CON: 3820. GESTIN DE INCIDENTES DE SEGURIDAD INFORMTICA.

MDULO 1 SISTEMAS DE DETECCIN Y PREVENCIN DE INTRUSIONES (IDS/IPS). UNIDAD DIDCTICA 1. CONCEPTOS GENERALES DE GESTIN DE INCIDENTES, DETECCIN DE INSTRUSIONES Y SU PREVENCIN. Conceptos generales. Gestin de incidentes. Por Incidente de Seguridad entendemos cualquier evento que pueda provocar una interrupcin o degradacin de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad o integridad de la informacin. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a informacin y/o recursos de forma no autorizada. Aunque un incidente tambin podra ser la consecuencia de un error o trasgresin (accidental o deliberada) de las polticas y procedimientos de seguridad, o de un desastre natural o del entorno (inundacin, incendio, tormenta, fallo elctrico...). En Espaa, la Ley Orgnica de Proteccin de Datos define una incidencia como "cualquier anomala que afecte o pudiera afectar a la seguridad de los datos", en el contexto de los ficheros con datos de carcter personal. Por otro lado, al hablar de Gestin de Incidentes hemos de decir, que esta tiene como objetivo resolver cualquier evento que cause una interrupcin en el servicio de la manera ms rpida y eficaz posible. La Gestin de Incidentes no debe confundirse con la Gestin de Problemas, pues a diferencia de esta ltima, no se preocupa de encontrar y analizar las causas subyacentes a un determinado incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelacin entre ambas.

Aunque el concepto de incidencia se asocia naturalmente con cualquier malfuncionamiento de los sistemas de hardware y software, segn el libro de Soporte del Servicio de ITIL un incidente es: Cualquier evento que no forma parte de la operacin estndar de un servicio y que causa, o puede causar, una interrupcin o una reduccin de calidad del mismo. Este sera un ejemplo claro y habitual de Gestin de incidentes:

Aqu se muestra un ejemplo del flujo de trabajo en Gestin del Incidente: Por lo que casi cualquier llamada al Centro de Servicios puede clasificarse como un incidente, lo que incluye a las Peticiones de Servicio tales como concesin de nuevas licencias, cambio de informacin de acceso, etc. siempre que estos servicios se consideren estndar. Cualquier cambio que requiera una modificacin de la infraestructura no se considera un servicio estndar y requiere el inicio de una Peticin de Cambio que debe ser tratada segn los principios de la Gestin de Cambios. Los principales beneficios de una correcta Gestin de Incidentes incluyen: Mejorar la productividad de los usuarios. Cumplimiento de los niveles de servicio. Mayor control de los procesos y monitorizacin del servicio. Optimizacin de los recursos disponibles. Una base de datos de gestin de configuraciones ms precisa pues se registran los incidentes en relacin con los elementos de configuracin.

 Y principalmente: mejora la satisfaccin general de clientes y usuarios. Por otro lado, una incorrecta Gestin de Incidentes puede acarrear efectos adversos tales como: Reduccin de los niveles de servicio. Se dilapidan valiosos recursos: demasiada gente o gente del nivel inadecuado trabajando concurrentemente en la resolucin del incidente. Se pierde valiosa informacin sobre las causas y efectos de los incidentes para futuras restructuraciones y evoluciones. Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestin de sus incidentes. Las principales dificultades a la hora de implementar la Gestin de Incidentes se resumen en: No se siguen los procedimientos previstos y se resuelven las incidencias sin registrarlas o se escalan innecesariamente y/u omitiendo los protocolos prestablecidos. No existe un margen operativo que permita gestionar los picos de incidencias por lo que stas no se registran adecuadamente e impiden la correcta operacin de los protocolos de clasificacin y escalado. No estn bien definidos los niveles de calidad de servicio ni los productos soportados. Lo que puede provocar que se procesen peticiones que no se incluan en los servicios previamente acordados con el cliente. Sistemas de deteccin de intrusos (Intrusion detection systems: I.D.S.) Caractersticas bsicas de los IDS. Son los sistemas encargados de detectar y reaccionar de forma automatizada ante los incidentes de seguridad que tienen lugar en las redes y equipos informticos. Para ello, estos sistemas se encargan de monitorizar el funcionamiento de los equipos y de las redes en busca de indicios de posibles incidentes o intentos de intrusin, avisando a los administradores del sistema informtico ante la deteccin de cualquier actividad sospechosa mediante una serie de alarmas e informes.

En la arquitectura de un IDS podemos distinguir los siguientes elementos funcionales bsicos: Una fuente de informacin que proporciona eventos del sistema o red informtica. Una base de datos de patrones de comportamiento considerados como normales as como de los perfiles de distintos tipos de ataque. Un motor de anlisis encargado de detectar evidencias de intentos de instruccin. Un mdulo de respuesta capaz de llevar a cabo determinadas actuaciones a partir de las indicaciones del motor de anlisis. Por otra parte, un IDS puede utilizar dos modelos de deteccin: Deteccin de un uso defectuoso (misuse): secuencias utilizadas para realizar ataques contra los equipos (exploits), escaneo de puertos, etctera. Deteccin de un uso anmalo: anlisis estadstico del trfico en la red, monitorizacin de procesos y del comportamiento de los usuarios, con el fin de poder detectar aquellos comportamientos que se puedan considerar anmalos segn los patrones de uso registrados hasta el momento: franjas horarias, utilizacin de puertos y servicios. Se tratara de este modo, de detectar cambios de comportamiento no justificados en lo que se refiere a ficheros accedidos, aplicaciones utilizadas en el trabajo, cantidad de trfico cursado en la red etc. Gracias a su mdulo de respuesta un IDS es capaz de actuar de forma automtica a los incidentes detectados. Las respuestas pasivas se limitan a registrar las posibles intrusiones o usos anmalos, as como a generar informes y alertas dirigidas a los administradores de la red (correos electrnicos, mensajes SMS... ). Por su parte mediante las respuestas activas el IDS podra responder a la situacin anulando conexiones o bloqueando el acceso l determinados equipos o servicios de la red para tratar de limitar las consecuencias del incidente. Algunos ejemplos de respuestas activas de un IDS son: Anular las conexiones TCP inyectando paquetes de reinicio en las conexiones del atacante.

 Reconfiguracin de los cortafuegos de la red para filtrar el trfico que pueden estar causando el incidente. Desconexin automtica de servidores y dispositivos de red. Bloqueo de cuentas o prohibicin de la ejecucin de determinados comandos Localizacin del origen del ataque y notificacin a los proveedores de acceso a Internet u organizaciones implicadas. No obstante, los sistemas IDS tambin presentan una serie de problemas Y limitaciones como podran ser la generacin de falsas alarmas, ya sean stas falsos negativos, que se producen cuando el IDS no es capaz de detectar algunas actividades relacionadas con incidentes de seguridad que estn teniendo lugar en la red o en los equipos informticos, o bien falsos positivos, que se producen cuando el IDS registra y genera alertas sobre determinadas actividades que no resultan problemticas, ya que forman parte del funcionamiento normal del sistema o red informtico. Por otra parte, en los entornos conmutados, es decir, en las redes locales que utilizan switches, resulta ms difcil monitorizar el trfico de la red. Por este motivo, en estos casos resulta conveniente la instalacin en la red de switches dotados de puertos especiales, conocidos como spanning ports o mirrored ports, que faciliten la captura de todo el trfico cursado por parte de un sistema IDS. As mismo, es necesario tener en cuenta la imposibilidad de analizar las comunicaciones cifradas (conexiones que empleen protocolos como SSH, SSL, IPSec...). Por este motivo, resulta conveniente examinar los datos una vez hayan sido descifrados por los equipos destinatarios dentro de la red de la organizacin. Los sistemas IDS tambin pueden tener un cierto impacto en el rendimiento de la red y podran ocasionar una sobrecarga de tareas administrativas si generasen un elevado nmero de informes y registros de actividad. Entre los principales IDS disponibles en el mercado, podramos citar SNORT, Real Secure de Internet Security Systems, Sentivist de la empresa NFR, NetRanger de Cisco, etc.

Sistemas de prevencin de intrusos (Intrusion prevention systems. I.P.S.). Caractersticas bsicas. Un sistema IPS (Intrusion Prevention System) es un sistema que permite prevenir las intrusiones. Se trata, por tanto, de un tipo de sistema que pretende ir un paso ms all de los IDS, ya que puede bloquear determinados tipos de ataques antes de que estos tengan xito. Los IPS buscan anomalas (o comportamientos anmalos) a nivel del sistema operativo, comprueban los mdulos cargados por el ncleo, monitorean la actividad del sistema de archivos, buscan RootKits en el sistema, etc. Una intrusin exitosa suele ser acompaada por un conjunto de actividades que los IPS intentar descubrir. Normalmente los intrusos buscan aduearse o utilizar para algn fin el sistema que atacaron, para esto suelen instalar software que les permita el futuro acceso, que borre sus huellas, keyloggers, software de spamming, virus de tipo botnet, spyware, etc. En la actualidad los IPS incluyen funcionalidades como Firewall y Anti-maleware (anti-virus, anti-spyware, etc.). Los IPS son implementados como agentes instalados directamente en el sistema que protegen. Estos monitorean de cerca al ncleo y los servicios, incluso interceptando llamadas al sistema o APIs. Si un ataque logra atravesar las defensas basadas en red (Firewalls, IPS, IDS, NAC, DDoS Defenses, etc.), el ltimo campo de batalla es el propio sistema operativo de la PC o Servidor del objetivo del ataque, por tanto estos deben estar preparados. Otro elemento que hace importante los HIPS, es el hecho de que el trfico cifrado no puede ser evaluado por las protecciones basadas en red. Las defensas basadas en Host ms avanzadas son los "Host Intrusion Prevention System" y son la ltima barrera entre el atacante y su objetivo.

UNIDAD DIDCTICA 2. IDENTIFICACIN Y CARACTERIZACIN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA. Los logs de los equipos informticos (en especial, de los servidores) y de los dispositivos de red facilitan el registro de posibles incidentes y funcionamientos anmalos, la existencia de fallos en la configuracin de una aplicacin, la posible desconexin de algn dispositivo del sistema, los cambios realizados en la configuracin de los equipos, la utilizacin de recursos sensibles por parte de los usuarios del sistema, etctera. Adems, proporcionan estadsticas que permiten evaluar el rendimiento del sistema informtico. No obstante, en algunos casos se podra estar registrando informacin que podra afectar a la privacidad de los usuarios, por lo que ser necesario tener en cuenta las posibles consideraciones desde el punto de vista legal (obligacin de informar a los usuarios que se est registrando su actividad en el sistema). En lo que se refiere a los logs del sistema operativo, se podran configurar para registrar los procesos en ejecucin dentro del sistema, los inicios y cierres de sesin por parte de los usuarios, las llamadas al sistema, las aplicaciones ejecutadas por los usuarios, los accesos a ficheros y a otros recursos (impresoras...), los posibles problemas de seguridad (intentos de acceso no autorizado a los recursos o fallos de las aplicaciones), etc. As, por ejemplo, en los sistemas UNIX se podra utilizar la herramienta "System log", mientras que en los sistemas Windows se puede recurrir al registro de eventos (event log). Tambin ser necesario configurar los logs de los dispositivos de red (routers, cortafuegos...), de los servidores y de las aplicaciones instaladas en algunos equipos. Para garantizar la adecuada proteccin de los logs, ser necesario almacenarlos de forma segura en un entorno distinto al del sistema protegido, para evitar que los Intrusos los puedan modificar o eliminar: grabacin de los registros en discos WORM (Write Once Rcad More), generacin de una copia en papel, etctera. En algunos casos se puede recurrir a una gestin centralizada de los logs, mediante un servidor de logs que se encargue de guardar copias de lodos los registros enviados por los dispositivos de red y los servidores. Para ello, se podran utilizar aplicaciones como Syslog para centralizar los registros. De este modo, se refuerza la segundad frente a intrusos que pretendan eliminar su rastro manipulando los logs de los equipos. Adems, un servidor centralizado de logs permite conservar los registros durante un mayor periodo de tiempo, lo que puede facilitar el anlisis detallado de estos

registros, incluyendo el estudio de la relacin entre eventos incluidos en los logs de distintos equipos y dispositivos (elementos de red, de seguridad). Para poder comparar los distintos logs conviene mantener todos los relojes de los equipos y dispositivos sincronizados. Para esto, es de gran utilidad el protocolo NTP (Network Time Protocol, www.ntp.org). En los servidores Web se emplea el formato CLF (Common Lag Format) o el ELF (Extended Log Format), registrando los siguientes datos de cada peticin realizada por un cliente remoto: Direccin IP o nombre de dominio de la mquina remota (cliente) que se conecta al servidor Web. Identificacin remota del cliente. Nombre de autenticacin del usuario. Fecha y hora de la conexin. Peticin formulada por el cliente (por ejemplo: "GET/index.html HTIP/1.O"). Estado HTIP devuelto por el servidor al cliente. Nmero de bytes enviados al cliente. Agente de usuario (tipo de navegador utilizado): campo ELF. URL de procedencia (referrer lag): campo ELF. Los administradores de la red tienen a su disposicin una serie de herramientas para analizar toda la informacin registrada en los logs, entre las que se encuentran distintos tipos de filtros y aplicaciones que permiten detectar de forma automtica patrones de ataques o situaciones de potencial peligro. En este sentido, se debera considerar el problema de que el exceso de informacin registrada en el sistema pueda llegar a desbordar a sus administradores, provocando una situacin bastante habitual en muchas organizaciones: que los datos de los registros de actividad no sean analizados de forma adecuada.

Por otra parte, suele ser muy recomendable realizar un estudio previo del trfico en la red para facilitar la posterior deteccin de situaciones anmalas: consumo de ancho de banda por usuarios y departamentos, patrones horarios del trfico, servicios y protocolos utilizados. El protocolo de gestin de red SNMP se podra utilizar para recabar parte de esta informacin de los dispositivos de red. En los servidores Windows se pueden utilizar tres tipos de registros: Registro de Aplicacin: muestra los mensajes, la informacin del estado y los sucesos generados desde las aplicaciones y servicios instalados en el sistema. Registro del Sistema: incluye los errores, advertencias y sucesos generados por el propio sistema operativo y sus servicios esenciales. Registro de Seguridad: muestra los registros de xito y de fracaso de los servicios auditados, es decir, cuando un usuario intenta acceder a un recurso auditado y se le concede (xito) o se le deniega (fracaso) el acceso. Mediante el Visor de Sucesos es posible acceder a la informacin de estos tres registros.

UNIDAD DIDCTICA 3. ARQUITECTURAS MS FRECUENTES DE LOS SISTEMAS DE DETECCIN DE INTRUSOS. Las arquitecturas de los IDS se han propuesto con el objetivo de facilitar la interoperabilidad y reutilizacin de mdulos, as como la reduccin de la complejidad en la gestin y configuracin de los IDS. Gracias a la aprobacin de protocolos de comunicacin especficos, es posible lograr el intercambio de datos entre elementos de distintos fabricantes que pueden formar parte de un IDS. De este modo, se facilita la captura de eventos generados por distintas fuentes, proporcionando una imagen ms amplia y detallada de las actividades maliciosas en un determinado entorno. En una arquitectura de IDS se distinguen los elementos Agentes (que se encargan de monitorizar la actividad en el sistema objeto de estudio), los elementos Transceptores (se encargan de la comunicacin), los elementos Maestros (centralizan y analizan los datos) y una Consola de Eventos (mdulo de interfaz con los usuarios). Las arquitecturas de IDS ms importantes son CIDF e IDWG. CIDF (Common Intrusion Detection Framework) es una arquitectura promovida por la Agencia Federal de Estados Unidos DARPA (Defense Advanced Research Projects Agency) y finalizada en 1999, que ha tenido una escasa aceptacin comercial. Esta arquitectura est constituida por los siguientes elementos: Generador de eventos: obtencin y descripcin de eventos mediante objetos denominados GIDO (Generalized Intrusion Detection Objects). Analizador de eventos: incorpora los algoritmos de deteccin de ataques. Base de datos de eventos: se utiliza el lenguaje CISL (Common Intrusion Specification Language) para expresar los diferentes eventos. Unidades de respuesta: se encargan de cerrar las conexiones, terminar procesos, bloquear el acceso a los servidores, etc. Por su parte, la arquitectura IDWG (Intrusion Detection Working Group) propone el formato IDEF (Intrusion Detection Exchange Format) para facilitar el intercambio de informacin sobre los incidentes de seguridad.

En este caso se distinguen los mdulos Sensor, Analizador, Fuente de Datos y Manager: El Analizador es el componente que analiza los datos recolectados por el Sensor, buscando seales de actividad no autorizada o indeseada. El Sensor recolecta datos de la Fuente de Datos: paquetes de red, logs de auditora del sistema operativo, logs de aplicaciones... (informacin que el IDS emplea para detectar cualquier actividad indeseada o no autorizada). El Manager es el componente desde el cual se administran los restantes elementos del IDS: se encarga de la configuracin de los sensores y analizadores, de la consolidacin datos, de la generacin de informes, etctera. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). As mismo, JDWG prev dos mecanismos de comunicaciones: el protocolo JAP (Intrusion Alert Protocol), para intercambiar datos de alertas de intrusiones de forma segura entre las entidades de deteccin, y el protocolo IDXP (Intrusion Detection Exchange Protocol), que permite intercambiar datos en general entre las entidades de deteccin de intrusiones.

UNIDAD DIDCTICA 4. RELACIN DE LOS DISTINTOS TIPOS DE IDS / IPS POR UBICACIN Y FUNCIONALIDAD. Desarrollando los diferentes tipos de IDS / IPS, iremos especificando la ubicacin y funcionalidad de cada uno de ellos. Tipos de IDS. HIDS (Host IDS). Los Host IDS pueden detectar las intrusiones a nivel de host, es decir, a nivel de un equipo informtico, observando para ello si se han producido alteraciones significativas de los archivos del sistema operativo o analizando los logs del equipo en busca de actividades sospechosas. Un Host IDS requiere de la instalacin de un dispositivo sensor, conocido como agente, en equipo informtico objeto de monitorizacin. Este sensor software trabaja a bajo nivel, interceptando las llamadas a las funciones bsicas del sistema operativo, Adems se encarga de analizar cada actividad y proceso en ejecucin dentro del equipo, razn por la que tambin presenta el inconveniente de disminuir el rendimiento del equipo. Las principales tareas realizadas por un Host IDS son las que se presentan a continuacin: Anlisis de los registros de actividad (logs) del ncleo (kernel) del sistema operativo, para detectar posibles infiltraciones. Verificacin de la integridad de los ficheros ejecutables. Para ello, es necesario mantener una base de datos con el estado exacto de cada uno de los archivos del sistema y de las aplicaciones instaladas, a fin de detectar posibles modificaciones de los mismos (integrity check). Herramientas como Tripwire (www. Tripwire.org) facilitan esta funcin. Exploracin peridica/planificada de programas privilegiados ("setuid" de sistemas UNIX/LINUX). Auditora peridica de los permisos asignados a los recursos del sistema. Bsqueda y evaluacin peridica de vulnerabilidades de software conocidas.

 Revisin detallada del proceso de instalacin de nuevas aplicaciones en el sistema, a fin de poder detectar caballos de Troya u otros cdigos malignos. MHIDS (Multihost IDS). Este tipo de IDS permiten detectar actividades sospechosas en base a los registros de actividad de diferentes equipos informticos (hosts). Por este motivo, tambin se les conoce como sistemas "IDS Distribuidos" (DIDS, Distributed IDS). NIDS (Network IDS). Los Network IDS se instalan en una red de ordenadores para monitorizar el trfico de red en busca de cualquier actividad sospechosa: escaneo de puertos; intentos de explotacin de agujeros de seguridad en los servicios instalados en los equipos de la red; ataques conocidos contra determinados protocolos; intentos de ejecucin de scripts CGI vulnerables en los servidores; etc. Para ello, un Network IDS trata de detectar el trfico anmalo que suele acompaar a los intentos de intrusin, analizando para ello el contenido de los paquetes de datos que se transmiten a travs de la red de la organizacin. Entre las distintas situaciones de trfico anmalo, podramos citar las siguientes: Enrutamiento anormal de los paquetes de datos. Fragmentacin de paquetes deliberada. Utilizacin de una direccin IP no vlida o en desuso en uno de los tramos de red internos (IP Spoofing). Afluencia de paquetes DNS con identificadores consecutivos, que incluyen la supuesta respuesta a una misma encuesta (situacin tpica de un ataque de DNS Spoofing). Invasin de paquetes TCP SYN desde una o varias direcciones (situacin tpica de un ataque de denegacin de servicio del tipo de SYN Flooding). Invasin de paquetes ICMP o UDP de eco (tpicos de ataques como Smurf y Fraggle). Falsa correspondencia entre las direcciones MAC conocidas y las direcciones IP de los equipos.

 Tormentas de trfico ARP, que podran revelar un intento de "envenenamiento de las tablas ARP" (situacin tpica de un ataque de ARP Spoofing). Uno de los sistemas NIDS ms conocidos es SNORT. Este sistema decide qu paquetes de los que circulan por una red resultan sospechosos, empleando para ello una base de datos de reglas que se aplican teniendo en cuenta el contenido y los formatos de cabecera de los paquetes de datos. Adems, se pueden descargar nuevas reglas directamente desde bases de datos disponibles en Internet, que permiten catalogar nuevos tipos de incidentes, exploits y vulnerabilidades de sistemas. Tipos de I.P.S. Honeyputs y honeynets. Un honeypot es un servidor configurado y conectado a una red para que pueda ser sondeado, atacado e incluso comprometido por intrusos. Se trata, por lo tanto, de un equipo o sistema que acta a modo de seuelo o trampa para los intrusos. El concepto de sistema trampa ya fue propuesto hace algunos aos por Cliff Stoll en su libro Cukoo's Egg. Por su parte, una honeynet (red seuelo) es una red completa que ha sido configurada Y conectada a otras redes para que pueda ser sondeada, atacada e incluso comprometida por intrusos. Los honeypots y honeynets proporcionan varios mecanismos para la monitorizacin, registro y control de las acciones de los intrusos. De este modo, permiten analizar cmo los intrusos emplean sus tcnicas y herramientas para intentar entrar en un sistema o en una red informtica (cmo consiguen analizar y explotar sus vulnerabilidades) y comprometer su seguridad (cmo pueden alterar o destruir los datos, instalar programas dainos o controlar de forma remota los equipos afectados), Adems, estas actividades de monitorizacin de registro se realizan tratando de pasar de forma inadvertida para los intrusos. Por lo tanto, los honeypots y las honeynets entraran dentro de las aplicaciones tipo know your enemy ("conoce a tu enemigo"), que permiten aprender de las herramientas y tcnicas de los intrusos para proteger mejor a los sistemas reales de produccin construyendo una base de datos de perfiles de atacantes y tipos de ataques, Tambin podra facilitar la captura de nuevos virus o cdigos dainos para su posterior estudio.

