad de Informática
5
Introducción (III)

• Análisis Forense (Concepto)
• Si la prevención y los IDS (Sistemas de Detección
  de Intrusos) fallan ? Análisis Forense.
• Def Análisis de un equipo atacado para averiguar
  el alcance de la violación, las actividades de un
  intruso en el sistema, y la puerta utilizada para
  entrar de esta forma se previenen ataques
  posteriores y se detectan ataques a otros
  sistemas de la propia red.

Universidad de Murcia Facultad de Informática
6
Introducción (IV)

• Análisis Forense (Dificultad)
• Sin embargo, no resulta fácil
• Proceso laborioso (mucha información).
• Actuación precipitada de administradores.
• Eliminación de pruebas.
• Falta de automatización.

Universidad de Murcia Facultad de Informática
7
Introducción (y V)

• Experiencia Piloto de RedIRIS
• Como consecuencia de los problemas de seguridad,
  RedIRIS emprende un proyecto a nivel nacional.
• Coordinado desde IRIS-CERT y con la colaboración
  de varias Universidades Españolas.
• Objetivo Creación de una red de equipos
  supervisada, que permita la detección de nuevos
  patrones de ataque y el análisis de los sistemas
  atacados.
• Este proyecto está enmarcado dentro de esa
  experiencia piloto.

Universidad de Murcia Facultad de Informática
8
Objetivos y Metodología (I)

• Objetivos
• Desarrollo de un sistema capaz de monitorizar de
  manera transparente la información que circula
  por la red destinada a uno o varios equipos
  específicos para detectar ataques.
• Estudio pormenorizado de los ataques, usando la
  información almacenada por los IDS y la
  información que se pueda recuperar del equipo
  atacado.
• Obtención de patrones de comportamiento de los
  atacantes para descubrir nuevas modalidades de
  intrusión.
• Desarrollo de una guía que especifique los pasos
  a seguir cuando un equipo ha sido atacado.

Universidad de Murcia Facultad de Informática
9
Objetivos y Metodología (y II)
Universidad de Murcia Facultad de Informática
10
Diseño y Resolución (I)

• Diseño de la topología (Requisitos)
• Toda información con origen/destino los equipos
  trampa debe pasar por el equipo de control
  (monitorización y filtrado del tráfico).
• Necesidad de un mecanismo que permita comunicar
  al sistema de control con los equipos trampa sin
  que haya una conexión física directa.
• Se debe poder aislar los equipos trampa de forma
  individual (bloqueo de accesos remotos).

Universidad de Murcia Facultad de Informática
11
Diseño y Resolución (II)

• Diseño de la topología (Soluciones)

Universidad de Murcia Facultad de Informática
12
Diseño y Resolución (III)

• Configuración del Sistema de Control
• Instalación de un sistema operativo seguro
  (VA-Linux).
• Funcionamiento en modo Bridge (bridge-utils).
• Configuración para realizar Firewalling
  (iptables).
• Monitorización de los equipos trampa (tcpdump y
  snort).

Universidad de Murcia Facultad de Informática
13
Diseño y Resolución (IV)

• Configuración de los Equipos Trampa
• Instalación de distintos sistemas operativos.
• Apertura de todos los puertos y servicios
  disponibles.
• Instalación de herramientas que faciliten la
  copia y migración de datos (dd y nc).
• Sincronización de la hora del sistema con algún
  servidor de tiempo fiable (NTP).

Universidad de Murcia Facultad de Informática
14
Diseño y Resolución (V)

• Análisis de Ataques (Ideas Generales)
• La mayor parte de los ataques que acaban con un
  acceso al sistema con privilegios de root siguen
  el mismo esquema
• Se realiza un escaneo buscando equipos
  vulnerables que estén ejecutando un servicio con
  algún fallo de seguridad conocido.
• Se emplea un exploit contra el equipo,
  consiguiendo instalar una puerta de acceso al
  sistema.
• El atacante instala o compila un rootkit
  conjunto de programas de nombre y comportamiento
  similar al de comandos del sistema operativo, que
  sin embargo no muestran información sobre
  determinados estados del sistema.
• El atacante instala herramientas de ataque para
  escanear otros equipos y redes, empleando esta
  máquina como puente.

