Reto de análisis forense


Como se comentó en clase, hace unos años Red Iris propuso un reto que consistía en realizar el análisis forense de un servidor previamente atacado.
El resultado de ese reto se encuentra en la URL http://www.rediris.es/cert/ped/reto/resultados.html Creo que es muy interesante leer, estudiar y llegar a comprender, como administradores de redes en formación, las acciones documentadas por los participantes.
Espero que lo aprovechéis.

Anuncios

4 comentarios en “Reto de análisis forense

  1. He estado ojeando los informes de los ganadores del reto (David Santos y Javier Suárez) y he podido sacar algunas conclusiones:

    * No siempre los atacantes son hackers expertos.

    El ataque se produjo, según los autores, por atacantes “sin unos conocimientos altos de informática y utilizando herramientas diseñadas por terceros”, explotando una “CONOCIDA VULNERABILIDAD” del servidor wuftpd, que permitia obtener un shell de root, “dejando la máquina a su merced SIN APENAS ESFUERZO”. Esto nos indica que un sistema no solo es vulnerable para hackers expertos, también lo es para personas sin altos conocimientos (llamados “script-kiddies” en el informe) que se aprovechan de vulnerabilidades conocidas en sistemas no actualizados o inseguros.

    * Es fundamental mantener los programas actualizados.

    Al hijo del punto anterior. Se deduce que es fundamental CONOCER NUESTROS SERVICIOS, actualizarlos, y estar al tanto de posibles vulnerabilidades que los hagan inseguros, actuando en consecuencia (actualizando el programa, o en su defecto, cambiarlo por otro más seguro). Cuando salen a la luz nuevas vulnerabilidades, normalmente en la nota también se explica el modo en que puede ser explotada.

    * Las consecuencias pueden ser nefastas.

    Cuando un atacante accede al sistema, PUEDE HACER CUALQUIER COSA. Desde tirar abajo todos nuestros servicios, hasta utilizarlo como estación base para ataques a otras máquinas (pudiendo dañar el nombre de la empresa). Por supuesto también podría acceder a información confidencial de la empresa, o provocar problemas legales si hubiera utilizado la máquina como servidor de spam.

    Aparte de estas conclusiones que extraigo (como futurible administrador), los autores extraen muchas recomendaciones, comento las más importantes:

    * La máquina no debe ser restaurada, sino que debe instalarse desde 0. Para asegurarse de que el sistema esté limpio, sobretodo si el ataque ha sido profundo.

    * Modificar toda información confidencial modificable, por ejemplo las contraseñas. En el caso del ataque, se detectó que se enviaron las contraseñas encriptadas al menos a una dirección de correo.

    * Se debe medir el alcance de los servicios. En este caso el ataque se produjo porque el servidor FTP permitía el acceso anónimo, quizás no era necesario habilitar dicha función. Así que hay que proporcionar el servicio limitando las funcionalidades a lo estrictamente necesario.

    * Como he comentado antes, los autores también recomiendan seleccionar cuidadosamente las herramientas, verificando versiones y vulnerabilidades conocidas. En este caso la vulnerabilidad había sido detectado 2 años antes, y el parcha había sido lanzado y modificado por Red Hat muchos meses antes del ataque.

    * Utilizar cortafuegos si la máquina va a estar expuesta a internet. Obviamente bien configurado.

    * Revisar diariamente los logs. Esto puede hacer que cortemos la intrusión antes de que las consecuencias sean más graves.

    * No se debe pensar que una máquina no es apetecible para los atacantes, por el mero hecho de que no posea información no es importantes. Muchas veces los ataques se producen de manera indiscriminada.

  2. Aquí hay otro ejemplo de análisis, el 2º reto de análisis forense que curiosamente está organizado por prestigiosas universidades de España y México. Para el que no lo conozca el análisis forense informático, consiste en descubrir cómo se produjo una intrusión en un sistema y que realizó el intruso una vez penetrada la seguridad del mismo. Es un área importante de la seguridad que cada día está teniendo una importancia mayor y estos retos a parte de probar nuestras habilidades sirven para fomentar el conocimiento en este área.

    Web:

    http://www.seguridad.unam.mx/eventos/reto/

  3. Hola,

    En primer lugar muy interesantes las conclusiones de #1.

    Y una de las cosas que quería postear pero no lo hize por falta de tiempo, es la relativamente reciente presentación por parte de SG6 [1] de SecGame [2]

    La idea es utilizar el sistema de virtualización QEMU para virtualizar sistemas operativos completos y de esta manera realizar test de penetración (pen-test).

    El primero concurso que utiliza esta plataforma es Sauron [3], esta disponible en dos niveles de dificultad y se puede correr tanto en windows como en linux, os copio directamente de la página:

    SG6 Labs publica su primer entorno para SecGame. SecGame #1 Sauron, representa un sistema GNU/Linux en el que se ejecutan una serie de servicios web vulnerables. El objetivo del atacante es escalar privilegios desde la web hasta el sistema local, para una vez allí, aprovechar otras vulnerabilidades existentes y llegar a ser administrador (root).

    http://www.sg6.es/
    http://www.sg6.es/labs/
    http://sg6-labs.blogspot.com/2007/12/secgame-1-sauron.html

    Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s