As mismo, estos sistemas permiten desviar la atencin del atacante de los verdaderos recursos valiosos de la red de la organizacin. En cuanto al diseo de una honeynet, se han propuesto dos arquitecturas conocidas como GenI (ao 1999) y GenII (ao 2002), siendo la segunda ms fcil de implementar y ms segura para la organizacin. Los elementos integrantes de una honeynet, segn el esquema anterior, serian varios honeypots (servidores que actuaran de seuelos), un sistema de deteccin intrusiones en red (NIDS), un servidor de logs, un dispositivo que se hara pasar por cortafuegos (honeywall) y un router. Tambin se podra considerar la posibilidad de incorporar un dispositivo que aplique tcnica de bait and switch, segn la cual se monitoriza el trfico procedente de Internet, es decir, aquel que pudiera ser considerado como "hostil" hacia el sistema trampa. En definitiva, podemos considerar que los sistemas basados en seuelos (honeynets y honeypots) ofrecen los siguientes servicios y funciones: Conexin segura de la red corporativa a Internet. Captura de datos sobre los intrusos: en los cortafuegos, en el NIDS y en los propios registros (logs) de los honeypots. Centralizacin de la informacin capturada en un servidor de logs, por motivos de seguridad. Control de las acciones del intruso, ya que ste debe quedar confinado dentro de la honeynet, sin que pueda atacar a otras redes o equipos. En los honeypots se suelen instalar versiones modificadas del intrprete de comandos (shell en un sistema Unix/Linux o "cmd.exe" en un sistema Windows), como "Comlog", un troyano que remplaza al "cmd.exe" para registrar y reenviar los comandos tecleados por el usuario, as como otras herramientas que permitan registrar las actuaciones de los intrusos (SpyBuddy, keylogger, etctera). SpyBuddy es una herramienta comercial que permite registrar las teclas pulsadas por el usuario del equipo; monitorizar la creacin, acceso, modificacin y eliminacin de Ficheros y directorios; realizar un seguimiento de los programas que se ejecutan en el equipo; etctera.

En estos ltimos aos, se ha propuesto el desarrollo de honeynets virtuales, en una configuracin en la que todos los equipos y servicios se ejecutan en un nico ordenador, recurriendo para ello a un software de virtualizacin, como VMWare (www. vmware.com). Este software de virtualizacin permite la ejecucin simultnea de varios sistemas operativos, con distintos tipos de servicios y aplicaciones, en un mismo equipo fsico de tal modo que a pesar de compartir los recursos de este ordenador (conocido como host anfitrin), aparenten estar ejecutndose en mquinas distintas e independientes. Una honeynet virtual presenta como ventaja unos menores costes y espacio requerido que en una red fsica, facilitando la gestin centralizada de todos los servicios y aplicaciones incluidos en la honeynet. Por otra parte debemos tener en cuenta otras consideraciones acerca del uso de estas herramientas, ya que se trata de proyectos de elevado riesgo, debido a las amenazas y tipos de ataques que se van a producir contra los equipos y redes de la organizacin. Por este motivo, en los equipos y redes seuelo no se deberan incluir datos o informacin sensible, ni servicios en produccin. Adems, los posibles ataques contra estos equipos y redes no deberan comprometer a los usuarios y clientes de la red informtica de la organizacin y, mucho menos, podran afectar a terceros. Para ello, es necesario establecer las medidas de control y bloqueo de los posibles ataques e intentos de intrusin llevados a cabo contra redes y equipos de terceros desde los equipos que hayan sido comprometidos en la honeynet, ya que de lo contrario la organizacin podra incurrir en responsabilidades legales por los daos ocasionados a terceros desde sus propios equipos y redes informticas. Otra cuestin legal que se podra contemplar surge en torno a la discusin de hasta qu punto es lcito emplear estas herramientas para espiar a los intrusos, sin que estos hayan sido advertidos previamente de que sus actividades estn siendo registradas por la organizacin. Para concluir este apartado, podemos citar algunos ejemplos de herramientas y proyectos de inters relacionados con los honeypots y las honeynets. As, podemos encontrar en Internet aplicaciones que permiten simular determinado servicios para registrar los posibles intentos de ataque e intrusin, como BackOfficer Friendly Specter, Honeyd, Decoy Server de Symantec, Deception Toolkit, etc. Por su parte, el proyecto HoneyNet (www.honeynet.org) se remonta a Junio del ao 2000, con el objetivo de "estudiar las tcnicas, tcticas y motivaciones de la

comunidad de atacantes y compartir las lecciones aprendidas". En la actualidad, este proyecto est integrado por profesionales de distintos perfiles y reas de conocimiento: informticos, psiclogos, ingenieros de redes, etctera.

UNIDAD DIDCTICA 5. CRITERIOS DE SEGURIDAD ESTABLECIMIENTO DE LA UBICACIN DE LOS IDS / IPS.

PARA

EL

Para elegir la ubicacin del IDS / IPS hay que valorar el grado de interoperabilidad con el resto de nuestras protecciones de red. Existen varias posibilidades y cada una tiene distintas ventajas e inconvenientes. En la red LAN local, detrs del cortafuegos, es el lugar ms comn, ofrece la mejor proteccin frente a las amenazas externas e internas. Al escuchar el cable local, podemos detectar la actividad interna de otros usuarios (como la actividad entre estaciones de trabajo o el uso ilcito de un programa). Tambin refuerza el cortafuegos, detectando una actividad sospechosa que de alguna manera ha conseguido pasar los filtros del cortafuegos. De hecho, se pude utilizar un IDS para probar un cortafuegos y comprobar lo que permite pasar. Sin embargo, este sistema generar muchas alertas basadas en el trfico de red de Windows, por lo que debemos estar preparados para realizar muchos ajustes en esta rea. As mismo, si nos encontramos en una LAN conmutada, necesitaremos la capacidad de reflejar todos los puertos sobre un puerto monitor para poder permitir al IDS escuchar todo el trfico LAN. En el segmento DMZ, podemos colocar un sensor Snort en la DMZ para registrar la actividad que entra en los servidores pblicos. Como esos servidores son los ms expuestos y normalmente representan recursos valiosos, es buena idea supervisarlos con un IDS. El problema de esta configuracin es ordenar todas las alertas. Aunque todas ellas puedan ser alertas v salidas, con el nivel de ataque de trfico general actual en Internet, cualquier IP pblica es atacada de forma aleatoria todos los das. Reaccionar ante ello intentando localizar dichas alertas sera excesivo y contraproducente. Por lo tanto, cmo podemos saber qu alertas son slo gusanos que estn atacando a nuestro servidor y qu alertas estn realmente avisndonos de un intruso real? Una forma de hacerlo es reduciendo el nmero de firmas a un pequeo nmero que solo se activen si el host est realmente comprometido, por ejemplo, reglas especficas a las aplicaciones que se estn ejecutando en el host, como MySQL.rules, web-iis.rules o reglas relacionadas con la administracin de conexiones. Entre el ISP y el cortafuegos. Esta configuracin filtrar todo el trfico entrante y saliente de la LAN y DMZ. Lo bueno es que capturar todos los ataques tanto a los servidores pblicos como a la LAN interna. Lo malo es

que no podremos ver ningn trfico interno y el volumen general de las alertas puede ser bastante alto, debido al trfico de ataque general subyacente. Igual que en el ejemplo anterior, se puede probar a reducir las alertas y dejar solo las que realmente van a mostrar algn problema para este segmento. As mismo, al situarlo entre el sensor ISP y el cortafuegos, puede crear un cuello de botella y un punto de errores para nuestro trfico de red. Todas las formas pueden ser vlidas para utilizar IDS / IPS y no hay razn para que no podamos seguir las tres, siempre que tengamos el hardware y el tiempo necesario para hacerlo.

MDULO 2. IMPLANTACIN Y PUESTA EN PRODUCCIN DEL SISTEMA. UNIDAD DIDCTICA 1. ANLISIS PREVIO DE LOS SERVICIOS, PROTOCOLOS, ZONAS Y EQUIPOS QUE UTILIZA LA ORGANIZACIN PARA SUS PROCESOS DE NEGOCIO. El nivel de seguridad y la gestin ofrecida por los Sistemas de Deteccin de Intrusiones, los hace casi imprescindibles en muchas de las organizaciones que cuentan con importantes infraestructuras de red. Como ya se apunt anteriormente, estos sistemas, aunque tienen muchas ventajas, no son perfectos. Por otra parte, muchos administradores carecen de los conocimientos adecuados para aprovechar al mximo sus caractersticas. Esto hace que la implementacin de estos sistemas requiera un proceso previo de planificacin, preparacin, fase de pruebas, y formacin especializada. Cada solucin debe adaptarse a las necesidades particulares de cada caso, analizando entre otras caractersticas, las polticas de la organizacin, el nivel de desarrollo y los recursos de red. Los requisitos de sistema de los IDSs dependen de los objetivos y recursos de cada organizacin. Por lo general, suele ser recomendable alcanzar una solucin basada en el uso conjunto de IDS de red (NIDS) y de "host" (HIDS). Por otra parte, si se acomete la implementacin de forma escalonada, aadiendo de forma progresiva cada IDS, los propios administradores irn adquiriendo ms experiencia con cada adicin. Normalmente se empieza con la instalacin de IDS basados en red, ms sencillos de instalar y gestionar. Posteriormente, se instalan IDS basados en host en las mquinas crticas. Una planificacin de estas caractersticas debe completarse con el uso regular de analizadores de vulnerabilidades sobre los IDSs y otros elementos de seguridad. De esta manera, se ayuda a mantener la estabilidad y confianza de estos mecanismos. En caso de implementar sistemas o redes trampa, es necesario contar con personal especializado en temas de seguridad y redes, y ubicar dichos sistemas en entornos altamente protegidos. Adems, hay que asesorarse previamente en temas legales relacionados con estos elementos. A continuacin, se describirn las caractersticas ms comunes del establecimiento de detectores de intrusiones basados en red y en mquina.

Sistemas de Deteccin de Intrusiones de red. Los agentes de un IDS basado en red monitorizan el trfico de red para enviar los datos al motor de anlisis. Estos elementos de monitorizacin pueden colocarse en distintos puntos de la arquitectura. Uno de los objetivos de los agentes es el de no ser reconocido por atacantes, as como no interferir en el rendimiento de la red. Para ello, se suelen conectar al medio utilizando dispositivos de escucha. La interfaz de red dedicada a la monitorizacin se configura de forma que no tenga direccin IP. En algunas ocasiones, estos dispositivos se conectan a la red mediante un cable de slo recepcin o un network tap (dispositivo de escucha de red). El abanico de productos de deteccin basados en red es muy extenso. Entre ellos destaca por su popularidad snort, un potente detector de intrusiones de red, escrito en cdigo abierto, basado en reglas, que incorpora algunas funciones de deteccin de anomalas. Algunos ejemplos ms de productos de este tipo son: Bro, escrito por Vern Paxson; Firestorm, de John Leach y Gianr Tedesco; Tiny Personal Firewall (cortafuegos personal con capacidades de IDS), de Tiny Software Inc; o el IDS hbrido (basado en mquina y en red) Prelude, distribuido bajo licencia GPL y desarrollado por Yoann Vandoorselaere. A continuacin, se describirn las localizaciones ms comunes en las que se puede implementar un NIDS. Cada una tiene sus propias ventajas e inconvenientes. Delante del cortafuegos externo. Colocar los agentes delante del cortafuegos externo, permite: Monitorizar el nmero y tipo de ataques dirigidos contra la infraestructura de la organizacin. Detectar ataques cuyo objetivo es el cortafuegos principal. Por otra parte, esta posicin tambin presenta algunos inconvenientes: No permite detectar ataques que utilicen en sus comunicaciones algn mtodo para ocultar la informacin, como algoritmos de encriptacin. En esta localizacin suele haber gran cantidad de trfico de red. Un detector de intrusiones mal diseado puede saturarse, descartando parte de la informacin que percibe, si no ha sido bien diseado.

 Una situacin como esta no ofrece ninguna proteccin. El NIDS puede convertirse en un blanco fcil si algn atacante logra identificarlo. Detrs del cortafuegos externo. Esta localizacin, situada entre Internet y la red interna, se denomina DMZ (Zona Desmilitarizada). Se utiliza para proporcionar servicios pblicos sin tener que permitir acceso a la red privada de la organizacin. En esta subred se suelen ubicar los servicios principales de la infraestructura (servidores HTIP, FTP, SMTP, DNS, etc.). Normalmente est protegida por cortafuegos y otros elementos de seguridad. Algunas de las ventajas de este caso son: Se monitorizan intrusiones que logran atravesar el cortafuegos principal. Se pueden detectar ataques dirigidos contra los servidores que ofrecen servicios pblicos situados en esta subred. En caso de no detectar ataques con xito, pueden reconocer algunas consecuencias de los mismos, como intentos de conexiones salientes, realizadas desde los servidores comprometidos. La identificacin de los ataques y escaneos ms comunes permite mejorar la configuracin del cortafuegos principal. A continuacin se enumeran algunos de las desventajas de esta localizacin: Al igual que en el caso anterior, no permite identificar ataques que utilicen mtodos para ocultar la informacin contenida en sus comunicaciones, como algoritmos de encriptacin. La cantidad de trfico existente normalmente en este segmento de red, puede hacer que el NIDS no pueda analizarla toda, descartando datos. Es importante disear un sistema capaz de responder ante situaciones crticas. La seguridad del NIDS mejora con la inclusin del cortafuegos que lo separa de la red exterior. Sin embargo, esto no excluye de tomar medidas adicionales para evitar que pueda ser comprometido por atacantes.

Redes principales. Cuando se monitoriza el trfico de red en las redes con mayor actividad se obtienen estas ventajas: Al haber ms cantidad de trfico, hay tambin ms posibilidades de encontrar posibles ataques. Este hecho se cumple siempre que la cantidad de trfico no supere la capacidad del NIDS. Se pueden detectar ataques producidos desde dentro de la propia red, como los realizados por personal interno. Las desventajas relacionadas con esta posicin son, entre otras: Al igual que en los casos anteriores, esta localizacin no permite detectar ataques que utilicen algoritmos de encriptacin en sus comunicaciones. No pueden evitar problemas asociados al uso de conmutadores en la red. Las caractersticas de estos dispositivos podran impedir la monitorizacin de los miembros de la red. Esta situacin hace que estos sistemas sean especialmente vulnerables ante ataques provenientes, no ya del exterior, sino del interior de la propia infraestructura. Es vital tener este aspecto en cuenta a la hora de implementar un detector de intrusiones en esta localizacin. Subredes de valor crtico. A veces, los servidores y recursos ms importantes de una red son situados en una subred separada de la red principal mediante dispositivos como cortafuegos. Para protegerlos debidamente, es necesario implementar detectores de intrusiones basados en red en estas subredes privadas. Algunas de las ventajas de hacer esto son: Detectar ataques realizados contra elementos crticos de la red. Dedicar especial atencin a los recursos ms valiosos de la infraestructura.

A continuacin, se enumeran algunas desventajas del uso de esta opcin: Como ya se coment en las situaciones anteriores, este caso no permite detectar ataques que utilicen algoritmos de cifrado en sus comunicaciones. No evitan problemas de monitorizacin relacionados con el uso de conmutadores. No estn estratgicamente bien situados ante ataques de origen interno. Mquinas. Otra de las posibles formas de instalar este tipo de sistemas es en las propias mquinas, convirtindolas rastreadores de red. Los IDSs basados en red implementados de esta forma se denominan IDS de nodo de red (NNIDS) ("Network Node IDS"). La mayora de los productos de deteccin basados en red nombrados antes se pueden implementar de esta forma. Cualquier detector basado en red, que permita la instalacin de uno de sus agentes en una mquina, puede ser utilizado de esta forma. Esta localizacin proporciona ventajas nicas: Se evitan los inconvenientes de la encriptacin de las comunicaciones, presentes en las localizaciones anteriores. El NNIDS deja de recibir cifrado el trfico originado o destinado a la mquina en la que est instalado. No obstante, seguir percibiendo cifradas el resto de las comunicaciones. Es una forma de solventar problemas derivados del uso de conmutadores. Fuentes de informacin basadas en red este tipo de dispositivos dificultan la monitorizacin del trfico red, realizando tareas de encaminamiento, cosa que no hacen los concentradores. Situar un detector en una mquina permite al menos, examinar sus propias comunicaciones. Por otra parte, este enfoque tambin tiene inconvenientes: La visin del sistema de deteccin est claramente limitada tanto por la situacin de la mquina, como por la arquitectura de la red. Por ejemplo, si se utilizan conmutadores, slo puede analizar el trfico relacionado con la mquina anfitriona. No obstante, si se hace uso de concentradores,

analizara adems el trfico del resto de los miembros de la red, actuando como un rastreador. El NIDS est compartiendo los mismos recursos que la mquina que monitoriza. Esto reduce los recursos de la misma, afectando evidentemente a su rendimiento final. Que la mquina anfitriona sea comprometida puede tener graves consecuencias. El detector no slo perdera toda eficacia, sino que adems, podra ser controlado por el atacante para llevar a cabo sus fines. Obtener informacin sobre la infraestructura de la organizacin, o enviar falsas alarmas que distrajeran la atencin del responsable de seguridad, son slo algunos ejemplos de lo que un intruso podra hacer en dicha situacin. Sistemas de Deteccin de Intrusiones de mquina. Como se coment al principio del captulo, en una estrategia de implementacin general, los detectores de intrusiones basados en mquina ("host") se suelen instalar despus de los basados en red. Esto se hace as ya que, dadas sus caractersticas, son ms complicados de instalar. Este tipo de sistemas necesita ser configurado de forma individual en cada mquina, y utiliza como fuente de datos la informacin obtenida del sistema. La mayora de los detectores de intrusiones incluyen, entre otras funciones, mecanismos de verificacin de integridad de archivos. Esto les permite, mediante el uso de algoritmos de cifrado como funciones resumen, reconocer cambios en los ficheros ms importantes del sistema. Aunque la situacin ideal es la de contar con uno de estos sistemas en cada una de las mquinas de la red, lo cierto es que el procedimiento ms extendido a seguir es el de instalarlos primero en los servidores ms importantes. Una vez que los responsables se han acostumbrado a esta situacin, se pueden ir implementando en el resto de los equipos. Es muy importante que los administradores de estos sistemas se acostumbren a la forma de trabajar de estos sistemas, afinando la configuracin para adaptarla a su situacin particular, y aprendiendo a distinguir entre las falsas alarmas y los verdaderos problemas de seguridad. Los informes emitidos por los detectores basados en mquina deben ser revisados de forma peridica. No siempre es posible ir examinando individualmente cada detector. Por ello, muchos productos facilitan mecanismos de centralizacin de

registros, que permiten gestionar las alarmas de una forma ms cmoda, rpida y eficiente. Algunos de los productos ms conocidos, que se utilizan como detectores de intrusiones basados en host son: GFI LANguard S.E.L.M, de GFI Software Ltd.; Tripwire, LogCaster, de Enterprise International; o el ya mencionado IDS hbrido, Prelude. Algunas de las ventajas del uso de estos sistemas son: Trabajan con el sistema de ficheros, y con registros de sistema operativo locales, por lo que pueden detectar ataques que no identificados los detectores basados en red. Su especializacin les otorga ventaja a la hora de detectar ataques especficos de los sistemas que monitorizan. Su posicin privilegiada les permite identificar con precisin los elementos involucrados en un ataque, tales como procesos de sistema, ficheros o nombres de usuario. Dada su naturaleza, este tipo de sistemas no se ve afectado por un entorno de red con conmutadores. Alarmas. Uno de los apartados ms importantes de los IDSs es el relativo a las alarmas. Elaborar una arquitectura de los mecanismos de alarma y procedimientos de respuesta frente a ataques, antes de implementar estos sistemas, puede evitar muchos problemas en caso de ataque. Estos sistemas permiten enviar una alarma de muchas formas: aadiendo un evento en los registros de auditora o sistema, un mediante correo electrnico, utilizando protocolos de gestin de red (SNMP), a travs de mensajes a mviles ("Short Message Service" (SMS)), etc. Es recomendable dejar pasar unas semanas, antes de activar los mecanismos de alarma de un detector de intrusiones. Ese tiempo se debe dedicar para ajustar la configuracin a cada escenario particular, reduciendo la aparicin de falsas alarmas. Por otra parte, si se configuran respuestas automticas que permitan responder ante acciones hostiles, como por ejemplo, bloqueando la direccin origen del

atacante, es preciso seguir de cerca su funcionamiento, para impedir que un intruso se aproveche de estas funciones. De lo contrario, un atacante podra "falsificar" su direccin origen, utilizando las de otras entidades, que podran incluso pertenecer a clientes de la empresa atacada o de la propia red privada, provocando evidentes problemas. Para asegurarse de que las alarmas llegan a su destino, se suelen utilizar tcnicas de redundancia; se enva la misma alarma utilizando distintas mtodos de comunicacin. Este tipo de medidas se toma en casos de alarmas de nivel crtico.

UNIDAD DIDCTICA 2. DEFINICIN DE POLTICAS DE CORTE DE INTENTOS DE INTRUSIN EN LOS IDS/IPS. Asegurar un sistema no slo consiste en tomar las medidas necesarias para protegerlo ante ataques u otros problemas, sino estar al tanto de los aspectos legales relacionados con el tema. La implementacin de un Sistema de Deteccin de Intrusiones en muchas ocasiones implica el cumplimiento de una serie de requisitos impuestos por la Ley. Cumplir con estas obligaciones permite perseguir a los culpables mediante procesos legales o judiciales. Los registros e informes proporcionados por un detector de intrusiones pueden ser requeridos como pruebas que ayuden a localizar y condenar a los responsables. Desgraciadamente, los sistemas legales de muchos pases no se han adaptado a la misma velocidad que el desarrollo de las tecnologas, dejando vacos que permiten a los criminales delinquir con total impunidad. En este captulo se har un breve repaso por el estado actual de los sistemas legales del mundo, para centrarse posteriormente en el marco legal de Europa y en el de Espaa. Se comentarn los aspectos legales relacionados con delitos informticos, y ms concretamente, los relacionados con los Sistemas de Deteccin de Intrusiones. Sistemas legales en el mundo. Actualmente, los sistemas legales ms utilizados en el mundo se pueden clasificar en seis tipos: derecho civil, "common law, derecho consuetudinario, derecho musulmn, derecho talmdico y derecho mixto. El "Derecho Mixto" es una combinacin de dos o mas sistemas jurdicos y no a un tipo de sistema jurdico. Derecho civil. Este sistema legal es el utilizado por aquellos pases basados en el sistema legal romano. Profieren gran importancia al derecho escrito, y adoptan una codificacin sistemtica de su derecho comn. Por otro lado, tambin se encuentran en esta categora aquellos pases, generalmente de derecho mixto, que sin haber recurrido a la tcnica de la ley codificada, poseen suficientes elementos de construccin jurdica romana que permiten considerarlos como adscriptos a la tradicin civilista.