Universidad de Murcia Facultad de Informática
15
Diseño y Resolución (VI)

• Análisis de Ataques (Análisis Forense I)
• Evitar utilizar comandos y/o aplicaciones del
  equipo atacado, ya que pueden estar troyanizadas.
  Así mismo, utilizar programas compilados
  estáticamente. Mejor si se usa un equipo distinto
  para el análisis.
• Realizar una copia a nivel de bit de los datos y
  enviarlos (si es posible) a otro equipo.
• - Ejemplo
• En el equipo víctima
• dd if/dev/sda4 of nc equipo_remoto p 100
• En el equipo remoto
• nc s p 1000 gt sda4

Universidad de Murcia Facultad de Informática
16
Diseño y Resolución (VII)

• Análisis de Ataques (Análisis Forense II)
• Obtener todos los datos disponibles sobre el
  sistema versión, particiones, hora y fecha del
  ataque, fecha en la que se desconectó de la
  red...
• Montar las imágenes de las particiones para su
  análisis.
• - Ejemplo
• mount -o ro,loop,nodev,noexec raiz-hda4
  home/analisis/disco
• mount -o ro,loop,nodev,noexec var-hda3
  home/analisis/disco/var

Universidad de Murcia Facultad de Informática
17
Diseño y Resolución (VIII)

• Análisis de Ataques (Análisis Forense III)
• Obtener los tiempos MAC de ficheros y directorios
  antes de hacer cualquier modificación
  (grabbe-robber, ils, ils2mac, mactime).
• - Ejemplo
• grave-robber -o LINUX2 -c
  home/analisis/disco -m -d ./resultados
• ils /home/analisis/raiz-hda4 ils2mac gt
  ilsbody
• cat body ilsbody gt body-full
• mactime -b body-full 08/04/2001 gt
  mactime.txt

Universidad de Murcia Facultad de Informática
18
Diseño y Resolución (IX)

• Análisis de Ataques (Análisis Forense IV)
• Comprobar la integridad de todos los binarios
  existentes en el sistema y de los paquetes
  instalados (Tripwire, rpm, pkgchk...).
• - Ejemplo
• rpm -V -a --roothome/analisis/disco/
  
• ...
• SM5....T /bin/ls
• SM5....T /usr/bin/ps
• ...
• Inspeccionar ficheros de configuración en busca
  de modificaciones.
• Buscar cadenas extrañas dentro de ficheros
  binarios que puedan delatar la presencia de un
  rootkit (difícil).

Universidad de Murcia Facultad de Informática
19
Diseño y Resolución (X)

• Análisis de Ataques (Análisis Forense V)
• Analizar los tiempos MAC para crear una línea
  temporal de las actividades realizadas por el
  intruso.
• Ejemplo
• Aug 06 01 095755
• 627271 ..c -rw-r--r--
  root root ltraiz-hda4-dead-2404gt
• Aug 06 01 095800
• 4096 m.c drwxr-xr-x root
  root home/analisis/disco/bin
• 11952 .a. -rwxr-xr-x root
  root home/analisis/disco/bin/chown
• 35300 ..c -rwxr-xr-x root
  root home/analisis/disco/bin/netstat
• 33280 ..c -rwxr-xr-x root
  root home/analisis/disco/bin/ps
• 36864 m.c drwxr-xr-x root
  root home/analisis/disco/dev
• 241 m.c -rw-r--r-- root
  root home/analisis/disco/dev/xdta
• 145 m.c -rw-r--r-- root
  root home/analisis/disco/dev/xmx
• 19840 ..c -rwxr-xr-x root
  root home/analisis/disco/sbin/ifconfig

Universidad de Murcia Facultad de Informática
20
Diseño y Resolución (y XI)

• Análisis de Ataques (Análisis Forense y VI)
• Recuperar la información eliminada por el
  atacante (unrm, lazarus, icat...).
• - Ejemplo
• icat raiz-hda4 92962 gt fich-92962
• Contrastar la información obtenida con la que ha
  quedado almacenada en el sistema de
  monitorización (IDS).

Universidad de Murcia Facultad de Informática
21
Conclusiones y Vías Futuras (I)

• Conclusiones
• El problema de la seguridad en equipos
  informáticos y redes de computadores es tan
  amplio como complejo.
• Esto crea la necesidad de tener sistemas eficaces
  de detección de intrusiones y estar al día en los
  nuevos métodos de ataque.
• Difícil encontrar gente con experiencia en el
  análisis de ataques y falta de un marco de
  trabajo común.
• En este proyecto se ha tratado de aunar ambos
  problemas para proponer soluciones prácticas.
• Los resultados alcanzados hacen pensar que se
  abren las puertas de una nueva línea de
  investigación, que ayudará a conseguir equipos
  más seguros.

Universidad de Murcia Facultad de Informática
22
Conclusiones y Vías Futuras (y II)

• Vías futuras
• Instalación y monitorización de más equipos
  trampa.
• Captura de logs remotos.
• Monitorización de los procesos del sistema.
• Desarrollo de una interfaz que permita la
  separación, visualización y clasificación de las
  distintas conexiones establecidas sobre un
  equipo.

Universidad de Murcia Facultad de Informática