Tambin se incluyen en este tipo los pases en los que, a pesar de que no contar con importante influencia romana, practican un derecho, codificado o no, que reposa en una concepcin del rol de la ley similar a sa de los pases de tradicin civilista pura. Un ejemplo de este caso es el de los pases de tradicin escandinava. Este es uno de los sistemas legales ms practicados en todo el mundo. Entre los que lo han adoptado se encuentran muchos pases europeos (Espaa, Francia, Alemania o Italia entre otros), as como gran parte de los pases de Sudamrica (como Venezuela, Argentina, Brasil) y Amrica Central (como Mxico, El Salvador, Guatemala). "Common law". Otro de los sistemas legales ms practicados en todo el mundo es el "Common law''. En esta categora entran aquellos pases en los cuales el derecho reposa tcnicamente, al menos en lo esencial, sobre los conceptos y los modos de organizacin jurdica del "common law britnico. Este modelo otorga gran importancia a la jurisprudencia, y no a la ley como medio ordinario de expresin del derecho comn. En consecuencia, la mayora de pases adscritos a este sistema legal estn ms o menos relacionados con la tradicin britnica. Entre los pases que utilizan este sistema adems de Inglaterra estn Estados Unidos, Canad, Irlanda, Australia o Nueva Zelanda. Derecho consuetudinario. Aunque actualmente no existen pases cuyos sistemas legales puedan sean enteramente consuetudinarios, el derecho consuetudinario juega un importante papel en gran nmero de pases de derecho mixto. Este sistema es practicado en algunos pases africanos. Tambin es aplicado, con diferentes condiciones, en pases como China e India. Derecho Musulmn y Derecho Talmdico. Estos son sistemas autnomos de derecho religioso propiamente dicho. No hay separacin entre el estado y la religin, al contrario que en el derecho cannico. Este ltimo, aunque influenciado por dogmas religiosos, es producto de la elaboracin humana es uno de los componentes de la tradicin civilista.

Con excepcin de Afganistn o las Islas Maldivas, los pases que se rigen por este sistema lo utilizan en conjuncin con algn otro (como "Common Law" o Derecho Civil). La mayora de estos pases se encuentran en oriente medio. Derecho Mixto. Se engloban en esta categora aquellos pases donde dos o ms sistemas se aplican de manera acumulativa o de interaccin. Tambin pertenecen a la misma aquellos pases en los cuales hay una yuxtaposicin de sistemas, dado que los mismos se aplican simultneamente a reas ms o menos diferenciadas. Territorios no independientes. Por ltimo, cabe mencionar cierto nmero de sistemas aplicados en una serie de territorios no independientes, que por diversos motivos no estn vinculados al sistema jurdico de la metrpolis. Estos sistemas, bien han adquirido o mantenido caractersticas distintas dentro del nombre federal o unidad poltica a la cual pertenece. Otros sistemas. Derecho penal. Adems de los sistemas antes mencionados, otra parcela importante en este caso es el Derecho penal, cuyo contenido es un catlogo de normas que protegen los valores que una sociedad considera ms importantes, as como las sanciones que se pueden imponer para el caso de incumplimiento. Por tanto, el Derecho penal contiene una lista de delitos y sus penas. Esta lista de delitos y penas puede provenir de un sistema de codificacin, como en todo el mundo occidental, o de textos incluso religiosos (El Corn) pero es importante sealar que los derechos humanos y libertades fundamentales tienen gran trascendencia en este campo, por lo que rigen principios universales no aplicables a otras ramas del Derecho, como el principio de legalidad, que exige que para que se produzca un delito, debe, forzosamente, existir una Ley previa que defina dicho delito. Debido a esta razn, la costumbre no es fuente de este Derecho, ni siquiera en los pases de Derecho consuetudinario o de Common Law. Derecho procesal. Si los anlisis de la deteccin de intrusiones tienen como destino servir de prueba en un procedimiento judicial, debern asimismo tenerse en cuenta los diferentes requisitos legales para que sean vlidas y eficaces la obtencin, conservacin y

presentacin de las pruebas en juicio. En este aspecto, cada pas tiene sus reglas, no pudindose establecer en este caso categoras comunes. Situacin en Europa. En lo que respecta a la situacin legal sobre delitos informticos, los pases pertenecientes al Consejo de Europa acordaron el 21 de noviembre de 2001 el "Convenio sobre la Ciberdelincuencia", en el que tambin participaron los Estados Unidos. Este documento fue firmado por los representantes de cada pas, aunque su eficacia depende de su posterior refrendo por los rganos nacionales de cada pas firmante. Este documento sirvi para definir los delitos informticos y algunos elementos relacionados con stos, tales como sistemas informticos, datos informticos o "proveedor de servicios". Los delitos informticos fueron clasificados en cuatro grupos descritos a continuacin: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos. - Acceso ilcito a sistemas informticos. - Interceptacin ilcita de datos informticos. - Interferencia en el sistema mediante la introduccin, transmisin, provocacin de daos, borrado, alteracin o supresin de estos. - Abuso de dispositivos que faciliten la comisin de delitos. Delitos informticos. Falsificacin informtica que produzca la alteracin, borrado o supresin de datos informtico que ocasionen datos no autnticos. Fraudes informticos.

Delitos relacionados con el contenido. Delitos relacionados con la pornografa infantil.

Delitos relacionados con infracciones de la propiedad intelectual y derechos afines. Los delitos relacionados con los ataques detectados por los Sistemas de Deteccin de Intrusiones estaran principalmente contemplados en la primera categora: "Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos".

En el Convenio sobre la Ciberdelincuencia se encomienda a cada parte que tome las medidas necesarias para tipificar como delito en su derecho interno cada uno de los apartados descritos en cada categora. Situacin en Espaa. A pesar de que en Espaa se estn haciendo progresos en el plano legal para regular los delitos relacionados con las tecnologas de la informacin, lo cierto es que la situacin an es muy precaria. En este apartado se har referencia a los principales elementos relacionados con el marco legal que tienen que ver con los delitos informticos, intentando destacar aquellos temas relacionados con los Sistemas de Deteccin de Intrusiones. Legislacin. Se entiende por delito informtico todo ilcito penal llevado a cabo a travs de medios informticos y que est ntimamente ligado a los bienes jurdicos relacionados con las tecnologas de la informacin o que tiene como fin estos bienes. Espaa cuenta con un Cdigo Penal en el que no existe ningn ttulo que se refiera especficamente a delitos informticos. No obstante, se pueden encontrar algunos tipos penales adaptables a los definidos en el Convenio sobre la Ciberdelincuencia Delitos informticos y el Cdigo Penal. Los tipos penales definidos en el Convenio del Consejo de Europa se pueden encontrar reflejados en el Cdigo penal espaol de 1995 (Ley Orgnica 10/1995, de 23 de Noviembre). De esta forma se extraen las siguientes conductas delictivas, en las que los datos o sistemas informticos son instrumentos de comisin del delito o el objeto del delito: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos.

 Delitos informticos.

Delitos relacionados con el contenido.

Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.

Una vez ms, se debe mencionar que la mayora de los actos delictivos relacionados con un detector de intrusiones estn recogidos en el primer grupo. A pesar de recoger muchos de los casos descritos por el Consejo de Europa, algunas conductas como el "Spam'', escanear puertos, la apologa del terrorismo a

travs de Internet o el blanqueo de capitales no estn contemplados entre los delitos tipificados en nuestro Cdigo Penal. Debido a esta razn, su persecucin penal se realiza conjuntamente con los delitos a los que los ordenadores o las redes sirven como la herramienta para su comisin, no siendo considerados delitos autnomos en s mismos. Delitos informticos y el C.N.P. Los delitos informticos contemplados en Espaa, segn la Brigada de Investigacin Tecnolgica del Cuerpo Nacional de Polica, se pueden clasificar en base a su correspondencia en el Cdigo Penal. El texto que acompaa a cada artculo es una explicacin del delito, y no se corresponde con su contenido. Ataques que se producen contra el derecho a la intimidad.

Infracciones a la Propiedad Intelectual a travs de la proteccin de los derechos de autor.

Falsedades.

Sabotajes informticos.

 Fraudes informticos.

Amenazas.

Calumnias e injurias.

Pornografa infantil.

Legislacin adicional. Existe un cuerpo legislativo, fuera del mbito penal, que pretende regular el aspecto de la Sociedad de la Informacin. Alguna de estas leyes ha sido especialmente formulada con nimo de proteger la intimidad y privacidad de los ciudadanos y sus datos. Conocer y cumplir los requisitos descritos en las mismas hace posible la adopcin de comportamientos tiles legalmente en caso de delito. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Supone una modificacin importante del rgimen sobre proteccin de datos de personas fsicas contenido hasta entonces en la extinta LORTAD. Esta norma por introduce en el marco jurdico unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, a los que reconoce un conjunto de derechos.

No obstante, la ambigedad y falta de precisin de ciertos trminos y situaciones, dificulta su aplicacin. Ley 34/2002, de 11de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico (LSSICE). Esta ambiciosa Ley supone la primera regulacin legal que con carcter general se dicta en Espaa para el entorno de Internet. Aunque su principal objetivo consiste en aplicar la Directiva 200/31/CE (Directiva del Comercio Electrnico). Tambin define otros factores relacionados con la "Sociedad de la Informacin como las obligaciones de Servicio Universal, o la legalidad o ilegalidad de los actos que cualquier particular puede realizar en la Red. Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrnica. Reconoce la eficacia jurdica de la firma electrnica y las condiciones para prestar servicios de certificacin en Espaa. Actualmente se est tramitando una nueva Ley de Firma Electrnica, que se halla en fase de Proyecto de Ley en esta fecha. Intrusiones y la Legislacin espaola. Las intrusiones, o accesos no consentidos, tienen cierta consideracin por parte del Cdigo penal espaol, el cual contempla dos casos concretos: "Hacking" directo, mero acceso no consentido. Se define as a las intrusiones perpetradas con el nico fin de vulnerar un mecanismo de seguridad que permita el acceso a sistemas informticos o redes de comunicacin electrnica de datos. El intruso slo accede al sistema y sale, demostrando el fallo de seguridad del mismo, sin nimo delictivo en esta conducta. El mero acceso y la mera permanencia no autorizada, actualmente no est castigada por el Cdigo penal espaol, a diferencia de lo ocurrido en otros pases, como Francia, que s castiga y persigue este caso. "Hacking indirecto. Consiste en el acceso no consentido a un sistema informtico o redes de comunicacin electrnica de datos con el fin de cometer un delito. En este caso la intrusin se concibe como un medio necesario para cometer el delito final cuyo mvil gua al sujeto desde el principio. En este caso el acceso queda subsumido en el delito finalmente

cometido (descubrir secretos de empresa, vulnerar el habeas data, interceptar las comunicaciones, producir daos, etc.). Por lo tanto, y segn lo descrito, un mero acceso no consentido no constituye un delito en Espaa. Cuerpos especiales. En Espaa se han creado organismos especiales de investigacin tanto en el Cuerpo Nacional de Polica, como la Brigada de Investigacin Tecnolgica, como en la Guardia Civil, con el Grupo de Delitos Telemticos. Adems, se les ha provisto de medios tcnicos cada vez ms avanzados para poder ejercer su labor. Los mismos medios utilizados por los delincuentes para cometer sus delitos sirven tambin a los especialistas para establecer medidas de seguridad y obtener pruebas que los identifiquen e inculpen. Necesidades y deficiencias. Como ya se coment al principio del apartado sobre la situacin en Espaa, el marco legal espaol, a pesar del Cdigo penal actual y las unidades especiales para el control de los delitos informticos, presenta importantes limitaciones a la hora de perseguir a los delincuentes informticos. La rapidez con que se desarrollan las nuevas tecnologas y la posibilidad de actuar desde cualquier parte del mundo, hace de los delitos informticos uno de los retos ms importantes a los que se enfrentan las autoridades legales y judiciales de los pases ms desarrollados. A continuacin, se muestran una serie de factores que complican la labor de estas entidades: - Determinar la jurisdiccin competente. - Delitos cometidos desde fuera de Espaa, provenientes de un pas en el que no exista regulacin sobre el tema. - Dificultad para obtener pruebas fehacientes que inculpen al delincuente. - Dificultad para identificar al autor del delito. No hay que olvidar que las tcnicas de ocultacin de direccin IP por parte de un intruso pueden hacer imposible su localizacin. - Falta de adaptacin de los organismos legislativos a los rpidos cambios y nuevas situaciones provocadas por la aparicin de las nuevas tecnologas. Y necesidad de mayor cooperacin entre distintos pases para abordar el

tema. Esto reducira el mbito de actuacin de muchos delincuentes que se aprovechan de la situacin actual. Polticas de seguridad para evitar intrusiones. Una Poltica de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofas bsicas detrs de cualquier poltica de seguridad: 1. Prohibitiva. En esta poltica todo aquello que no est expresamente permitido es negado. 2. Permisible. En esta poltica todo lo que no est negado expresamente es permitido. Generalmente, un lugar que es ms paranoico sobre seguridad toma la primera opcin. Se usara una poltica que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operacin que no est detalla en ste documento de la poltica ser considerada como ilegal dentro del sistema. Es claro que este tipo de polticas se prestan bien para un ambiente militar, y estos tipos de polticas son raros en establecimientos civiles. La segunda filosofa est ms ligada al espritu de la informtica. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al mximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado. Desgraciadamente, esta filosofa no funciona bien en los mbitos de trabajo actuales. El espritu competitivo tiende a nublar la tica profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema. La mayora de los usuarios se comportar segn un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los dems. Semejante poblacin de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fcil subvertir. Una poblacin de usuarios confiables es contaminada fcilmente por un usuario malvolo, que intente emplear mal los sistemas.

UNIDAD DIDCTICA 3. ANLISIS DE LOS EVENTOS REGISTRADOS POR EL IDS/IPS PARA DETERMINAR FALSOS POSITIVOS Y CARACTERIZARLOS EN LAS POLTICAS DE CORTE DEL IDS/IPS. Uno de los problemas principales con los sistemas de deteccin de intrusin es que suelen generar muchos falsos positivos. Un falso positivo se produce cuando el sistema genera una alerta basndose en lo que cree que es una actividad daina o sospechosa pero en realidad es un trfico normal en esa LAN. Generalmente, cuando establecemos un NIDS con sus configuraciones predeterminadas, va a buscar todo lo que sea ligeramente inusual. La mayora de los sistemas de deteccin de intrusin de red tienen grandes bases de datos predeterminadas con miles de firmas de posibles actividades sospechosas. Los suministradores de IDS no tienen forma de saber la apariencia de nuestro trfico de red, por lo que lo incluyen todo. Existen otras muchas fuentes de falsos positivos, dependiendo de la configuracin de nuestra red y de su nivel de actividad. Un NIDS con una instalacin predeterminada puede generar cientos de falsos positivos en un solo da, algo que puede conducir a un sensacin de desesperacin en el administrador del sistema. La reaccin normal, es que las alertas de estos sistemas se ignoran a menudo debido a su falta de eficacia. Sin embargo, con poco esfuerzo y utilizando las tcnicas descritas en este captulo un IDS puede convertirse en una herramienta til, en lugar de en la versin electrnica de la nia del exorcista. Las causas ms comunes de los falsos positivos se describen en los siguientes apartados. Actividad del sistema de supervisin de red. Muchas empresas utilizan sistemas de supervisin de redes (NMS, Network Monitorig System) como HP OpenView o WhatsUp Gold para tener registros de la actividad de sus sistemas. Estos programas generan mucha actividad de sondeo y descubrimiento en nuestra red. Normalmente utilizan SNMP o algn protocolo similar para obtener el estado, pero pueden tambin utilizar pings y pruebas ms intrusivas. De forma predeterminada, la mayora de los sistemas de deteccin considerarn hostil esta actividad, o al menos, sospechosa. Un Nl\IIS en una red grande puede generar miles de alertas por hora, si se ha establecido en el IDS marcar este tipo de actividad. Se puede evitar haciendo que nuestro NIDS ignore la actividad desde y hacia la IP del NNIS. Tambin podemos eliminar este tipo de alertas de la base de datos de nuestro NIDS, si no consideramos estas alertas importantes.

Escaneado de vulnerabilidad y escneres de puertos de red. Si estamos realizando una prueba de vulnerabilidad de red o un escaneado de puertos utilizando programas como Nessus o Nmap, nuestro NIDS se volver loco cada vez que se ejecuten dichos programas. Estos programas estn diseados para hacer exactamente lo que hacen los piratas informticos. De hecho, probablemente exista una alerta para la mayora de los complementos del programa Nessus. Una vez ms, podemos deshabilitar el informe de la direccin IP de nuestro servidor Nessus o Nmap dentro del NIDS. Una mejor manera de controlar esta situacin es apagar nuestro IDS durante los escaneados programados. As, la IP del escner seguir protegida contra un ataque cuando no est escaneando y nuestra base de datos de alertas no se cargar con datos de nuestra actividad de escaneado. Actividad de usuario. La mayora de los sistemas de deteccin de intrusin de redes se configuran para marcar diversas actividades de usuario peligrosas, como compartir archivos punto a punto, mensajera instantnea, etc. Sin embargo, si permitimos este tipo de actividad, bien por poltica formal o simplemente sin imponer las polticas existentes, se mostrarn como alertas en nuestro registros. Este sera un buen momento para imponer o crear polticas contra su utilizacin ya que podemos demostrar cunto ancho de banda y tiempo consumen, sin mencionar las implicaciones de seguridad. Aunque si pretendemos seguir permitiendo esta actividad, deberamos comentar estas reglas para no rellenar los registros con alertas innecesarias. Comportamientos parecidos a los troyanos o gusanos. Normalmente, virus, gusanos y troyanos viven para la red. Intentan ejecutar diversas actividades por la red, incluyendo la infeccin de nuevas mquinas y el envo en masa de mensajes de correo electrnico. Estas actividades las puede detectar un NIDS, sin embargo, estas firmas tambin pueden ser activadas por una actividad normal de nuestra red. Podramos desactivar las alertas que reconocen esta actividad, aunque exista un trfico potencialmente daino, para evitar vernos agobiados por los falsos positivos.

Cadenas largas de autenticacin bsica. Este tipo de alerta busca las cadenas de registro web largas, algunos ataques utilizan este mtodo para conseguir un desbordamiento de memoria y obtener acceso al sistema. Sin embargo, hoy en da, muchas webs llenan este campo de informacin. Aunque, si desactivamos la regla para evitar falsos positivos, puede viajar cdigo daino por nuestra red y pasar inadvertido para el NIDS. Actividad de autenticacin de base de datos. Algunos sistemas de deteccin de intrusin de red buscan actividades administrativas sobre bases de datos. La teora es que el uso de bases de datos no debera de tener demasiada actividad administrativa en curso y ello podra ser seal de que alguien estn intentando sabotearla. Sin embargo, muchas bases de datos tienen trabajos en proceso y mucha actividad administrativa incluso si no se estn consultando. Esta actividad, aunque legtima, generar muchas de estas alertas. Si nuestras bases de datos estn en constante desarrollo, probablemente deberemos desactivar dichas alertas, al menos hasta que se estabilicen y tengan un uso normal.

UNIDAD DIDCTICA 4. RELACIN DE LOS REGISTROS DE AUDITORA IDS/IPS NECESARIOS PARA MONITORIZAR Y SUPERVISAR SU CORRECTO FUNCIONAMIENTO Y LOS EVENTOS DE INTENTOS DE INTRUSIN. La Especializacin en Auditoria de Sistemas proporciona los conocimientos necesarios para identificar los riesgos y disear controles en un ambiente computarizado, realizar la evaluacin independiente del sistema de control y liderar el departamento de Auditoria de Sistemas en cualquier tipo de organizacin. Es innegable la importancia de la tecnologa de informacin como factor crtico de xito para las organizaciones. La toma de conciencia en las empresas de los riesgos inherentes a la actividad informtica y de la necesidad de proteccin de altas inversiones que se dedican al diseo e implementacin de Sistemas de Informacin, han permitido el desarrollo de la Auditoria de Sistemas en nuestro medio y ha creado una demanda constante de profesionales idneos en este rea. Es la auditora de sistemas la encargada de liderar el montaje y desarrollo de la funcin de control en los ambientes computarizados, integrar la Auditoria de Sistemas con las dems reas de la auditoria para contribuir a la modernizacin y eficiencia de esta funcin, realizar evaluaciones de riesgos en ambientes de sistemas y disear los controles apropiados para disminuir esos riesgos, adems de participar en el desarrollo de los Sistemas de informacin, aportando el elemento de control y evaluar la administracin de los recursos de informacin en cualquier organizacin. Un registro de auditora registrar una entrada siempre que los usuarios realicen determinadas acciones que usted especifica. Por ejemplo, la modificacin de un archivo o una directiva puede desencadenar una entrada de auditora. La entrada de auditora muestra la accin que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y hora de la accin. Puede auditar tanto los intentos correctos como incorrectos en las acciones. El estado del sistema operativo y las aplicaciones de un equipo es dinmico. Por ejemplo, puede que sea necesario que los niveles de seguridad cambien de forma temporal para permitir la resolucin inmediata de un problema relacionado con la administracin o la red; muy a menudo, estos cambios se olvidan y nunca se deshacen. Esto significa que puede que un equipo ya no cumpla los requisitos de seguridad de la empresa. El anlisis regular permite a un administrador hacer un seguimiento y garantizar un nivel adecuado de seguridad en cada equipo como parte de un programa de

administracin de riesgos de la empresa. El anlisis se centra en informacin altamente especificada sobre todos los aspectos del sistema relacionados con la seguridad. Esto permite que un administrador ajuste los niveles de seguridad y, lo ms importante, detecte cualquier defecto de seguridad que pueda darse en el sistema con el tiempo. La auditora de seguridad es extremadamente importante para cualquier sistema empresarial, ya que los registros de auditora pueden que den la nica indicacin de que se ha producido una infraccin de seguridad. Si se descubre la infraccin de cualquier otra forma, la configuracin de auditora adecuada generar un registro de auditora que contenga informacin importante sobre la infraccin. A menudo, los registros de errores son mucho ms informativos que los registros de aciertos, ya que los errores suelen indicar problemas. Por ejemplo, si un usuario inicia sesin correctamente en el sistema, puede considerarse como algo normal. Sin embargo, si un usuario intenta sin xito iniciar sesin en un sistema varias veces, esto puede indicar que alguien est intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona. El registro de seguridad registra sucesos de auditora. El contenedor de registro de sucesos de directiva de grupo se utiliza para definir atributos relacionados con la aplicacin, la seguridad y los registros de sucesos del sistema como, por ejemplo, el tamao mximo del registro, los derechos de acceso para los registros, as como la configuracin y los mtodos de retencin. Valores de auditora. Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuracin de auditora son idnticos, por lo que slo se detallan una vez en los siguientes prrafos. Debajo de esos prrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuracin de auditora son: Correcto. Errneo. Sin auditora. Vulnerabilidad. Si no se configura ninguna auditora, ser complicado o imposible determinar lo que sucedi durante un incidente de seguridad. No obstante, si se configura la

auditora para que demasiadas actividades autorizadas generen sucesos, el registro de sucesos de seguridad se llenar de datos poco tiles. Configurar la auditora para un gran nmero de objetos puede influir tambin en el rendimiento general del sistema. Contramedida. Todos los equipos de su organizacin deberan tener directivas de auditora razonables habilitadas para que los usuarios legtimos puedan ser responsables de sus acciones y las actividades no autorizadas se puedan detectar y seguir. Impacto potencial. Si no se configura ninguna auditora o si la auditora tiene una configuracin muy baja en los equipos de la organizacin, no habr evidencias disponibles, o sern insuficientes, para el anlisis de la red despus de que se produzcan los incidentes de seguridad. Por otra parte, si se habilitan demasiadas auditoras el registro de seguridad se llenar de entradas carentes de sentido. Auditar sucesos de inicio de sesin de cuenta. El valor de configuracin Auditar sucesos de inicio de sesin de cuenta determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesin desde otro equipo, en la que el equipo que registra el suceso de auditora se utiliza para validar la cuenta. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un intento de inicio de sesin de cuenta tiene xito, lo que ofrece informacin til para establecer la responsabilidad y para la investigacin tras el incidente, de forma que se pueda determinar quin consigui iniciar sesin y en qu equipo. Las auditoras de errores generan una entrada de auditora cuando en un intento de inicio de sesin de cuenta se produce un error, lo que resulta til para la deteccin de intrusos, pero este valor de configuracin tambin crea una posible condicin de denegacin de servicio (DoS), ya que un atacante puede generar millones de errores de inicio de sesin y llenar el registro de sucesos de seguridad. Si se habilita una auditora de aciertos para los sucesos de inicio de sesin de cuenta en un controlador de dominio, se registrar una entrada para cada usuario que se valide en el controlador de dominio, aunque el usuario est iniciando sesin en una estacin de trabajo asociada al dominio.

Auditar la administracin de cuentas. El valor de configuracin Auditar la administracin de cuentas determina si se deben auditar todos los sucesos de administracin de cuentas de un equipo. Algunos ejemplos de sucesos de administracin de cuentas incluyen: Se crea, cambia o elimina una cuenta de usuario o grupo. Cambia el nombre de una cuenta de usuario, o bien, se desactiva o se activa una. Se establece o cambia una contrasea. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando cualquier suceso de administracin de cuentas se lleva a cabo satisfactoriamente y deberan estar habilitadas en todos los equipos de la empresa. Es importante que las organizaciones puedan realizar un seguimiento de las personas que crearon, cambiaron o eliminaron una cuenta al responder a los incidentes de seguridad. Las auditoras de errores generan una entrada de auditora cuando cualquier suceso de administracin de cuentas produce un error. Auditar el acceso del servicio de directorio. El valor de configuracin Auditar el acceso del servicio de directorio determina si se debe auditar el suceso de un usuario que tiene acceso a un objeto de Microsoft Active Directory que tiene su propia lista de control de acceso al sistema (SACL) especificada. Una SACL es una lista de usuarios y grupos cuyas acciones sobre un objeto se deben auditar en una red basada en Microsoft Windows 2000. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un usuario obtiene acceso correctamente a un objeto de Active Directory que tiene una SACL especificada. Las auditoras de errores generan una entrada de auditora cuando un usuario intenta obtener acceso sin xito a un objeto de Active Directory que tiene una SACL especificada. La habilitacin de la auditora del acceso del servicio de directorio y la configuracin de las SACL en los objetos de directorio puede generar un gran volumen de entradas en los registros de seguridad de los controladores de dominio, slo debera habilitar esos valores si realmente desea utilizar la informacin creada.

Recuerde que puede establecer una SACL en un objeto de Active Directory utilizando la ficha Seguridad del cuadro de dilogo Propiedades de ese objeto. Esto es parecido a auditar el acceso a objetos, salvo que se aplica slo a los objetos de Active Directory y no a los objetos del sistema de archivos y del registro. Auditar sucesos de inicio de sesin. El valor de configuracin Auditar sucesos de inicio de sesin determina si se debe auditar cada instancia de un usuario que inicie, cierre una sesin o realice una conexin de red al equipo que registra el suceso de auditora. Si est registrando sucesos de auditora de inicio de sesin correctos de cuenta en un controlador de dominio, los intentos de inicio de sesin de la estacin de trabajo no generan auditoras de inicio de sesin. Slo los intentos de inicio de sesin de red e interactivos en el controlador de dominio propiamente dicho generan sucesos de inicio de sesin. En resumen, los sucesos de inicio de sesin de cuenta se generan donde se encuentra la cuenta; los sucesos de inicio de sesin se generan donde se produce el intento de inicio de sesin. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un intento de inicio de sesin tiene xito, esto ofrece informacin de utilidad para las cuentas y para la investigacin tras el incidente de forma porque puede determinar quin consigui registrarse en cada equipo. Las auditoras de errores generan una entrada de auditora cuando un intento de inicio de sesin produce un error, lo que es til para la deteccin de intrusos, pero este valor de configuracin tambin crea una posible condicin de denegacin de servicio (DoS), ya que un atacante puede generar millones de errores de inicio de sesin y llenar el registro de sucesos de seguridad. Auditar el acceso a objetos. El valor de configuracin Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un usuario obtiene acceso correctamente a un objeto que tiene una SACL especificada. Las auditoras de errores generan una entrada de auditora cuando un usuario intenta obtener acceso sin xito a un objeto que tiene una SACL especificada; hay que contar con que se produzcan algunos sucesos de error durante las operaciones de sistema normales. Por ejemplo, muchas aplicaciones, como Microsoft Word, siempre intentan abrir archivos con

privilegios tanto de lectura como de escritura, si no lo consiguen intentan abrirlos con privilegios de slo lectura. Cuando esto ocurre, se registra un suceso de error si ha habilitado la auditora de errores y la SACL adecuada en ese archivo. La habilitacin de la auditora de acceso de objetos y la configuracin de las SACL en los objetos puede generar un gran volumen de entradas en los registros de seguridad de los sistemas de su empresa, por ello, slo debera habilitar esos valores si realmente desea utilizar la informacin registrada. Nota: la habilitacin de la capacidad de auditar un objeto, como un archivo, una carpeta, una impresora o una clave de Registro es un proceso que consta de dos pasos en Microsoft Windows Server 2003. Tras habilitar la directiva de auditora de acceso a objetos, debe determinar los objetos cuyo acceso desee supervisar y, a continuacin, modificar sus SACL como corresponda. Por ejemplo, si desea auditar cualquier intento por parte de los usuarios de abrir un archivo determinado, puede establecer el atributo de xito o error directamente en el archivo que desee supervisar para ese suceso en particular mediante el Explorador de Windows o la directiva de grupo. Auditar el cambio de directivas. El valor de configuracin Auditar el cambio de directivas determina si se debe auditar cada caso de cambio de las directivas de asignacin de derechos de usuario, de auditora o de confianza. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un cambio en las directivas de asignacin de derechos de usuario, de auditora o de confianza se realiza correctamente, lo que ofrece informacin de utilidad para las cuentas y para la investigacin tras el incidente de forma que pueda determinar quin consigui modificar las directivas en el dominio o en los equipos individuales. Las auditoras de error generan una entrada de auditora cuando se produce un error al realizar un cambio en las directivas de asignacin de derechos de usuario, de auditora o de confianza. Auditar el uso de privilegios. El valor de configuracin Auditar el uso de privilegios determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando el ejercicio de un derecho de usuario tiene xito. Las auditoras de errores generan una entrada de auditora cuando el ejercicio de un derecho de usuario produce un error. El volumen de sucesos generados al habilitar

este valor de configuracin es muy alto y muy difcil de clasificar. Slo debe habilitar esta configuracin si ha planeado cmo va a utilizar la informacin que se ha generado. De forma predeterminada, el uso de los siguientes derechos de usuario no genera sucesos de auditora, aunque se haya especificado la auditora de aciertos o la de errores para Auditar el uso de privilegios: Omitir la comprobacin de recorrido. Depurar programas. Crear un objeto Token. Reemplazar un token de nivel de proceso. Generar auditoras de seguridad. Realizar copias de seguridad de archivos y directorios. Restaurar archivos y directorios. Auditar el seguimiento de procesos. El valor de configuracin Auditar el seguimiento de procesos determina si se debe auditar informacin de seguimiento detallada de sucesos como la activacin de programas, la salida de procesos, la duplicacin de identificadores y el acceso indirecto a objetos. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando el proceso que se est siguiendo tiene xito. Las auditoras de errores generan una entrada de auditora cuando el proceso que se est siguiendo produce un error. La habilitacin del valor de configuracin Auditar el seguimiento de procesos generar una cantidad considerable de sucesos, por lo que generalmente se establece en Sin auditora. Sin embargo, estos valores pueden resultar muy tiles durante la respuesta a un incidente a partir del registro detallado de los procesos iniciados y la hora de inicio de los mismos. Auditar sucesos del sistema. El valor de configuracin Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a

la seguridad del sistema o al registro de seguridad. Si define este valor de configuracin de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un suceso del sistema se ejecuta correctamente. Las auditoras de errores generan una entrada de auditora cuando se intenta ejecutar un suceso del sistema sin xito. Como se registrarn muy pocos sucesos adicionales al habilitar las auditoras de aciertos y de errores para los sucesos del sistema y todos esos sucesos son muy significativos, se recomienda habilitar esta configuracin en todos los equipos de la organizacin.

UNIDAD DIDCTICA 5. ESTABLECIMIENTO DE LOS NIVELES REQUERIDOS DE ACTUALIZACIN, MONITORIZACIN Y PRUEBAS DEL IDS/IPS. El modelo de deteccin de anomalas se basa en constantemente monitorear el sistema para as detectar cualquier cambio en los patrones de utilizacin o el comportamiento del mismo. Si algunos de los parmetros monitoreados sale de su regularidad, el sistema generar una alarma que avisar al administrador de la red sobre la deteccin de una anomala. Este tipo de deteccin es bastante compleja, debido a que la cuantificacin de los parmetros a observar no es sencilla y a raz de esto, se pueden presentar los siguientes inconvenientes: Pueden generarse falsas alarmas si el ambiente cambia repentinamente, por ejemplo, cambio en el horario de trabajo. Un atacante puede ir cambiando lentamente su comportamiento para as engaar al sistema. Segn el tipo de monitoreo, hay SDI con deteccin orientada al host o deteccin orientada a la red. El modelo orientado al host se basa en el monitoreo y anlisis de informacin, que refleja el estado del host donde ste reside. La mayora de la informacin que este tipo de sistema recopila es obtenida a travs del sistema operativo del host. Esto ltimo causa complicaciones debido a que la informacin que se procesa no contiene registros del comportamiento, de bajo nivel, de la red. Los SDI que utilizan el modelo orientado a red, fundamentan su monitoreo en informacin recolectada de la red. Generalmente, sta informacin es capturada mediante mecanismos de "sniffing". El "sniffing" consiste en habilitar la interfaz de red en modo promiscuo para que as capture todos los paquetes que reciba, incluso aquellos que no le han sido destinados. En base al mecanismo antes expuesto, se pueden definir patrones o firmas de ataques, segn la estructura, informacin y ocurrencia de los paquetes. Cuando un sistema de deteccin de intrusos monitoriza el trfico que atraviesa el enrutador y detecta un ataque, memoriza la direccin IP del pirata y enruta todo el trfico hacia un honeypot situado en una DMZ aparte. Uno de los sistemas de IDS particularmente extendido es Snort, pues se proporciona en forma de software abierto, es decir, es gratuito y fcil de obtener, descargndolo de su pgina en Internet. Adems, dispone de una base de firmas muy grande, realizada por la comunidad de usuarios. Es garanta de obtener rpidamente actualizaciones de la base cuando se seala una nueva amenaza.

Aunque la base de firmas se extensa, requiere un trabajo constante por parte del administrador, que debe descargar dichas actualizaciones manualmente pues no hay ningn proceso automtico para ello. El software tambin incluye una actualizacin automtica diaria de la aplicacin y de la base de formas.

MDULO 3. CONTROL DE CDIGO MALICIOSO. UNIDAD DIDCTICA 1. SISTEMAS DE DETECCIN Y CONTENCIN DE CDIGO MALICIOSO. Cdigos maliciosos. En seguridad informtica, cdigo malicioso (malicious code, vandals) es un trmino que hace referencia a cualquier conjunto de cdigos, especialmente sentencias de programacin, que tiene un fin malicioso. Esta definicin incluye tanto programas malignos compilados, como macros y cdigos que se ejecutan directamente, como los que suelen emplearse en las pginas web (scripts). Los cdigos maliciosos pueden tener mltiples objetivos como los mencionados a continuacin: Extenderse por la computadora, otras computadoras en una red o por internet. Robar informacin y claves. Eliminar archivos e incluso formatear el disco duro. Mostrar publicidad invasiva. Mnimos cambios en un cdigo malicioso, pueden hacer que ya no sea reconocido como malicioso por un programa antivirus; es por esta razn que existen tantas variantes de los virus, los gusanos y otros malwares (cdigos maliciosos). Adems, los antivirus todava no tienen la suficiente "inteligencia" como para detectar cdigos maliciosos nuevos. Tipos de cdigos maliciosos. Algunos de los cdigos maliciosos ms comunes son los troyanos y los gusanos que sern explicados a continuacin: Troyanos. Un troyano era en sus comienzos, un programa que camuflado dentro de otro (de ah el nombre, asociado al caballo que los griegos utilizaron para ganar su guerra contra Troya) para conseguir que un usuario de un ordenador lo ejecutara pensando que en realidad estaba ejecutando un programa lcito. Estos troyanos, tenan multitud de funciones, algunas destructivas y otras no, y se diferenciaban de los virus comunes en su incapacidad para autoreproducirse, es

decir, que no podan crear copias de si mismos para infectar otros ordenadores y dependa de la accin del usuario del ordenador para realizar su fin. Hablamos en pasado porque, aunque la definicin de troyanos sigue siendo vlida, los ltimos aos han visto surgir un gran nmero de troyanos con unas caractersticas especiales, que se han generalizado ampliando su definicin al trmino troyano. Estos nuevos troyanos, responden ms concretamente a la definicin de Backdoor o Puerta trasera, es decir, que abren un canal de comunicacin en el ordenador infectado que permite que otro ordenador se conecte a l para realizar acciones sin que el usuario legtimo de este ordenador sea consciente de ello. Estos troyanos pueden realizar tareas "simples", como robar claves, buscando un cierto formato en la informacin de los usuarios (por ejemplo, las tarjetas VISA se identifican con 4 grupos de 4 nmeros y un grupo ms, la fecha de caducidad, que consta de 2 grupos de 2 nmeros separados por una barra) o llegan incluso a permitir al "atacante" que tome control del ordenador, abriendo y cerrando programas, creando y borrando ficheros, etc. Con la aparicin de la banda ancha (cable o ADSL) y la posibilidad de mantenerse conectado a Internet durante 24 horas al da, los Troyanos se han puesto de moda, ya que permiten a un atacante, tomar control de un ordenador vctima a travs de Internet y manejarlo a su antojo sin ningn tipo de problema. Incluso se pueden crear redes de ordenadores controlados por un solo atacante que puede utilizarlo para actividades ilcitas (por ejemplo atacar un sitio Web y "tumbar" la pgina). Gusanos. Otro tipo de cdigo malicioso son los gusanos. Primos hermanos de los virus, su principal misin es reproducirse y extenderse al mayor nmero de ordenadores posibles. Internet y el correo electrnico han supuesto el verdadero auge de este tipo de cdigo malicioso, que pueden infectar miles de ordenadores en cuestin de horas. Posiblemente menos peligrosos para los usuarios domsticos que otros, su mayor poder es en el ataque a grandes sistemas de empresas o los ordenadores que sostienen Internet. Su poder de multiplicacin es capaz de colapsar grandes ordenadores rpidamente y "tumbar" los servicios que den (servidores de correo electrnico, de pginas web...).

Su mecanismo de distribucin suele ser en la mayora de los casos muy simple. Camuflados en un mensaje aparentemente inocente, llegan a nuestro correo electrnico. Una vez ejecutado leen nuestra lista de contactos (libreta de direcciones o Address Book) y se renvan de forma automtica a todas las direcciones que contengan. Nuestros contactos recibirn un correo, aparentemente enviado por nosotros, y por tanto lo abrirn sin sospechar nada y vuelta a empezar. Este tipo de cdigo malicioso utiliza en muchas ocasiones lo que denominamos Ingeniera social, es decir, intenta aparecer atractivo para nosotros, a fin que no sospechemos y lo ejecutemos rpidamente. Promesas de fotografas, juegos, listados de pginas con contenido ertico... son algunos de los trucos que han usado los creadores de estos engendros para llamar nuestra atencin. Los defensores: Antivirus y Firewalls Personales. Estas y otras razones han hermanado a los antivirus y los firewalls personales. Un Antivirus es un programa que intenta proteger un ordenador o red de ordenadores de todo tipo de cdigo malicioso que pudiera llegar a este equipo. Existen antivirus especializados en diferentes entornos, correo, ficheros... Bsicamente un antivirus funciona de una forma muy simple, revisa todo los ficheros (o correo en su caso) que llega al equipo y bloquea todo aquello que cree que puede contener un cdigo malicioso. Para que el antivirus identifique un cdigo malicioso bsicamente existen 2 mtodos complementarios. El ms habitual es comparar trozos de ese cdigo con una base de datos de firmas que contiene el antivirus y que es actualizada constantemente. Si coinciden, es que es un cdigo malicioso y no se deja pasar. La otra tcnica consiste en ver cual es el comportamiento de ese fichero, buscando acciones extraas (como formatear el disco duro, infectar ficheros...). Este ltimo mtodo slo puede dar cierta informacin de que hay algo raro en el fichero, pero no qu virus es. Los Firewalls personales son un complemento perfecto de los antivirus clsicos, por eso los mejores fabricantes de antivirus los incluyen dentro de sus ltimas versiones.

Para entender como funcionan los firewalls personales, queremos resumir primero cmo funcionan las comunicaciones entre ordenadores (de forma parecida al servicio de correos). Cuando alguien quiere enviar una carta, Correos se encarga de dar el servicio de envo a otro lugar. Es decir, es el "servidor" (el que da el servicio). Cuando se enva una carta sta debe ir en un sobre y con sello, este sobre sera el que posibilita la comunicacin por parte del cliente. El sobre es depositado en el buzn o la oficina de correos. Siguiendo esta analoga, el ordenador que pide el servicio (cliente), se comunica con el servidor (correos), que es el ordenador que da el servicio. Para establecer la comunicacin utiliza un puerto (el sobre y el sello) y se conecta a otro puerto del servidor (el buzn u oficina de correos). Lo que hace un firewall personal es bloquear esa comunicacin, cuando se sale de los cauces normales establecidos por el usuario. Es decir, si un ordenador se conecta a una pgina web con su navegador, esto es una comunicacin normal y permitida, por lo que el firewall lo deja pasar (no bloquea el puerto de esa comunicacin), sin embargo si es un troyano el que intenta comunicarse con el ordenador atacante, a fin de tomar control de ese ordenador, intenta comunicarse por un puerto no permitido y el firewall lo bloquea. Sera como quitar el buzn o cerrar la oficina de correos.

UNIDAD DIDCTICA 2. RELACIN DE LOS DISTINTOS TIPOS DE HERRAMIENTAS DE CONTROL DE CDIGO MALICIOSO EN FUNCIN DE LA TOPOLOGA E LA INSTALACIN Y LAS VAS DE INFECCIN A CONTROLAR. En la actualidad, la propagacin de virus, gusanos y ataques automticos en Internet ha crecido enormemente. Hace unos aos, en 2001, Code Red y Nimda infectaron cientos de miles de equipos causando prdidas por millones de dlares. Luego de una relativa calma apareci SQL Slammer en enero de 2003, y se esparci rpidamente a travs de Internet. Por su rpido mecanismo de escaneo, logr infectar a un 90% de los host vulnerables en los primeros 10 minutos, adems la enorme cantidad de paquetes de escaneo generados por el slammer ocasion un ataque de denegacin de servicio a nivel global en Internet, muchas redes en Asia, Europa y Amrica estuvieron fuera de servicio durante horas. Algunas de ellas con gran importancia son las siguientes: Arania: es una herramienta para colectar cdigo malicioso en ataques de inyeccin de cdigo a servidores web en produccin. Se explica la importancia de dicha herramienta al ser no intrusiva, a diferencia de los honeypots. El diseo de arania es simple y concreto, se cumplen varios objetivos: 1. Monitorea de forma automticas los registros del servidor web. 2. Es un modelo no- intrusivo, no afecta el funcionamiento del servidor web. 3. Obtiene el cdigo malicioso que se trato de incluir. 4. Lo almacena marcndolo de acuerdo a su contenido. 5. Mantiene un registro detallado. Arania es una herramienta que naci de la necesidad de contar con mayor informacin sobre las herramientas utilizadas para atacar aplicaciones web, aunque originalmente se desarroll para el CMS de Mambo, ahora puede utilizarse de forma general para obtener el cdigo malicioso en ataques de inyeccin de cdigo y de inclusin de cdigo remoto en una gran variedad de aplicaciones web. FileInsight: esta til herramienta de la compaa McAfee, est diseada para analizar pginas web y verificar si stas cuentan o no con cdigo malicioso. Esta aplicacin es realmente til, ya que nos permite verificar si una pgina web est limpia de malware; lo cual no slo nos ayuda a mantener nuestro equipo personal limpio de cdigo malicioso, sino que tambin nos permite realizar auditoras para verificar, si los usuarios de

nuestra red estn accediendo a sitios sospechosos de tener cdigo malicioso. Virus Total: esta aplicacin online de Hispasec Sistemas, es completamente gratuita y nos permite analizar archivos sospechosos de contener virus, malware, e incluso analizar correos electrnicos; para de esta manera, poder abrir con tranquilidad estos archivos en nuestros PCs. Para utilizar esta herramienta, slo debemos enviar el archivo sospechoso a Virus Total, para que ste realice un anlisis completo del archivo y despeje las dudas, sobre si est infectado o no con algn malware o virus. Esta aplicacin trabaja con los principales motores de antivirus y antimalware, entre los cuales podemos destacar: Avast!, Avira, Quick Heal, Clamwin, NOD 32, AVG, Antivir, Ikarus, Panda Platinum, BitDefender, Norton Antivirus, entre otros.

UNIDAD DIDCTICA 3. CRITERIOS DE SEGURIDAD PARA LA CONFIGURACIN DE LAS HERRAMIENTAS DE PROTECCIN FRENTE A CDIGO MALICIOSO. Los errores generados en el software durante la aplicacin de una instalacin, pueden ser aprovechados por software malicioso para producir daos en el sistema, este hecho amenaza la integridad y la confidencialidad de los datos y debe ser gestionado adecuadamente. Los virus informticos son aplicaciones o trozos de cdigo que aprovechan estos errores. En la gran mayora de los casos se debe establecer una poltica de proteccin del sistema de informacin que incluya la instalacin en todos los equipos de un software antivirus. En el caso, por ejemplo del mbito empresarial, se deben adoptar medidas de seguridad complementarias a la instalacin de un antivirus, como son establecer una planificacin de actualizaciones del mismo, formar y concienciar al personal para que eviten la ejecucin de archivos o lectura de mensajes no reconocidos, recomendando la eliminacin de los mismos. Tambin se debe contemplar en las medidas la prohibicin de instalacin de software sin licencia, ya que dicho software podra encubrir al software malicioso (virus, troyanos, etc.), as como el uso de software no autorizado especficamente por la organizacin. La implantacin de normas de proteccin contra cdigo malicioso est reflejada en la norma ISO 17799 en el siguiente punto: Se debern poner en marcha medidas para la deteccin, prevencin y recuperacin del sistema frente a cdigo malicioso, as como procedimientos de concienciacin de los usuarios. Un buen ejemplo puede ser el de una empresa que no ha definido ninguna poltica de seguridad con respecto al malware y cdigos maliciosos. Los equipos no tienen instalada ninguna solucin antivirus (porque no se conectan a Internet), en los ordenadores se instala un software no legal de una aplicacin que se descarg en su casa uno de los miembros de la empresa de fuentes no fiables. Los usuarios utilizan CDs y disquetes de fuera de las instalaciones en los equipos del sistema de informacin de la empresa. Amenazas posibles: Posible infeccin desde soportes extrables. Posible infeccin por instalacin de software no fiable. Violacin de la ley de propiedad intelectual.

La empresa decide instalar en todos los equipos un antivirus y mantenerlo actualizado, y establece normas para que cualquier soporte que se utilice (que no pertenezca a la empresa) primero se escanee con dicho antivirus. Tambin establece normas para que solo el software legal y autorizado por la empresa sea instalado en los equipos del sistema de informacin. Se debe definir un procedimiento de instalacin y actualizacin de antivirus en la organizacin, desarrollando actuaciones de formacin y concienciacin complementarias a usuarios, para evitar la entrada de cdigo malicioso en el sistema. Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos los siguientes aspectos: Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la organizacin. Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas. Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos de su rea. Monitorear peridicamente los procedimientos y operaciones de la organizacin, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente. Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas. Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de los sistemas informticos ante el cdigo malicioso, algunos son: Proteccin a travs del nmero de cliente y la del generador de claves dinmicas.

 Tener el sistema operativo y el navegador web actualizados. Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas. Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuando sea necesario cambiar la configuracin o instalar un nuevo software. Tener precaucin al ejecutar software procedente de Internet o de medios extrables como CD o memorias USB. Es importante asegurarse de que proceden de algn sitio de confianza. Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. Desactivar la interpretacin de Visual Basic Script y permitir JavaScript, ActiveX y cookies slo en pginas web de confianza. Utilizar contraseas de alta seguridad para evitar ataques de diccionario. Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extrables como CD o DVD para poderlos recuperar en caso de infeccin por parte de algn malware.

UNIDAD DIDCTICA 4. DETERMINACIN DE LOS REQUERIMIENTOS Y TCNICAS DE ACTUALIZACIN DE LAS HERRAMIENTAS DE PROTECCIN FRENTE A CDIGO MALICIOSO. Herramientas de anlisis IDS. Los sistemas de deteccin normalmente ofrecen a los administradores varios mtodos de notificacin de una alerta. En su nivel ms bsico, las alertas pueden simplemente enviarse a un archivo de registro para una revisin posterior, algo que no es muy recomendable ya que requiere que el administrador revise los registros. Si no se supervisan diariamente, pueden pasar das o semanas antes de descubrir los intentos de intrusin. La otra alternativa es enviar un mensaje de correo electrnico o una pgina, a la persona apropiada siempre que se genere una alerta. Sin embargo, incluso en un sistema bien ajustado, puede ser molesto recibir correos varias veces al da. As mismo, las alertas de correo electrnico no estaran en un formato en el que se puedan comparar con alertas pasadas o analizadas de otra forma. La mejor solucin para controlar las alertas IDS es insertarlas en una base de datos, para permitir un anlisis ms profundo. IDS Snort (NIDS). Es una herramienta desarrollada por Martin Roesch, aunque ahora ya cuenta con 30 desarrolladores ms en su equipo principal, sin contar con los que escriben reglas y otras partes del software. Existen muchos recursos disponibles para Snort y todos ellos son recursos gratuitos disponibles en Internet. Snort es principalmente un IDS basado en firmas, aunque con la adicin del mdulo Spade, puede realizar una deteccin de actividad de anomalas. Existen tambin otros mdulos de complemento como Inline Snort que permite a Snort realizar acciones predeterminadas ante determinadas alertas. Caractersticas bsicas. Libre distribucin. Snort es de libre distribucin y portable a casi cualquier sistema operativo Unix/Linux. Tambin existen versiones disponibles para Windows y otros sistemas operativos.

Ligero. Debido a que el cdigo se ejecuta de una forma eficiente, no requiere mucho hardware, lo que permite poder analizar trfico en una red de 100 Mbps a una velocidad cercana al cable, algo bastante increble si pensamos lo que hace con cada paquete. Snort personaliza reglas. Snort ofrece una forma fcil para ampliar y personalizar el programa escribiendo nuestras propias reglas o firmas. Existe mucha documentacin que puede ayudarnos a aprender a hacer reglas, sin mencionar la cantidad de foros sobre el tema. Modo de deteccin de intrusin (IDS). Este modo lo utiliza Snort para registrar paquetes sospechosos o que merecen una consideracin especial. Slo necesitamos un modificador adicional a la declaracin anterior para que Snort entre en este modo. El modificador: -c configfile, le indica a Snort que utilice un archivo de configuracin para dirigir los paquetes que registra. Este archivo determina la configuracin de Snort, se incluye un archivo predeterminado, pero debemos realizar cambios antes de ejecutarlo, para que refleje nuestro perfil de red. Por lo tanto, si escribimos: #snort -de -l /var/log/snort -h 192.168.0.0/24 -c /etc/snort/snort.conf Ejecutaremos Snort en modo IDS utilizando el archivo de configuracin snort.conf predeterminado. Hay que tener en cuenta que no hemos utilizado el modificador -v para ejecutar Snort en modo IDS. Cuando intentamos comparar todos los paquetes con las firmas, obligar a Snort a escribir tambin las alertas en la pantalla puede causar que algunos paquetes se omitan, especialmente en redes con mucho trfico. Tambin podemos omitir el modificador -e si no necesitamos registrar las capas de enlace de datos. Si omitimos el modificador -l, Snort de forma predeterminada utilizar /var/log/snort como su directorio de registro. Tambin podemos utilizar el modificador -b si deseamos registrar un archivo binario para un anlisis posterior con un programa independiente. El comando para ejecutar Snort en el modo IDS es: #snort -h 192.168.0.0/24 -c /etc/snort/snort.conf

Tcnicas para asegurar el sistema. Codificar la informacin. Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Zona desmilitarizada. Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. Sistema de Respaldo Remoto. Servicio de backup remoto.

UNIDAD DIDCTICA 5. RELACIN DE LOS REGISTROS DE AUDITORA DE LAS HERRAMIENTAS DE PROTECCIN FRENTE A CDIGO MALICIOSO NECESARIOS PARA MONITORIZAR Y SUPERSIVAR SU CORRECTO FUNCIONAMIENTO Y LOS EVENTOS DE SEGURIDAD. La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia. Para comenzar a plantear la definicin y los conceptos de la Auditoria de Sistemas e Informtica, debemos posicionarnos en Que es AUDITORIA? El trmino de Auditora muchas veces se ha empleado incorrectamente y con frecuencia slo se le considera como una evaluacin cuyo nico fin es detectar errores y sealar fallos. Pero la auditora y el control van ms all de detectar fallas. La palabra auditora proviene del latn auditorius, y de ella se deriva la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. Concepto de Auditora. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. Funcin del Control. Una definicin que es correcta y a la cual representa el valor de la Funcin del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Tcnica y/u Operacional a que no incurran en falta. Y es por ello que aqu el Control es Creativo, Inteligente, y Constructivo de asesoramiento

oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la mxima eficiencia. El Control de Sistemas e Informtica. Consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informticos), de los Organismos sujetos a control, con al finalidad de evaluar la eficacia y eficiencia Administrativa Tcnica y/u Operacional de los Organismos, en concordancia con los principios, normas, tcnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organizacin para su dinmica de Gestin en salvaguarda de los Recursos del Estado. Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su eficacia, la Supervisin compulsa de rendimientos, Pruebas de Productividad de la Gestin/Demanda llamada "Pruebas intermedias", el anlisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. As mismo medicin de la vida til del Sistema Informtico adoptado por la Organizacin bajo control. Objetivos de la Auditora y Control de Sistemas e Informtica. Los principales objetivos que constituyen a la auditora Informtica son: El control de la funcin informtica (Sistema de Informacin: SI y la Tecnologa de la Informacin: TI). El anlisis de la eficiencia de los SI y la TI. La verificacin del cumplimiento de la Normativa General de la Organizacin. La verificacin de los Planes, Programas y Presupuestos de los Sistemas Informticos. La revisin de la eficaz gestin de los recursos materiales y humanos informticos. La revisin y verificacin de Controles Tcnicos Generales y Especficos de Operatividad.

 La revisin y verificacin de las Seguridades: 1. De Cumplimiento de normas y estndares. 2. De Sistema Operativo. 3. De Seguridad de Software. 4. De Seguridad de Comunicaciones. 5. De Seguridad de Base de Datos. 6. De Seguridad de Proceso. 7. De Seguridad de Aplicaciones. 8. De Seguridad Fsica. 9. De Suministros y Reposiciones. 10. De Contingencias. 11. El anlisis del control de resultados. 12. El anlisis de verificacin y de exposicin de debilidades y disfunciones. El auditor informtico. Es el profesional que ha de cuidar y velar por la correcta utilizacin de los diversos recursos de la organizacin y debe comprobar que se est llevando a cabo un eficiente y eficaz Sistema de Informacin y la Tecnologa de la Informacin. Pues estos dos puntos en la actualidad soportan la Auditora y Control de los Sistemas e Informtica en la Gestin moderna. Cuando se aplica el CIPOD en la Auditora y Control de Sistemas e Informtica, nos encontramos que en ella no da "Indicios, anomalas y sntomas" que nos permite percibir que la Organizacin bajo control esta con problemas de resultados como de eficacia y eficiencia en los Sistemas Informticos y en la Tecnologa de la Informacin.

Herramientas y Tcnicas para la Auditora Informtica: Cuestionarios. Entrevistas. Formularios Checklist. Formularios Virtuales. Pruebas de Consistencias. Inventarios y Valorizaciones. Historias de cambios y mejoras. Reporte de Bases de Datos y Archivos. Reportes de Estndares. Compatibilidades e Uniformidades. Software de Interrogacin. Certificados, Garantas, otros del Software. Fotografas o Tomas de Valor (Imgenes). Diseo de Flujos y de la red de Informacin. Planos de Distribucin e Instalacin (Para Estudio y Revisin). Listado de Proveedores. Otros. Para finalizar, exponemos los pasos ms recomendables para la implantacin del rea de auditora en informtica: Presentar la propuesta al Comit de Administracin para la implantacin del rea de auditora en informtica.

 Revisin de la propuesta para la implantacin del rea. Aprobacin de la propuesta. Modificaciones a la estructura orgnica y normatividad pertinente. Solicitud de recursos para infraestructura, personal, software y/o capacitacin. Remodelacin de reas. Contratacin y/o capacitacin de personal. Adquisicin de equipo de hardware. Adquisicin de software especializado. Inclusin de la(s) auditora(s) en el PACA. Aplicacin de la metodologa para las revisiones al rea de sistemas.

UNIDAD DIDCTICA 6. ESTABLECIMIENTO DE LA MONITORIZACIN Y PRUEBAS DE LAS HERRAMIENTAS DE PROTECCIN FRENTE A CDIGO MALICIOSO. Para comenzar con el desarrollo de la unidad, vamos a tomar una perspectiva ms amplia y comenzar por visualizar los distintos tipos de ataques, as como los modos de monitorizacin que ciertos agentes de cdigo malicioso pueden ejecutar y perjudicar nuestro sistema informtico. Ataques. La finalidad de los IDS es detectar las intrusiones o ataques que sufre al sistema que protegen. Como hemos mencionado anteriormente, cada da surgen nuevos ataques y vulnerabilidades que complican su deteccin. Segn la naturaleza de los ataques estos pueden clasificarse en: Pasivos. Se trata de intrusiones en un sistema sin consecuencias para este. Por lo general se hacen para demostrar las vulnerabilidades de un sistema o como retos que se ponen a s mismo los hackers ms experimentados al entrar en sistemas muy protegidos. Activos. En esta ocasin la intrusin en el sistema se usa para daarlo modificando o eliminando archivos. Son los ataques ms perjudiciales y con consecuencias ms graves.

Segn el origen del atacante los ataques pueden ser: Internos. El ataque proviene de la propia red. Puede ser realizado por usuarios de la red o por atacantes que suplantan alguna identidad. Son muy peligrosos debido a los privilegios que se tiene sobre el sistema (especialmente si trata de la identidad de un administrador). Externos. Los ataques provienen del exterior del sistema, en general se hacen a travs de internet. Son los ataques ms conocidos y lo que se conoce popularmente como hacking o pirateo informtico.

Monitorizacin. Estos ataques se ejecutan para observar a la vctima y su sistema. De esta manera, ser posible obtener informacin muy valiosa, con el objetivo de enumerar sus debilidades y encontrar posibles formas de acceso al sistema monitorizado.

Decoy. Son programas que imitan la interfaz de otras aplicaciones usadas normalmente por los usuarios. Estos programas requieren la identificacin del usuario mediante su login y contrasea. El programa guarda la informacin en un fichero y ejecuta la aplicacin a la que imitan para que el usuario no detecte nada anormal. El atacante podr as suplantar la identidad del usuario del sistema. Otros ataques de este tipo son los Keyloggers que guardan todas las teclas pulsadas por una persona en una sesin. Despus, el atacante puede investigar el fichero generado para obtener contraseas y nombres de usuarios. Escaneo. El escaneo es el mtodo por el que se descubren canales de comunicacin susceptibles de ser utilizados por el intruso. Consiste en el envo de paquetes de diferentes protocolos a los puertos de la mquina vctima para averiguar qu servicios (puertos) estn abiertos segn la recepcin o extravo de paquetes de respuesta. Escaneo fragmentado. Este procedimiento consiste en fragmentar los paquetes de sondeo dirigidos a la mquina vctima. Con esto conseguimos provocar menos ruido en las herramientas de proteccin del sistema objetivo. Sniffering. Consiste en, una vez dentro de una red de ordenadores, ejecutar en alguna de las mquinas del sistema un programa espa, llamado sniffer. Este programa registra en un fichero todo el trfico que pasa por la red. En este fichero pueden descubrirse todo tipo de datos como contraseas, nmeros de cuenta bancaria, etc. Por lo general, estos datos estarn encriptados por lo que su lectura no ser sencilla. Principales pruebas y herramientas para efectuar una auditoria informtica. En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas: Pruebas sustantivas. Verifican el grado de confiabilidad del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de

examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento. Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles clave existen y que son aplicables efectiva y uniformemente. Por otra parte, las principales herramientas de las que dispone un auditor informtico son: Observacin. Realizacin de cuestionarios. Entrevistas a auditados y no auditados. Muestreo estadstico. Flujogramas. Listas de chequeo. Mapas conceptuales. Etc.

El siguiente es un ejemplo de cmo funciona un flujograma.

UNIDAD DIDCTICA 7. ANLISIS DE LOS PROGRAMAS MALICIOSOS MEDIANTE DESENSAMBLADORES Y ENTORNOS DE EJECUCIN CONTROLADA. SecuBT. Un ejemplo de entorno de ejecucin controlada. La plataforma secuBT y, en general los entornos de ejecucin controlados, estn orientados a la traduccin de binarios para poder ejecutar cdigo malicioso en un entorno seguro. La plataforma utiliza traduccin dinmica de cdigo, en la que se van traduciendo los bloques de instrucciones a medida que es necesario ejecutarlas y las mete en una cache, de acuerdo al siguiente diagrama, de modo que los bloques de cdigo slo se traducen cuando van a ser ejecutados. Respecto a la proteccin, se obtiene por dos circunstancias: Por un lado, todo el cdigo traducido tiene privilegios menores que los de la librera del sistema. Por otro lado, todas las llamadas al sistema son chequeadas y traducidas dentro del entorno virtualizado. Para que funcione a una velocidad razonable, el programa introduce optimizaciones en la eficiencia de traduccin y en la de ejecucin: Respecto a la eficiencia de traduccin, tras evaluar la posibilidad de tener una traduccin a cdigo intermedio que luego se optimiza, se decidieron por la estrategia ms sencilla de tener una tabla de traduccin para el cdigo, que es simple y rpida. Respecto a la eficiencia en la ejecucin, el programa introduce optimizaciones en mltiples sentidos, como ejemplo se han contado algunas de las posibles implementaciones de las llamadas indirectas (ya que todas las instrucciones que afectan al flujo de control se tratan de manera especial), para intentar disminuir su peso (la traduccin estndar requiere sustituir esa nica llamada por treinta instrucciones): La implementacin esttica se traducen por una llamada con cache, de modo que se compara el destino con el anterior de esta misma llamada y si coincide no se ejecutan el resto de las comprobaciones, y su eficiencia depende de la tasa de aciertos.

En las llamadas dinmicas, se utiliza una tabla de hash para las direcciones "permitidas", y si se encuentra en esa tabla, tampoco se hacen todas las comprobaciones

El hecho de utilizar la traduccin dinmica se traduce en la posibilidad de endurecer la seguridad con la que se ejecuta el programa: Forzar la proteccin frente a ejecucin en zonas de datos, como el heap o stack. Aunque los procesadores de Intel tienen esta funcionalidad, no todos los SO la tienen habilitada. Comprobar todas las cabeceras ELF. Proteger todas las estructuras de datos internas, utilizando mprotect para proteger todas las escrituras a memoria a las estructuras del entorno, salvo cuando se est ejecutando cdigo de la propia mquina virtual. Interceptar todas las llamadas al sistema, tanto para permitirla, denegarla, devolver un valor artificial o traducirla a una llamada a cdigo de usuario que haga lo que queramos. Por ejemplo, para hacer creer al cdigo que tiene privilegios de root (de lo cual se inclua una demo). Todas estas medidas ofrecen proteccin frente a los tres tipos ms clsicos de problemas: la ejecucin de cdigo en el stack / heap que ha llegado ah mediante un heap overflow, el retorno a libc y o la rescritura de la direccin de retorno, de los cuales se ha incluido una demo en la charla. Desensambladores. Es un programa de ordenador que traduce el lenguaje de mquina a lenguaje ensamblador, la operacin inversa de la que hace el ensamblador. Un desensamblador difiere de un decompilador, en que ste apunta a un lenguaje de alto nivel en vez de al lenguaje ensamblador. La salida de un desensamblador, el desensamblado, es a menudo formateada para la legibilidad humana en vez de ser adecuada para la entrada a un ensamblador, haciendo que ste sea principalmente una herramienta de ingeniera inversa. Algunos ejemplos. OllyDbg Es un depurador de cdigo ensamblador de 32 bits para sistemas operativos Microsoft Windows. Pone especial nfasis en el anlisis del cdigo binario, esto lo

hace muy til cuando no est dispone el cdigo fuente del programa. Traza registros, reconoce procedimientos, llamadas a las API, swiches, tablas, constantes y strings, as como localiza rutinas de archivos objeto y de bibliotecas. De acuerdo con la ayuda incluida en el programa, la versin 1.10 es la ltima versin estable. La versin 2.0, que est en desarrollo, se est escribiendo desde cero. El software es libre de costo, pero la licencia shareware requiere que los usuarios se registren con el autor.2 Las versiones actuales de OllyDbg no pueden depurar ejecutables compilados para procesadores de 64 bits, aunque se ha prometido una versin de 64 bits del depurador. IDAPro. En informtica, Interactive Disassembler (Desensamblador Interactivo), ms conocido por su acrnimo IDA, es un desensamblador empleado para ingeniera inversa. Soporta una variedad de formatos ejecutables para diferentes procesadores y sistemas operativos. Tambin puede ser usado como un depurador para ejecutables Windows PE, Mac OS X, Mach-O y Linux ELF. Un plugin de decompilador para programas compilados con C/C++ est disponible a un costo extra. La ltima versin completa del IDA Pro es un software comercial; una versin anterior y menos capaz est disponible para descarga gratuita (la versin 5.0 de noviembre de 2010). El IDA realiza mucho anlisis automtico del cdigo, usando referencias cruzadas entre las secciones del cdigo, conocimiento de parmetros de las llamadas del API, y otra informacin. Sin embargo, la naturaleza del desensamblado imposibilita una exactitud total, y una gran parte de intervencin humana es necesariamente requerida; El IDA tiene funcionalidad interactiva para ayudar en la mejora del desensamblado. Un usuario tpico del IDA comenzar con un listado de desensamblado automticamente generado y despus convertir secciones de cdigo a datos y viceversa, renombrar, anotar, y de otra manera agregar informacin al listado, hasta que se vuelve claro lo que lo hace. SoftICE. Es un depurador en modo kernel propietario y de pago para Microsoft Windows. Est diseado para ejecutarse debajo de Windows, de tal manera que el Sistema Operativo desconozca su presencia. A diferencia de un depurador de aplicaciones, SoftICE es capaz de suspender todas las operaciones en Windows cuando se desee, lo cual resulta til para depurar drivers ya que es importante conocer cmo se accede al hardware as como las funciones del sistema operativo.

MDULO 4. RESPUESTA ANTE INCIDENTES DE SEGURIDAD. UNIDAD DIDCTICA 1. PROCEDIMIENTO DE RECOLECCIN INFORMACIN RELACIONADA CON INCIDENTES DE SEGURIDAD. DE

Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupcin de los servicios suministrados por un sistema informtico y/o posibles prdidas fsicas, de activos o financieras. La definicin e implantacin de un Plan de Respuesta a Incidentes debera tener en cuenta una serie de actividades y tareas, entre las cuales estara la recoleccin de informacin sobre el incidente de seguridad, que explicaremos en esta unidad. A continuacin exponemos brevemente cada una de las actividades o tareas del Plan de Respuesta a Incidentes: Constitucin de un Equipo de Respuesta a Incidentes: El Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT; Computer Security Incident Response Team) est constituido por las personas que cuentan con la experiencia y la formacin necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informtica de una organizacin. Generalmente solo las grandes organizaciones cuentan con un equipo de personas contratadas para cumplir con esta funcin; y en las organizaciones que no cuentan con un este equipo, ser necesario identificar quines son las personas responsables de acometer cada una de las tareas del Plan de Respuesta a Incidentes. Estas personas deben contar con la dotacin de medios tcnicos y materiales necesarios para poder cumplir con eficacia su misin. Definicin de una Gua de Procedimientos: La organizacin debe definir una gua de actuacin clara y detallada con los procedimientos y acciones necesarias para la restauracin rpida, eficiente y segura de la capacidad de procesamiento informtico y de comunicacin de la organizacin, as como la recuperacin de los datos daados o destruidos. El objetivo de esta gua es conseguir una respuesta sistemtica ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitacin y la improvisacin. Adems, esta gua debe completar la adquisicin de informacin detallada sobre cada incidente de seguridad y tambin debe tratar las cuestiones legales derivadas de cada incidente, y los aspectos relacionados con la imagen de la organizacin y las relaciones pblicas.

 Deteccin de un incidente de seguridad y recoleccin de informacin, para lo que ser necesario observar los posibles indicadores de dicho incidente. Este punto lo desarrollaremos ms ampliamente en el siguiente apartado. Anlisis del incidente: El Plan de Respuesta a Incidentes debe definir cmo el equipo de respuesta debera proceder al anlisis de un posible incidente de seguridad en cuanto ste fuese detectado por la organizacin, determinando en primer lugar cul es su alcance: qu equipos, redes, servicios y/o aplicaciones se han podido ver afectados, si se ha podido comprometer informacin confidencial de la organizacin o de sus usuarios y clientes, si ha podido afectar a terceros, etc. A continuacin, el equipo de respuesta debera determinar cmo se ha producido el incidente: qu tipo de ataque informtico (si lo ha habido) ha sido el causante, qu vulnerabilidades del sistema han sido exploradas, qu mtodos ha empleado el atacante, etc. Adems, conviene realizar una valoracin inicial de los daos y de sus posibles consecuencias, para a continuacin establecer un orden de prioridades en las actividades que debera llevar a cabo el equipo de respuesta., teniendo en cuenta para ello aspectos como el posible impacto del incidente en los recursos y servicios de la organizacin y en el desarrollo de su negocio o actividad principal. Contencin, erradicacin y recuperacin: El equipo de respuesta debe elegir una determinada estrategia de contencin del incidente de seguridad, que podra ir desde llevar a cabo una rpida actuacin para evitar que el incidente pueda tener mayores consecuencias hasta retrasar la contencin para poder estudiar con ms detalle el tipo de incidente y tratar de averiguar quin es el responsable del mismo (pero existe el riesgo de que el incidente pueda tener peores consecuencias). Por otro lado, la erradicacin es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, adems de llevar a cabo una revisin de otros sistemas que se pudieran ver comprometidos a travs de las relaciones de confianza con el sistema afectado. En ltimo lugar, en la etapa de recuperacin se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. Identificacin del atacante y posibles actuaciones legales: La identificacin del atacante es necesaria para poder llevar a cabo acciones legales para exigir responsabilidades y reclamar indemnizaciones. A pesar

de lo anterior, generalmente solo se podr identificar la mquina o mquinas desde las que se ha llevado a cabo el ataque, pero no directamente a individuo responsable de su utilizacin. Existen distintas tcnicas para determinar la direccin IP del equipo (o equipos) desde el que se ha llevado a cabo el ataque contra el sistema informtico: utilizacin de herramientas como ping, traceroute o whois, consulta en los registros inversos de servidores DNS, etc. Comunicacin con terceros de la causa y las consecuencias del incidente y relaciones pblicas: Se prevern los contactos con organismos de respuesta a incidentes de seguridad informtica, con las fuerzas de seguridad, con agencias de investigacin, con los servicios jurdicas de la organizacin, e incluso con proveedores de acceso a Internet y fabricantes de hardware y/o software que se hayan visto involucrados en el accidente. Adems, tambin se contemplarn los contactos con terceros que pudieran haber sido perjudicados por el incidente de seguridad. Tambin es importante tener en cuenta la existencia de normativa que puede obligar a la notificacin de los incidentes de seguridad a determinados organismos de la Administracin o ciudadanos afectados. Y por ltimo, ser conveniente definir un Plan de Comunicacin con los Medios, en caso necesario. Documentacin del incidente de seguridad, entre la que podemos encontrar: la descripcin del tipo de incidente, los hechos registrados, los daos producidos, las decisiones y actuaciones del equipo de respuesta, las comunicaciones realizadas con terceros y con los medios, la lista de evidencias obtenidas durante el anlisis y la investigacin, los comentarios e impresiones del personal involucrado y las posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro. Anlisis y revisin a posteriori del incidente (verificacin de la intrusin) para determinar qu ha aprendido la organizacin como consecuencia del incidente. Este apartado lo desarrollaremos en la unidad 3 de este mdulo. Recoleccin de informacin. Como una actividad a contemplar dentro del plan de respuesta a incidentes, para llevar a cabo una adecuada recoleccin de informacin, la organizacin debera prestar especial atencin a los posibles indicadores de un incidente de seguridad.

A continuacin presentamos una relacin de los principales indicadores de posibles incidentes de seguridad: - Precursores de un ataque: actividades previas de reconocimiento del sistema informtico, como el escaneo de puertos o de vulnerabilidades en servidores, el reconocimiento de versiones de sistemas operativos y aplicaciones, etc. - Alarmas generadas en los Sistemas de Deteccin de Intrusos (IDS), en los cortafuegos o en las herramientas antivirus. - Registro de actividad extraa en los logs de servidores y dispositivos de red o incremento sustancial del nmero de entradas en los logs. - Aparicin de nuevas carpetas o ficheros con nombres extraos en un servidor, o modificaciones realizadas en determinado ficheros del sistema (libreras, aplicaciones crticas etc.), que se pueden detectar mediante herramientas de revisin de la integridad de ficheros. - Cambios en la configuracin de determinados equipos de la red: modificacin de las polticas de seguridad y auditora, activacin de nuevos servicios, puertos abiertos que no estaban autorizados, activacin de las tarjetas de red en modo promiscuo (para poder capturar todo el trfico que circula por la red interna mediante sniffers), etc. - Existencia de herramientas no autorizadas en el sistema. - Aparicin de nuevas cuentas de usuario o registro de actividad inusual en algunas cuentas: conexiones de usuarios en unos horarios extraos, utilizacin de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticacin, etc. - Cada o mal funcionamiento de algn servidor: reinicios inesperados, fallos en algunos servicios, aparicin de mensajes de error, incremento anormal de la carga del procesador o del consumo de memoria del sistema - Notable cada en el rendimiento de la red o de algn servidor, debido a un incremento inusual del trfico de datos. - Informes de los propios usuarios del sistema alertando de algn comportamiento extrao o de su imposibilidad de acceder a ciertos servicios. - Deteccin de procesos extraos en ejecucin dentro de un sistema, que se inician a horas poco habituales o que consumen ms recursos de los normales (tiempo, procesador o memoria). - Generacin de trfico extrao en la red: envo de mensajes de correo electrnico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno - Notificacin de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organizacin. - Desaparicin de equipos de la red de la organizacin.

- Aparicin de dispositivos extraos conectados directamente a la red o a algunos equipos de la organizacin (en este ltimo caso podra ser, por ejemplo, dispositivos para la captura de pulsaciones de teclado en los equipos). Conviene tener en cuenta que los ataques informticos se estn volviendo cada vez ms sofisticados, por lo que es difcil conseguir detectarlos a tiempo. Incluso existen herramientas que facilitan este tipo de ataques ocultando su actividad y que se pueden obtener de forma gratuita en internet. Adems, la gran cantidad de informacin que se genera en los logs y en las distintas herramientas de seguridad puede dificultar su posterior estudio, debido sobre todo a la prdida de tiempo provocado por los falsos positivos. Por este motivo, es necesario contar con herramientas y filtros que faciliten la deteccin y clasificacin de los incidentes.

UNIDAD DIDCTICA 2. EXPOSICIN DE LAS DISTINTAS TCNICAS Y HERRAMIENTAS UTILIZADAS PARA EL ANLISIS Y CORRELACIN DE INFORMACIN Y EVENTOS DE SEGURIDAD. El grado actual de dependencia que los negocios y actividades tienen de las TIC (Tecnologas de la Informacin y la Comunicacin) est forzando la integracin de todos los procesos de seguridad. Las propias TIC son, adems, el instrumento de apoyo necesario para detectar y registrar eventos, correlacionarlos, lanzar alarmas, prevenir, permitir la actividad forense y, en definitiva, crear inteligencia con fines de proteccin respetuosos con las leyes. Los Sistemas de Informacin y Comunicaciones se sitan en un entorno complejo y cambiante, lleno de amenazas, que ponen en peligro la Seguridad de la Informacin que estos sistemas procesan, almacenan o transmiten. Para garantizar que estos sistemas se mantengan a un nivel de seguridad aceptable, es necesario conocer lo que est ocurriendo, dentro, fuera y en la frontera de los mismos: Conocer la existencia de amenazas. Determinar la probabilidad de materializacin de las amenazas. Conocer la materializacin de la amenaza, un ataque, si este se produce. Determinar el impacto real producido por el ataque, la materializacin de la amenaza.

En la actualidad, los componentes de los Sistemas de Informacin y Comunicaciones, generan un gran nmero registros de eventos, que son almacenados en los ficheros de log, y solo determinados tipos de eventos generan una alarma, en muchos casos, nicamente cuando el ataque, es decir, la materializacin de la amenaza, ha tenido xito. El gran volumen de datos recopilados por los firewall, routers, sondas, IDS, sistemas antivirus, los propios servidores de la red y todos de elementos tanto hardware como software instalados en los sistemas, impide su anlisis y proceso, en un tiempo razonable breve para que la informacin obtenida sea til. As, la nica forma de obtener dicha informacin procesada en un tiempo til, es disponer un Sistema de Anlisis y Correlacin de Eventos. Un adecuado Sistema de Anlisis y Correlacin de Eventos, permite: Determinar, en tiempo real, la probabilidad de materializacin de una amenaza en un instante dado.

 Conocer, en tiempo real, cuando comienza un ataque al Sistema, permitiendo una alerta temprana. Conocer si un ataque ha tenido xito o no, y determinar el impacto real del mismo sobre el sistema. Determinar los patrones de materializacin de la amenazas, que sern utilizados posteriormente, para implantar nuevas salvaguardas o mejorar las existentes. Si se es capaz de gestionar y analizar de forma adecuada la gran cantidad de volumen de datos de eventos de seguridad que proporcionan los sistemas, entonces se conocer el nivel de seguridad de los sistemas y se tendr la capacidad de prever los ataques y por tanto disminuir el nmero de impactos y la profundidad de los mismos. El tener conocimiento en tiempo real de lo que est ocurriendo en los sistemas, permitir cumplir con las cuatro premisas de la seguridad: Evitar: disminuir la probabilidad de materializacin de la amenaza, evitando as que el ataque tenga xito. Retrasar: obligar a aumentar el umbral de duracin del ataque (tiempo necesario para que este ataque tenga xito). Detectar el comienzo del ataque y tomar las medidas oportunas para minimizar su impacto. Defender: responder activamente, recopilar informacin forense necesaria para la investigacin del incidente y posterior persecucin legal del responsable. Por ello, todas las organizaciones deben contar con un Sistema de Anlisis y Correlacin de Eventos, que unido a un cuadro de mandos, les permita disponer de un conocimiento en tiempo real, del nivel de seguridad de sus Sistemas de Informacin y Comunicaciones, y adoptar las medidas necesarias para mantener dicho nivel por encima del mnimo requerido. Los Sistemas de Anlisis y Correlacin de Eventos de Seguridad, se han convertido en herramientas imprescindibles para una adecuada gestin de la seguridad de los Sistemas de Informacin, que contribuyen a la mejora de la calidad, al aumento de la eficiencia y eficacia de los sistemas, as como a incrementar el nivel de seguridad de la Informacin, uno de los activos ms importantes de las organizaciones. Productos de gestin de eventos de seguridad. Son productos que permiten llevar a cabo la gestin de eventos o incidentes de seguridad en cualquiera de sus fases, ya sea antes, durante o despus de que se

produzca un incidente. Recogen, cotejan y hacen informes con los datos de los registros de actividad (logs) de los dispositivos de seguridad o de red instalados en la red de rea local (LAN): routers (enrutadores), switches (conmutadores), cortafuegos, UTMs, As mismo, permiten establecer un flujo para la gestin de los eventos de seguridad de forma que sea posible tratar los incidentes de forma organizada y siguiendo un procedimiento cuyo objetivo es la resolucin del incidente en el menor tiempo posible y con las menores consecuencias para las organizaciones. Son herramientas que posibilitan actuar en la prevencin, deteccin, mitigacin, anlisis y aplicacin de contramedidas. Subcategoras. Gestin de eventos de seguridad (SEM Securitiy Event Managment). Son herramientas destinadas a dar respuesta a incidentes de seguridad, apoyando a las organizaciones en cualquiera de las fases de un evento de seguridad. Sus beneficios incluyen el envo de todos los eventos a un sistema centralizado que va a permitir: acceder a todos los logs (registros de actividad) con un interfaz nico, proveer un sistema de archivo y almacenamiento seguro de los registros de los distintos eventos, generar informes para extraer de los logs la informacin til, seguir e investigar los eventos segn su importancia con la emisin de alertas y notificaciones a los agentes y actuadores interesados, detectar eventos en mltiples sistemas, proteger ante un borrado intencional o accidental de los logs. Ofrece una monitorizacin y gestin de eventos en tiempo real. Funcionan recogiendo informacin (registros de actividad o logs) de todos los sistemas y equipos supervisados, agregndola y correlacionndola aproximadamente en tiempo real. Mediante una consola es posible la visualizacin, monitorizacin y gestin de eventos mediante reglas para detectar situaciones anmalas y mecanismos para automatizar la respuesta en caso de incidentes. Gestin de informacin de seguridad (SIM - Security Information Management). Son sistemas de supervisin cuya funcionalidad es la recoleccin, correlacin y anlisis de informacin de seguridad en diferido, es decir, creando un repositorio indexado con datos obtenidos de los dispositivos supervisados. Este repositorio permite ser interrogado para generar informes con los que obtener perspectiva general de la seguridad del entorno supervisado, detectar riesgos, revisar el cumplimiento normativo y actuar en consecuencia. Permiten la gestin del ciclo de vida de la

informacin, protegindola con garantas de seguridad en su vida til y garantizando su destruccin cuando esta termina. SIM es la pieza clave de cualquier planteamiento en la gestin de la seguridad lgica. El creciente nmero de gusanos, virus, hackers e intrusos, hace que las empresas adopten mejores infraestructuras de seguridad para protegerse. Pero al intervenir grandes sumas de dinero en un amplio abanico de soluciones de seguridad como antivirus, firewalls y sistemas de deteccin de intrusiones, las empresas se han expuesto al problema de la complejidad. Para poner solucin a esto se dise ArcSight, un sistema de correlacin de eventos de seguridad. Esta herramienta permite centralizar, almacenar y correlacionar la informacin generada por herramientas heterogneas mejorando, de este modo, la deteccin de intrusiones y la gestin de incidentes de seguridad. Hoy en da, este tipo de herramientas se est convirtiendo en una pieza indispensable en la implementacin de Sistemas de Gestin de Seguridad Informtica (SGSI), ofreciendo la posibilidad de generar de manera automtica estadsticas y mtricas de seguridad para completar los tan deseados cuadros de mando de la gerencia. ArcSight ha desarrollado tambin una lista de buenas prcticas de evaluacin para ayudar a las empresas a hacer la eleccin acertada de un sistema SIM, teniendo en consideracin su entorno. Gestin de informacin y eventos de seguridad (SIEM - Security Information and Event Management). Son sistemas con la funcionalidad aadida de SIM y SEM. Es decir recogen o reciben logs (registros de actividad) de todos los dispositivos que monitorizan, almacenndolos y conservndolos a largo plazo (cifrados, firmados, etc.) y agregan y correlacionan en tiempo real la informacin recibida para permitir la deteccin y actuacin sobre los eventos, con alertas, respuesta automatizada, informes adecuados a distintas normativas, etc. En definitiva, SIEM es una solucin que ayuda a detectar y a seguir la pista de posibles ataques y no perderse entre los innumerables logs y alertas de los heterogneos sistemas. Ayudarn a identificar y responder a ataques que podran pasar desapercibidos por los IDS convencionales. Y adems, tambin ayudan a administrar y archivar los logs ms fcilmente y a generar valiosos informes. No solucionarn todos los problemas de seguridad, pero se trata de mtodos efectivos para una "defensa en profundidad". Uno de los elementos principales en los que se basa la gestin de riesgos de seguridad de la informacin es, sin duda, el anlisis y la gestin de logs

(registros) y la correlacin de eventos, lo que se entiende por SIEM. La conuencia de este pilar de la seguridad con el de la gestin de identidades y accesos a sistemas, redes y aplicaciones, la gestin de documentos y la gestin de evidencias, permitira al responsable de seguridad TIC alcanzar su objetivo especco en la cadena de proteccin: saber en tiempo real qu est pasando en los sistemas tecnolgicos que pueda ser relevante para su seguridad, para la de la informacin que tratan, y, en denitiva, para el negocio y actividades de su entidad. Las plataformas SIEM han tenido un desarrollo rpido en los ltimos aos, y constituyen hoy la base de proyectos de obligado emprendimiento para cualquier organizacin de cierta complejidad y bien gobernada. Sin embargo, la multicanalidad de las acciones fraudulentas y de los comportamientos no acordes con las polticas de seguridad, y el enfoque de la proteccin como un proceso integrado que afecta a la seguridad TIC y a la seguridad fsica, obliga a analizar detalladamente qu se quiere y puede monitorizar, a qu nivel, con qu reglas de correlacin y para qu nes. As, esto obliga a la industria y a los desarrolladores a renar sus herramientas para que se ajusten en lo posible a las necesidades crecientes de los usuarios y a los requisitos legales. Pero hay que tener en cuenta que nos dirigimos hacia un escenario marcado por la centralizacin de procesos esenciales de seguridad en SOC y CERT, y hacia servicios con base en TIC fundamentados en el uso de tcnicas de virtualizacin y en XaaS. Si a ello se suma el uso intensivo de las tecnologas de la informacin en la vigilancia tradicional y en la prevencin de fraude, y si se toma conciencia de la dependencia que tienen de las TIC los sistemas de gestin y control de procesos industriales (scada), puede observarse la nueva dimensin de la correlacin de eventos con nes de seguridad. Ha de tenerse presente que estos son productos que pueden requerir un mantenimiento continuo y debido a que interactan con distintos tipos de infraestructuras es fundamental que estas herramientas sean revisadas y se mantengan actualizadas constantemente. Su escenario de aplicacin es fundamentalmente en organizaciones y empresas de cualquier tamao. All donde existan procesos y actividades crticas e importantes para el buen funcionamiento de una organizacin o empresa, es recomendable contar con este tipo de herramientas. As mismo, son fundamentales en organizaciones que cuenten con infraestructuras tecnolgicas importantes tanto por tamao como por dependencia de las mismas, puesto que

ayudan a la gestin de todos los aspectos relativos a la seguridad, minimizando cualquier incidente que se pueda producir.

UNIDAD DIDCTICA 3. PROCESO DE VERIFICACIN DE LA INTRUSIN. Dentro del Plan de Respuesta a Incidentes se debe tener en cuenta una etapa para el anlisis y revisin a posteriori de cada incidente de seguridad, es decir, una verificacin de la intrusin, con el fin de determinar qu ha podido aprender la organizacin como consecuencia del mismo. Para ello, ser necesario elaborar un informe final sobre el incidente, en el que se desarrollen los siguientes aspectos de forma detallada: Investigacin sobre las causas y consecuencias del incidente: o Estudio de la documentacin generada por el equipo de respuesta a incidentes. o Revisin detallada de los registros de actividad (logs) de los ordenadores y dispositivos afectados por el incidente. o Evaluacin del coste del incidente de seguridad para la organizacin: equipos daados, software afectado, datos destruidos, horas de personal dedicado a la recuperacin de los equipos y los datos, informacin confidencial comprometida, necesidad de soporte tcnico, etc. o Anlisis de las posibles consecuencias para terceros. o Revisin del intercambio de informacin sobre el incidente con otras empresas e instituciones, as como con los medios de comunicacin. o Seguimiento de las posibles acciones legales emprendidas contra los responsables del incidente. Revisin de las decisiones y actuaciones del equipo de respuesta a incidentes: o Composicin y organizacin del equipo, incluyendo la formacin y nivel de desempeo de sus miembros. o Rapidez en las actuaciones y decisiones, teniendo en cuenta cmo respondi el personal involucrado en el incidente, qu tipo de informacin se obtuvo para gestionar el incidente, qu decisiones se adoptaron, etc. o Anlisis de los procedimientos y de los medios tcnicos empleados en la respuesta al incidente: Redefinicin de los procedimientos que no hayan resultado adecuados. Adopcin de las medidas correctivas que se consideren necesarias para mejorar la respuesta ante futuros incidentes de seguridad. o Adquisicin de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad.

 Revisin de las Polticas de Seguridad de la organizacin. Definicin de nuevas directrices y revisin de las actualmente previstas por la organizacin para reforzar la seguridad de su sistema informtico.

UNIDAD DIDCTICA 4. NATURALEZA Y FUNCIONES DE LOS ORGANISMOS DE GESTIN DE INCIDENTES TIPO CERT NACIONALES E INTERNACIONALES. En la actualidad, las tecnologas de la informacin se han convertido en una herramienta de gran utilidad presente en la mayor parte de los aspectos de nuestra vida cotidiana, hacindose en muchos casos imprescindibles para el desarrollo de nuestras tareas. El desarrollo y generalizacin de las tecnologas de la informacin y la comunicacin (TIC) tambin implica la necesidad de solucionar problemas de seguridad, ataques y posibles vulnerabilidades que surgen consigo. As, para combatir de forma ms eficaz las distintas amenazas que afectan a la seguridad de los sistemas informticos, en estos ltimos aos se han creado varios organismos especializados cuya misin es alertar a los gobiernos, empresas y ciudadanos en general para poder contener y minimizar los daos ocasionados por los ataques informticos. Con esta idea surgen los CERTs. Se denomina CERT (Computer Emergency Response Team, Equipo de respuesta ante emergencias informticas) a un conjunto de personas responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin de la comunidad a la que se proporciona el servicio. Tambin se puede utilizar el trmino CSIRT (Computer Security Incident Response Team, Equipo de respuesta ante incidencias de seguridad) para referirse al mismo concepto. Los CERT o CSIRT prestan sus servicios para un rea de cobertura definida que podra ser una entidad relacionada u organizacin de la cual dependen, una corporacin, una organizacin de gobierno o educativa; una regin o pas, una red de investigacin; o un servicio pago para un cliente. A grandes rasgos podemos dividir las funciones de un CERT/CSIRT en: Servicios reactivos: Estos servicios se inician ante un evento o pedido, tal como un informe de un ordenador comprometido, cdigo malicioso ampliamente diseminado, vulnerabilidad de software, o algo que fue identificado por un sistema de deteccin de intruso o un sistema de registro de eventos. Los servicios reactivos son el componente central del trabajo de un CERT/CSIRT. Servicios proactivos: Estos servicios ofrecen asistencia e informacin para ayudar a preparar, proteger y asegurar los sistemas de los miembros del

rea de cobertura, anticipando ataques, problemas o eventos. Estos servicios reducirn directamente la cantidad de incidentes en el futuro. Servicios de gestin de calidad de la seguridad: Estos servicios aumentan los servicios existentes y bien establecidos que son independientes del manejo de incidentes y tradicionalmente llevados a cabo por otras reas de una organizacin tales como Tecnologa de la Informacin (IT), auditora o departamentos de capacitacin. El primer CERT se cre en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada), y desde entonces han ido crendose este tipo de Equipos en todo el mundo y en distintos mbitos de la sociedad (Administracin, Universidad, investigacin, empresa, etc.). A continuacin explicamos algunos de estos organismos de gestin de incidentes. Cert/CC (Computer Emergency Response Team / Coordination Center). El CERT, el Equipo de Respuesta a Emergencias Informticas, es el primer y ms conocido centro de respuesta, creado en diciembre de 1988 por la agencia DARPA de Estados Unidos para gestionar los incidentes de seguridad relacionados con Internet. Se encuentra en el Instituto de Ingeniera del Software de la Universidad Carnegie Mellon. CERT INTECO. El Centro de Respuesta a Incidentes de Seguridad fue creado a mediados de 2007 en Espaa dentro del Instituto Nacional de Tecnologas de la Informacin (INTECO). La finalidad de INTECO-CERT es servir de apoyo preventivo y reactivo en materia de seguridad en tecnologas de la informacin y la comunicacin tanto a entidades como a ciudadanos. Tiene vocacin de servicio pblico sin nimo de lucro y ofrece ayuda que, en todos los casos, es gratuita y de rpida gestin. Sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clsicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes de seguridad informticos, servicios de prevencin frente a posibles amenazas y servicios de informacin, concienciacin y formacin en materia de seguridad.

INTECO-CERT surge como iniciativa pblica para pymes y ciudadanos en materia de seguridad con los siguientes objetivos en materia de seguridad: Concienciar en torno al uso seguro de las TIC. Formar en materia de seguridad. Informar sobre virus, vulnerabilidades y otros temas relacionados con la seguridad. Proteger: orientar sobre tiles gratuitos, actualizaciones, recomendaciones, etc. Ayudar y asesorar cuando surge un problema de seguridad. Agencia Europea de Seguridad de las Redes y de la Informacin. La Agencia Europea fue creada por decisin del Consejo y del Parlamento (EC 460/2004) con la finalidad de alcanzar un alto nivel de seguridad en las redes y en el tratamiento de la informacin dentro de la Unin Europea. Esta Agencia comenz oficialmente sus actividades en septiembre de 2005, tras fijar su sede institucional en la isla de Creta. CSRC (Computer Security Resource Center). El CSRC, Centro de Recursos de Seguridad Informtica, es un centro dependiente del NIST (National Institute Standards of Technology de Estados Unidos). US-CERT. El US.CERT es un Centro de Respuesta a Incidentes de Seguridad Informtica que depende del National Cyber Security Division (NCSD) en el Departamento de Seguridad Interior (Department of Homeland Security (DHS)) de Estados Unidos. Otros centros de seguridad y respuesta a incidentes. Otros pases tambin han puesto en marcha sus respectivos centros de respuesta a incidentes de seguridad, como AusCERT (Australian Computer Emergency Response Team) de Australia o el DFN-CERT (Computer Emergency Response Team for the German Research Network) de Alemania. Otros centros de seguridad y respuesta a incidentes en Espaa. En Espaa tambin podemos destacar los servicios del IRIS-CERT, Centro de Respuesta a Incidentes de Seguridad de la Red IRIS, que da soporte a los Centros de Investigacin y Universidades del pas.

En nuestro pas tambin, el CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se cre en 2006 como CERT gubernamental espaol y su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de la informacin de las tres administraciones pblicas existentes en Espaa (general, autonmica y local) y coordinar, a nivel pblico estatal, los distintos equipos de respuesta, tal y como recoge el RD 3/2010 (ENS) en sus artculos 36 y 37. Tiene responsabilidades, en ciberataques clasificados, sistemas de las distintas administraciones pblicas y, en coordinacin con el CNPIC, sobre sistemas que gestionen infraestructuras crticas. Adems, el Centro de Alerta Temprana sobre Virus y Seguridad Informtica fue creado en julio de 2001 por el Ministerio de Ciencia y Tecnologa espaol, para ofrecer informacin, alertas y distintos recursos sobre seguridad informtica a ciudadanos y empresas. En la actualidad se encuentra integrado dentro de INTECO. A parte de los indicados anteriormente, otros CERT y centros operativos de seguridad en nuestro pas son: CSIRT-CV (Centro de Seguridad TIC de la Comunidad Valenciana), el Centre de Seguretat de la Informaci de Catalunya, Andaluca-CERT, es-CERT (Universidad Politcnica de Catalua), e-la CaixaCSIRT, Mapfre CCG-CERT, S21Sec-CERT, TB-Security-CERT. Foros y organizaciones. Adems de los CERT, tambin han surgido distintos foros y organizaciones que coordinan a los diferentes CSIRTs y CERTs de todo el mundo, compartiendo informacin sobre vulnerabilidades y ataques a nivel global y divulgando medidas tecnolgicas que mitiguen el riesgo de ataques a sistemas y usuarios conectados a Internet, que dan servicio a sus respectivas comunidades. Entre estas organizaciones, destacan el FIRST (Forum of Incident Response and Security Teams), que cuenta con ms de 180 miembros de todo el mundo. Es un foro constituido en 1990 con el objetivo de facilitar el intercambio de informacin sobre incidentes de seguridad entre los distintos miembros que lo integran (Centros de Respuesta a Incidentes de distintos pases y organizaciones), as como para la deteccin, prevencin y recuperacin de estos incidentes de seguridad. A nivel europeo, podemos indicar el Trusted Introducer de TERENA (Asociacin Transeuropea de Investigacin y Educacin de Redes) y el EGC Group (European Government CERTs) que rene a los principales CERTs gubernamentales en Europa.

Bases de datos de ataques e incidentes de seguridad. Tambin existen distintos organismos que se encargan de capturar y agrupar los registros de incidiencias (logs) y ataques sufridos por distintas organizaciones en una base de datos. DShield (Distributed Intrusion Detection System, Sistema de Deteccin de Intrusiones Distribuido) es una de las bases de datos sobre incidentes de seguridad informtica ms conocida. Otra completa base de datos con referencias sobre incidentes de seguridad se encuentra disponible en Security Focus. As mismo, tambin podemos encontrar algunos servicios que se encargan de evaluar el estado del trfico en Internet, como Internet Health Monitoring, que contribuye a la deteccin y control de los ataques de Denegacin de Servicio (DoS)

MDULO 5. PROCESO DE NOTIFICACIN Y GESTIN DE INTENTOS DE INTRUSIN. UNIDAD DIDCTICA 1. ESTABLECIMIENTO DE LAS RESPONSALIBILIDADES EN EL PROCESO DE NOTIFICACIN Y GESTIN DE INTENTOS DE INTRUSIN O INFECCIONES. Una intrusin es cualquier evento intencional a travs del cual un intruso que gana acceso compromete la confidencialidad, integridad o disponibilidad de los computadores, las redes o de los datos-informacin-conocimiento que reside en ellos. Un atacante o adversario o intruso o hacker puede engaar a un firewall y robar ficheros secretos situados en un servidor, la solucin es utilizar algn tipo de sistema de deteccin-prevencin-gestin de intrusiones. En este sentido, vamos a analizar a continuacin la efectividad y los criterios para la eleccin de un sistema IDS o IPS. Medida de la efectividad de los IDS/IPS. Dos mtricas dominantes utilizadas para evaluar IDS/IPS son: Los administradores evalan el nmero de ataques detectados sobre un conjunto conocido de pruebas. Los administradores examinan el nivel de utilizacin en cada IDS con fallo. La evaluacin de un IDS puede expresarse de la siguiente forma, por ejemplo a 1000 Mbps un IDS puede detectar el 97% de ataques dirigidos. Debido a que desarrollar esta recogida puede ser tediosa, la mayor parte de fabricantes de IDS proporcionan mecanismos de test para verificar que los sistemas estn rindiendo como se espera de ellos. Algunos de estos procesos de test permitirn al administrador: (i) Registrar y retransmitir paquetes desde escaners de virus o gusanos reales. (ii) Registrar y transmitir paquetes desde escaners de virus y gusanos reales con conexiones de sesin TCP incompletas (perdiendo paquetes SYN). (iii) Realizar un escaneo de virus o gusanos reales contra un sistema invulnerable.

Criterios a la hora de elegir un IDS/IPS. A la hora de elegir un IDS se pueden considerar las siguientes directrices o criterios de valoracin: Firmas de ataque utilizadas. Se debe valorar su calidad y el organismo que las crea; se debe examinar la tasa de falsos positivos, de falsos negativos as como la BRF (Base Rate Fallacy). As mismo, se debe considerar la frecuencia de su actualizacin (si es mayor de ocho horas puede ser peligroso). Adems es conveniente valorar el mecanismo de actualizacin (si est protegido y en qu consiste). Escalabilidad. Se debe valorar la capacidad de gestin y manipulacin de trfico se debe observar si cuenta con funcionalidades de balanceo de carga para horas punta. As mismo en HIDS las plataformas soportadas. Otro aspecto para poder valorar con criterio es el tipo de mecanismo de shutdown (para apagar) utilizado. El tipo de plataforma hardware utilizada. Por ejemplo sobre un PC o sobre un appliance switch con procesadores de propsito general como procesadores basados en Intel (por ejemplo Intel Core 2 Quad), bien basada en procesadores sparc, bien basada en hardware ASIC (Application-Specific Integrated Circuits, circuitos integrados que realizan un conjunto de instrucciones codificadas en hardware sobre los datos que pasan), bien basada en hardware FPGA (Field Programmable Gate Arrays, circuitos integrados que pueden programarse para realizar ciertas operaciones sobre los datos que pasan). Capacidad de administracin o gestionabilidad. Se pueden examinar si incorpora funcionalidades como: capacidad de examen de log, referencias cruzadas, capacidad de archivo, existencia de consola centralizada. Algunos de los problemas potenciales que presentan los IDS/IPS: la calidad de las firmas de ataque; la gestin de trfico cifrado SSL, los tneles IPSEC/PPTP, los adjuntos PGP en correo electrnico; el uso de LANs con switch (mltiples dominios de colisin) frente a LANs con hub (un dominio de colisin) exige realizar conexiones a travs del puerto de spanning/mirroring de switch para monitorizar todo el trfico, posible degradacin del rendimiento; el despliegue en redes de muy alta velocidad puede darse la no monitorizacin de todo el trfico.

Obligacin legal de notificacin de ataques e incidencias. Una vez analizadas las responsabilidades de los sistemas de deteccin y prevencin de intrusiones en relacin a la efectividad que pueden mostrar, y en cuanto a los criterios ms ptimos para su eleccin; analizamos desde un punto de vista legislativo, un ejemplo de responsabilidad legal en la notificacin de intrusiones o infecciones. La obligacin de notificacin de ataques e incidencias que puedan afectar a la seguridad informtica es una medida que ya ha sido adoptada por el Estado de California en Estados Unidos. As, en este estado desde el 1 de Julio de 2003 todos los websites de comercio electrnico estn obligados por ley a informar a sus clientes cuando se haya producido una violacin de la seguridad de su sistema informtico. De hecho la Sennate bill 1386 fue aprobada en California en Septiembre de 2002 despus de que tuviese lugar una intrusin en los sistemas de nminas de Estado, a consecuencia de la cual los datos de ms de doscientos mil empleados del Estado cayeron en manos de los atacantes, con un notable riesgo de fraudes y robos de identidad. En virtud de lo dispuesto por esta ley, toda empresa afectada por un ataque o incidencia informtica deber informar de este hecho por correo electrnico a sus clientes, indicndoles que el nmero de su tarjeta de crdito o algn otro dato de carcter personal podra haber sido sustrado de los ordenadores de la empresa. Esta alerta informativa se tendr que enviar tanto en caso de robo de informacin como cuando hayan sido descubiertas brechas de seguridad en el website de la empresa. Esta ley del Estado de California no contempla la aplicacin de multas a quienes no cumplan con este requisito, pero s abre las puertas a todo tipo de procesos legales contra las empresas afectadas. En la actualidad se estudia la posibilidad de aplicar esta misma medida a todas las empresas que cotizan en bolsa en Estados Unidos. En Espaa, lo ms cercano legislativamente a lo planteado anteriormente es la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, que adems es complementada por el Real Decreto 994/99 de 11 de junio, que establece las medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal.

UNIDAD DIDCTICA 2. CATEGORIZACIN DE LOS INCIDENTES DERIVADOS DE INTENTOS DE INTRUSIN O INFECCIONES EN FUNCIN DE SU IMPACTO POTENCIAL. A la hora de estudiar los distintos tipos de ataques informticos, podramos diferenciar en primer lugar entre los ataques activos, que producen cambios en la informacin y en la situacin de los recursos del sistema, y los ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la informacin guardada o transmitida por el sistema. Seguidamente se presenta una relacin ms detallada de los principales tipos de ataques contra redes y sistemas informticos y la categorizacin de los incidentes provocados: Actividades de reconocimiento de sistemas. Estas actividades directamente relacionadas con los ataques informticos, si bien no se consideran ataques como tales ya que no provocan ningn dao, persiguen obtener informacin previa sobre las organizaciones y sus redes y sistemas informticos, realizando para ello un escaneo de puertos para determinar qu servicios se encuentran activos o bien un reconocimiento de versiones de sistemas operativos y aplicaciones, por citar dos de las tcnicas ms conocidas. Deteccin de vulnerabilidades en los sistemas. Este tipo de ataques tratan de detectar y documentar las posibles vulnerabilidades de un sistema informtico, para a continuacin desarrollar alguna herramienta que permita explotarlas fcilmente (herramientas conocidas popularmente como exploits). Robo de informacin mediante la interceptacin de mensajes. Ataques que tratan de interceptar los mensajes de correo o los documentos que se envan a travs de redes de ordenadores como Internet, vulnerando de este modo la confidencialidad del sistema informtico y la privacidad de sus usuarios. Modificacin del contenido y secuencia de los mensajes transmitidos. En estos ataques los intrusos tratan de reenviar mensajes y documentos que ya haban sido previamente transmitidos en el sistema informtico, tras haberlos modificado de forma maliciosa (por ejemplo, para generar una nueva transferencia bancaria contra la cuenta de la vctima del ataque). Tambin se conocen como ataques de repeticin (replay attacks).

Anlisis del trfico. Estos ataques persiguen observar los datos y el tipo de trfico transmitido a travs de redes informticas, utilizando para ello herramientas como los sniffers. As, se conoce como eavesdropping a la interceptacin del trfico que circula por una red de forma pasiva, sin modificar su contenido. Una organizacin podra protegerse frente a los sniffers recurriendo a la utilizacin de redes conmutadas (switches en lugar de hubs) y de redes locales virtuales (VLAN). No obstante, en redes locales que utilizan switches (es decir, en redes conmutadas), un atacante podra llevar a cabo un ataque conocido como MAC flooding para provocar un desbordamiento de las tablas de memoria de un switch (tablas denominadas CAM por los fabricantes, Content Addresable Memory) para conseguir que pase a funcionar como un simple hub y retransmita todo el trfico que recibe a travs de sus puertos (al no poder recordar qu equipos se encuentran conectados a sus distintas bocas o puertos por haber sido borradas sus tablas de memoria). Por otra parte, en las redes VLAN (redes locales virtuales) un atacante podra aprovechar el protocolo DTP (Dynamic Trunk Protocol), utilizado para poder crear una VLAN que atraviese varios switches, para intentar saltar de una VLAN a otra, rompiendo de este modo el aislamiento fsico impuesto por la organizacin para separar sus distintas redes locales. Ataques de suplantacin de la identidad. IP Spoofing Los ataques de suplantacin de la identidad presentan varias posibilidades, siendo una de las ms conocidas la denominada IP Spoofing (enmascaramiento de la direccin IP), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informtico para simular que proceden de un equipo distinto al que verdaderamente los ha originado. As, por ejemplo, el atacante tratara de seleccionar una direccin IP correspondiente a la de un equipo legtimamente autorizado para acceder al sistema que pretende ser engaado. En el documento RFC 2267 se ofrece informacin detallada sobre el problema del IP Spoofing. Los propietarios de las redes y operadores de telecomunicaciones podran evitar en gran medida el IP Spoofing implantando filtros para que todo el trfico saliente

de sus redes llevara asociado una direccin IP de la propia red desde la que se origina el trfico. Otro posible ataque sera el secuestro de sesiones ya establecidas (hijacking), donde el atacante trata de suplantar la direccin IP de la vctima y el nmero de secuencia del prximo paquete de datos que va a transmitir. Con el secuestro de sesiones se podran llevar a cabo determinadas operaciones en nombre de un usuario que mantiene una sesin activa en un sistema informtico como, por ejemplo, transferencias desde sus propias cuentas corrientes si en ese momento se encuentra conectado al servidor de una entidad financiera. DNS Spoofing Los ataques de falsificacin de DNS pretenden provocar un direccionamiento errneo en los equipos afectados, debido a una traduccin errnea de los nombres de dominio a direcciones IP, facilitando de este modo la redireccin de los usuarios de los sistemas afectados hacia pginas Web falsas o bien la interceptacin de sus mensajes de correo electrnico. Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legtimo acepte y utilice informacin incorrecta obtenida de un ordenador que no posee autoridad para ofrecerla. De este modo, se persigue inyectar informacin falsa en la base de datos del servidor de nombres, procedimiento conocido como envenenamiento de la cach del servidor DNS, ocasionando con ello serios problemas de seguridad, como los que se describen de forma ms detallada a continuacin: Redireccin de los usuarios del servidor DNS atacado a Websites errneos en Internet, que simulan ser los Websites reales. De este modo, los atacantes podran provocar que los usuarios descargasen de Internet software modificado en lugar del legtimo (descarga de cdigo daino, como virus o troyanos, desde Websites maliciosos). La manipulacin de los servidores DNS tambin podra estar detrs de algunos casos de phishing, mediante la redireccin de los usuarios hacia pginas Web falsas creadas con la intencin de obtener datos confidenciales, como sus claves de acceso a servicios de banca electrnica. Otra posible consecuencia de la manipulacin de los servidores DNS seran los ataques de Denegacin de Servicio (DoS), al provocar la redireccin permanente hacia otros servidores en lugar de hacia el verdadero, que de

este modo no podr ser localizado y, en consecuencia, visitado por sus legtimos usuarios. Los mensajes de correo podran ser redirigidos hacia servidores de correo no autorizados, donde podran ser ledos, modificados o eliminados. Para ello, basta con modificar el registro MX (Mail Exchanger) de la tabla de datos del servidor DNS atacado. Por otra parte, un servidor DNS afectado por este tipo de ataque podra provocar falsas respuestas en los restantes servidores DNS que confen en l para resolver un nombre de dominio, siguiendo el modelo jerrquico del servicio DNS, extendiendo de este modo el alcance del ataque de DNS Spoofing. SMTP Spoofing. El envo de mensajes con remitentes falsos (masquerading) para tratar de engaar al destinatario o causar un dao en la reputacin del supuesto remitente es otra tcnica frecuente de ataque basado en la suplantacin de la identidad de un usuario. De hecho, muchos virus emplean esta tcnica para facilitar su propagacin, al ofrecer informacin falsa sobre el posible origen de la infeccin. Asimismo, este tipo de ataque es muy utilizado por los spammers, que envan gran cantidad de mensajes de correo basura bajo una identidad falsa. En la actualidad, falsificar mensajes de correo resulta bastante sencillo porque el protocolo SMTP carece totalmente de autenticacin. As, un servidor configurado para aceptar conexiones SMTP en el puerto 25 podra ser utilizado por un usuario externo a la organizacin, empleando los comandos propios del protocolo, para que enve mensajes que aparenten tener un origen seleccionado por el atacante cuando realmente tienen otro distinto. La direccin de origen puede ser una direccin existente o una inexistente con el formato adecuado. No obstante, los servidores de correo tambin podran ser configurados para no aceptar envos de mensajes desde equipos externos a la red local. Captura de cuentas de usuario y contraseas. Tambin es posible suplantar la identidad de los usuarios mediante herramientas que permitan capturar sus contraseas, como los programas de software espa o los dispositivos hardware especializados que permitan registrar todas las pulsaciones en el teclado de un ordenador (keyloggers). De hecho, es posible localizar soluciones disponibles en el mercado como KeyGhost (www.keyghost.com) o Key- Logger (www.keylogger.com).

Se conoce como snooping a la tcnica que permite observar la actividad de un usuario en su ordenador para obtener determinada informacin de inters, como podran ser sus contraseas. Los programas que permiten realizar esta actividad se conocen con el nombre de snoopers, los cuales pueden ser troyanos u otros parsitos que monitorizan dispositivos de entrada como los ratones y los teclados. Por otra parte, mediante las tcnicas de Ingeniera Social un usuario podra ser engaado por una persona ajena a la organizacin para que le facilite sus contraseas y claves de acceso. Modificaciones del trfico y de las tablas de enrutamiento. Los ataques de modificacin del trfico y de las tablas de enrutamiento persiguen desviar los paquetes de datos de su ruta original a travs de Internet, para conseguir, por ejemplo, que atraviesen otras redes o equipos intermedios antes de llegar a su destino legtimo, para facilitar de este modo las actividades de interceptacin de datos. As, la utilizacin del encaminamiento fuente (source routing) en los paquetes IP permite que un atacante pueda especificar una determinada ruta prefijada, que podra ser empleada como ruta de retorno, saltndose todas las reglas de enrutamiento definidas en la red. De este modo, utilizando adems el IP Spoofing, un atacante se podra hacer pasar por cualquier mquina en la que el destino pueda confiar, para recibir a continuacin los datos correspondientes al equipo que est suplantando. Tambin es posible llevar a cabo una modificacin de las tablas de enrutamiento, utilizando para ello determinados paquetes de control del trfico, conocidos como paquetes ICMP Redirect , que permiten alterar la ruta a un determinado destino. Otra alternativa sera la de modificar las rutas a travs de los propios protocolos de enrutamiento utilizados, como RIP (puerto UDP 520) o BGP. Al modificar las rutas, el trfico atravesar otros equipos y redes antes de alcanzar su destinatario final, facilitando de este modo el sniffing.

Conexin no autorizada a equipos y servidores. Existen varias posibilidades para establecer una conexin no autorizada a otros equipos y servidores, entre las que podramos destacar las siguientes: Violacin de sistemas de control de acceso. Explotacin de agujeros de seguridad (exploits). Utilizacin de puertas traseras (backdoors), conjunto de instrucciones no documentadas dentro de un programa o sistema operativo, que permiten acceder o tomar el control del equipo saltndose los controles de seguridad. Utilizacin de rootkits, programas similares a los troyanos, que se instalan en un equipo reemplazando a una herramienta o servicio legtimo del sistema operativo. Los rootkits, adems de cumplir con las funciones de la herramienta o servicio que reemplazan en el equipo para no despertar sospechas, incorporan otras funciones ocultas que facilitan, entre otras cosas, el control remoto del equipo comprometido. Wardialing: conexin a un sistema informtico de forma remota a travs de un mdem. Los wardialers son dispositivos que permiten realizar de forma automtica multitud de llamadas telefnicas para tratar de localizar mdems que se encuentren a la espera de nuevas conexiones y que no hayan sido protegidos y configurados de forma adecuada. Tampoco debemos olvidar las posibles prdidas o robos de equipos que contienen informacin sensible y que, por este motivo, puedan caer en manos de personas ajenas a la organizacin, las cuales podran tratar de tomar el control de estos equipos para extraer la informacin que almacenan o para utilizarlos en conexiones remotas a la red de la organizacin. Consecuencias de las conexiones no autorizadas a los sistemas informticos. Las conexiones no autorizadas a los sistemas informticos pueden acarrear graves consecuencias para la organizacin afectada por este tipo de ataques e incidentes, entre las que podramos destacar las siguientes: Acceso a informacin confidencial guardada en un servidor. Los atacantes incluso podran tener acceso a datos y ficheros que haban sido borrados del sistema.

 Utilizacin inadecuada de determinados servicios por parte de usuarios no autorizados, suponiendo una violacin de los permisos establecidos en el sistema. Transmisin de mensajes mediante un servidor de correo por parte de usuarios ajenos a la organizacin (mail relaying). Esto podra facilitar el reenvo masivo de mensajes de spam a travs de un servidor SMTP configurado de forma inadecuada. Utilizacin de la capacidad de procesamiento de los equipos para otros fines, como, por ejemplo, para tratar de romper las claves criptogrficas de otros sistemas. Creacin de nuevas cuentas de usuario con privilegios administrativos, que faciliten posteriores accesos al sistema comprometido. Consumo del ancho de banda de la red de la organizacin para otros fines. Almacenamiento de contenidos ilegales en los equipos: muchos atacantes aprovechan los equipos comprometidos de una organizacin para guardar y distribuir copias piratas de software, canciones o vdeos, pornografa infantil. Modificacin o destruccin de archivos y documentos guardados en un servidor. Website vandalism: modificacin del contenido y de la apariencia de unas determinadas pginas Web pertenecientes a la organizacin. Introduccin en el sistema de malware (cdigo malicioso). Entendemos por cdigo malicioso o daino (malware) cualquier programa, documento o mensaje susceptible de causar daos en las redes y sistemas informticos. As, dentro de esta definicin estaran incluidos los virus, troyanos, gusanos, bombas lgicas, etctera. Cabe destacar la rapidez de propagacin de estos programas dainos a travs del correo electrnico, las conexiones mediante redes de ordenadores y los nuevos servicios de intercambio de ficheros (P2P) o de mensajera instantnea. Hasta ahora algunos tcnicos y administradores de redes se centraban en otros problemas de mayor nivel de complejidad, como los ataques contra servidores por parte de crackers o el anlisis de agujeros de seguridad, relegando la proteccin

contra los virus y cdigos dainos a un segundo plano, ya que se consideraba como una tarea que realizan de forma automtica los programas antivirus. Sin embargo, las nuevas formas de propagacin de estos cdigos dainos y los graves problemas que ocasionan a las empresas y a los usuarios obligan a replantearse esta estrategia, prestando una mayor atencin a la contencin y erradicacin de este tipo de ataques e incidentes de seguridad informtica. Ataques de Cross-Site Scripting (XSS). Los ataques de Cross-Site Scripting consisten bsicamente en la ejecucin de cdigo Script (como Visual Basic Script o Java Script) arbitrario en un navegador, en el contexto de seguridad de la conexin a un determinado servidor Web. Son ataques dirigidos, por lo tanto, contra los usuarios y no contra el servidor Web. Mediante Cross-Site Scripting, un atacante pueda realizar operaciones o acceder a informacin en un servidor Web en nombre del usuario afectado, suplantando su identidad. Estos ataques se pueden producir cuando el servidor Web no filtra correctamente las peticiones HTTP de los usuarios, los cuales pueden enviar cadenas de texto a travs de formularios o directamente a travs de la propia direccin URL de la pgina Web. Estas cadenas de texto podran incluir cdigo en lenguaje Script, que a su vez podra ser reenviado al usuario dentro de una pgina Web dinmica generada por el servidor como respuesta a una determinada peticin, con la intencin de que este cdigo Script se ejecutase en el navegador del usuario, no afectando por lo tanto al servidor Web, pero s a algunos de los usuarios que confan en l. Entre las posibilidades de ataque a travs de Cross-Site Scripting podramos destacar las siguientes: Obtencin de cookies e identificadores de usuarios, que permiten capturar sesiones y suplantar la identidad de los afectados. Modificacin de contenidos para engaar al visitante vctima del ataque Cross-Site Scripting, con la posibilidad de construir formularios para robar datos sensibles, como contraseas, datos bancarios, etctera.

Ataques de Inyeccin de Cdigo SQL. SQL, Structured Query Language (Lenguaje de Consulta Estructurado), es un lenguaje textual utilizado para interactuar con bases de datos relacionales. La unidad tpica de ejecucin de SQL es la consulta (query), conjunto de instrucciones que permiten modificar la estructura de la base de datos (mediante instrucciones del tipo Data Definition Language, DDL) o manipular el contenido de la base de datos (mediante instrucciones del tipo Data Manipulation Language, MDL). En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer pginas dinmicas o nuevas funcionalidades a sus usuarios. El ataque por inyeccin de cdigo SQL se produce cuando no se filtra de forma adecuada la informacin enviada por el usuario. Un usuario malicioso podra incluir y ejecutar textos que representen nuevas sentencias SQL que el servidor no debera aceptar. Este tipo de ataque es independiente del sistema de bases de datos subyacente, ya que depende nicamente de una inadecuada validacin de los datos de entrada. Como consecuencia de estos ataques y, dependiendo de los privilegios del usuario de base de datos bajo el cual se ejecutan las consultas, se podra acceder no slo a las tablas relacionadas con la operacin de la aplicacin del servidor Web, sino tambin a las tablas de otras bases de datos alojadas en el mismo servidor Web. Tambin pueden propiciar la ejecucin de comandos arbitrarios del sistema operativo del equipo del servidor Web. Ataques contra los sistemas criptogrficos. Los ataques contra la seguridad de los sistemas criptogrficos persiguen descubrir las claves utilizadas para cifrar unos determinados mensajes o documentos almacenados en un sistema, o bien obtener determinada informacin sobre el algoritmo criptogrfico utilizado. Podemos distinguir varios tipos de ataques contra los sistemas criptogrficos: Los ataques de fuerza bruta, que tratan de explorar todo el espacio posible de claves para romper un sistema criptogrfico. Los ataques de diccionario, que trabajan con una lista de posibles contraseas: palabras de un diccionario en uno o varios idiomas, nombres comunes, nombres de localidades o accidentes geogrficos, cdigos postales, fechas del calendario, etctera. Los ataques contra el diseo del algoritmo.

 Los ataques contra los dispositivos hardware o software que lo implementan. Las distintas tcnicas de criptoanlisis: criptoanlisis lineal, diferencial, tcnicas de anlisis estadstico de frecuencias, etctera. Fraudes, engaos y extorsiones. Los fraudes y estafas financieros a travs de Internet se han hecho muy frecuentes en estos ltimos aos. Se utiliza el trmino de phishing para referirse al tipo de ataques que tratan de obtener los nmeros de cuenta y las claves de acceso a servicios bancarios, para realizar con ellos operaciones fraudulentas que perjudiquen a los legtimos propietarios. Generalmente, se utilizan pginas Web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar. El pharming es una variante del phishing en la que los atacantes utilizan un virus que conecta a las vctimas desde su ordenador a pginas falsas en lugar de a las legtimas correspondientes a sus propias entidades financieras, para sustraer sus datos (nmeros de cuenta y claves de acceso). El pharming y el phishing tambin pueden ser empleados para robar y utilizar de forma fraudulenta nmeros de tarjetas de crdito. Estos datos podran ser utilizados para realizar ataques del tipo salami, consistentes en la repeticin de gran cantidad de pequeas operaciones, como transferencias bancarias de importe reducido, que podran pasar inadvertidas a nivel individual, pero que en conjunto ocasionan un importante dao econmico. Por otra parte, se han desarrollado virus y otros programas dainos para facilitar las extorsiones y estafas a usuarios de Internet. Es lo que se conoce como ransom-ware, software malicioso cuyo fin es el lucro de su creador por medio de rescates. As, podramos mencionar casos como el del troyano PGPCoder, de mayo de 2005, que cifraba determinados archivos en el sistema infectado, dejando a continuacin un mensaje solicitando dinero a los usuarios perjudicados si queran volver a restaurar sus ficheros (mediante el envo de una clave para descifrarlos). Tambin podemos considerar dentro de este tipo de ataques la difusin de correos electrnicos con ofertas falsas o engaosas, as como la publicacin de falsas noticias en foros y grupos de noticias, con distintas intenciones, como podra el caso de intentar alterar el valor de las acciones de una empresa (de hecho, ya se han producido varias de estas actuaciones en Estados Unidos y en Europa).

De hecho, los casos de chantaje y extorsin on-line se estn extendiendo en pases como Estados Unidos, a tenor de los ltimos estudios publicados. En muchos de estos casos, los chantajistas aseguran tener informacin confidencial sobre la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la propia empresa con acceso a datos internos o, incluso, alguien de la competencia. Tambin han aumentado los casos de extorsin a particulares a travs de Internet, consistentes en la publicacin o amenaza de publicacin de alguna informacin difamatoria sobre la vctima, utilizando algn medio de la Red (pginas Web, foros, grupos de noticias). En marzo de 2006 se anunciaba la propagacin de un nuevo tipo de virus a travs de Internet, capaz de bloquear el equipo informtico de sus vctimas, solicitando un rescate de 300 dlares para revelar la clave para liberar el equipo en cuestin. Denegacin del Servicio (Ataques DoS Denial of Service). Los ataques de Denegacin de Servicio (DoS) consisten en distintas actuaciones que persiguen colapsar determinados equipos o redes informticos, para impedir que puedan ofrecer sus servicios a sus clientes y usuarios. Para ello, existen varias posibilidades de conseguirlo: Ejecutar algunas actividades que produzcan un elevado consumo de los recursos de las mquinas afectadas: procesador, memoria y/o disco duro, provocando una cada en su rendimiento. Entre ellas podramos citar el establecimiento de mltiples conexiones simultneas, el envo masivo de ficheros de gran tamao o los ataques lanzados contra los puertos de configuracin de los routers. Provocar el colapso de redes de ordenadores mediante la generacin de grandes cantidades de trfico, generalmente desde mltiples equipos. Transmisin de paquetes de datos malformados o que incumplan las reglas de un protocolo, para provocar la cada de un equipo que no se encuentre preparado para recibir este tipo de trfico malintencionado. Sabotajes mediante routers maliciosos, que se encarguen de proporcionar informacin falsa sobre tablas de enrutamiento que impidan el acceso a ciertas mquinas de la red.

 Activacin de programas bacteria, cuyo objetivo es replicarse dentro de un sistema informtico, consumiendo la memoria y la capacidad del procesador hasta detener por completo al equipo infectado. Envo masivo de miles mensajes de correo electrnico (mail bombing), provocando la sobrecarga del servidor de correo y/o de las redes afectadas. Ataque reflector (reflector attack), que persigue generar un intercambio ininterrumpido de trfico entre dos o ms equipos para disminuir su rendimiento o incluso conseguir su completo bloqueo dentro de una red informtica. Incumplimiento de las reglas de un protocolo. Para ello, se suelen utilizar protocolos no orientados a conexin, como UDP o ICMP, o bien el protocolo TCP sin llegar a establecer una conexin completa con el equipo atacado. En relacin con esta ltima posibilidad, el incumplimiento de las reglas de un protocolo, podemos enumerar varios tipos de ataques que han ocasionado numerosos problemas a distintos tipos de sistemas informticos en los ltimos aos: El ping de la muerte: mediante el comando ping l 65510 direccion_ equipo_victima, que enva un paquete IP de un tamao superior a los 65.536 bytes, provocando el reinicio o cuelgue del equipo vctima que lo recibe (si no ha sido protegido frente a esta eventualidad). Land Attack: debido a un error en la implementacin del protocolo TCP/IP en algunos sistemas Windows, se consigue colgar un equipo vulnerable mediante el envo de una serie de paquetes maliciosamente construidos, en los que la direccin y el puerto de origen son idnticos a la direccin y el puerto de destino. Supernuke o Winnuke: ataque contra algunos sistemas Windows, que se quedan colgados o disminuyen drsticamente su rendimiento al recibir paquetes UDP manipulados (fragmentos de paquetes Out-Of-Band) dirigidos contra el puerto 137. Teardrop: tipo de ataque consistente en el envo de paquetes TCP/IP fragmentados de forma incorrecta. Los equipos vulnerables que no hayan sido conveniente parcheados se cuelgan al recibir este tipo de paquetes maliciosos.

 SYN Flood: este ataque se basa en un incumplimiento de las reglas bsicas del protocolo TCP por parte del cliente. Al establecer la conexin mediante el procedimiento three-way handshake, se enva una peticin de conexin al equipo vctima, pero no se responde a la aceptacin de la conexin por parte de este equipo (generalmente se facilita una direccin IP falsa). El equipo vctima deja la conexin en estado de semi-abierta, consumiendo de este modo recursos de la mquina. Las conexiones semiabiertas caducan al cabo de un cierto tiempo, liberando sus recursos. No obstante, si se envan muchas peticiones de conexin siguiendo el ataque de SYN Flood, se colapsarn los recursos del equipo vctima, que no podr atender nuevas conexiones legtimas. Hay que tener en cuenta que en los ataques de Denegacin del Servicio (DoS) el atacante suele ocultar su verdadera direccin mediante tcnicas de IP Spoofing. Adems, en numerosas ocasiones se han empleado este tipo de ataques para encubrir otros ataques simultneos que pretendan comprometer un sistema o red informtico. Ataques de Denegacin de Servicio Distribuidos (DDoS). Los Ataques de Denegacin de Servicio Distribuidos (DDoS) se llevan a cabo mediante equipos zombis. Los equipos zombis son equipos infectados por virus o troyanos, sin que sus propietarios lo hayan advertido, que abren puertas traseras y facilitan su control remoto por parte de usuarios remotos. Estos usuarios maliciosos suelen organizar ataques coordinados en los que pueden intervenir centenares o incluso miles de estos equipos, sin que sus propietarios y usuarios legtimos lleguen a ser conscientes del problema, para tratar de colapsar las redes y los servidores objeto del ataque. Generalmente los equipos zombis cuentan con una conexin ADSL u otro tipo de conexin de banda ancha, de tal modo que suelen estar disponibles las 24 horas. Para luchar de forma eficaz contra este tipo de ataques es necesario contar con la colaboracin de los proveedores de acceso a Internet, para filtrar o limitar el trfico procedente de los equipos que participan en el ataque. En este sentido, cabra destacar una iniciativa pionera llevada a cabo a finales de mayo de 2005 por la FTC (Comisin Federal de Comercio estadounidense) para tratar de identificar y poner en cuarentena a los clientes de los proveedores de acceso a Internet cuyos ordenadores se hayan convertido (seguramente sin su conocimiento) en una mquina zombi. Los equipos zombis tambin estn siendo utilizados por los spammers para la difusin masiva de sus mensajes de correo no solicitados.

El reto es asignar estratgicamente los recursos para cada equipo de seguridad y bienes que intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la informacin sobre ella. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la informacin, la Integridad (aplicaciones e informacin) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor Web pblico pueden poseer los requisitos de confidencialidad de baja (ya que toda la informacin es pblica), pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de planificacin de recursos empresariales (ERP), sistema puede poseer alto puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente en trminos de alcance e importancia.

UNIDAD DIDCTICA 3. CRITERIOS PARA LA DETERMINACIN DE LAS EVIDENCIAS OBJETIVAS EN LAS QE SE SOPORTAR LA GESTIN DEL INCIDENTE. El cmputo forense opera diversas herramientas informticas para determinar el estado de un sistema luego de que sus medidas de seguridad han sido sobrepasadas y vulneradas, con la finalidad de encontrar evidencias que permitan definir, con toda certeza, los mecanismos que los intrusos utilizaron para acceder a ella, as como de desarrollar las mejoras y/o tcnicas que deben seguirse para evitar futuras incursiones ajenas en el sistema. Por ello, podemos determinar que el principal criterio a la hora de recoger evidencias ser asegurarnos de que estas nos permitan definir los mecanismos que los intrusos han utilizado para entrar en el sistema. Las herramientas que utilizan los peritos forenses en materia de cmputo para dar con los intrusos, y saber a ciencia cierta qu hicieron en el sistema, se han desarrollado al paso del tiempo, para que nos ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pas al sistema y qu es lo que le puede suceder, en su contra parte igualmente se han desarrollado herramientas bastantes sofisticadas en contra de los anlisis forenses (herramientas y tcnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigacin). Generalmente, la deteccin de ataques trabajar con la premisa de que nos encontramos en la peor de las situaciones, suponiendo que el atacante ha obtenido un acceso al sistema y que es capaz de utilizar o modificar sus recursos. Criterios para la recoleccin de evidencias. El primer criterio, conocido como sensores basados en equipo (Host based sensors), se encarga de analizar y recoger informacin de eventos a nivel de sistema operativo (como por ejemplo, intentos de conexin y llamadas al sistema). En el segundo criterio encontramos sensores que recogen informacin de eventos sucedidos a nivel de trfico de red (por ejemplo, analizando las cabeceras IP de todos los datagramas que pasan por la interfaz de red). Este tipo de componentes se conoce como sensores basados en red (Network based sensors). El tercer criterio, conocido como sensores basados en aplicacin (Application based sensors), recibe la informacin de aplicaciones que se

estn ejecutando, y podran ser considerados como un caso especial de los sensores basados en equipo. Eleccin de criterio. Durante los ltimos aos se ha debatido bastante cul de los tres criterios de sensores ofrece mejores prestaciones. Actualmente, la mayora de los sistemas de deteccin tratan de unificar las tres opciones, ofreciendo una solucin de criterios hbrida. Criterios basados en equipo y en aplicacin. Los criterios basados en equipo y en aplicacin podrn recoger informacin de calidad, adems de ser fcilmente configurables y de poder ofrecer informacin de gran precisin. Adems, estos datos pueden llegar a tener una gran densidad de informacin como, por ejemplo, la informacin reportada por los servidores de ficheros de registro del sistema. Tambin pueden llegar a incluir gran cantidad de informacin de pre-procesado, que facilitar el trabajo de los componentes de anlisis de la informacin. Por contra, estos criterios pueden repercutir notablemente en la eficiencia del sistema en el que se ejecuten. Criterios basados en red. La principal ventaja de los criterios basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva. Por lo tanto, la recogida de informacin no afecta a la forma de trabajar de los equipos o a la propia infraestructura. Al no residir forzosamente en los equipos que hay que analizar, son ms resistentes a sufrir ataques. Por otra parte, la mayora de los sensores basados en red son independientes del sistema operativo y pueden obtener informacin a nivel de red (como, por ejemplo, la existencia de fragmentacin en datagramas IP) que no podra ser proporcionada por criterios basados en equipo.

UNIDAD DIDCTICA 4. ESTABLECIMIENTO DEL PROCESO DE DETECCIN Y REGISTRO DE INCIDENTES DERIVADOS DE INTENTOS DE INTRUSIN O INFECCIONES. Proceso de deteccin. El proceso que lleva a cabo un Sistema Detector de Intrusos (IDS) para detectar las intrusiones en un sistema consta de 4 fases como se puede ver en la en la siguiente figura:

A continuacin explicamos cada una de estas fases: Prevencin. Lo primero que debe hacer un IDS es evitar los ataques. Para ello deber disponer de mecanismos que dificulten las intrusiones. El sistema realizar una simulacin con el trfico que est pasando por la red o por el dispositivo y determinar si se puede llegar a una situacin sospechosa, en cuyo caso se pasar a la siguiente fase del proceso. Monitorizacin de la intrusin. Cuando el sistema detecte actividad sospechosa monitorizar el trfico para que pueda ser analizado. Tambin puede guardar un registro del trfico sospechoso para que pueda ser revisado por el administrador del sistema ms tarde. Una vez analizado el trfico monitorizado pasamos a la siguiente fase.

Deteccin de la intrusin. Despus de analizar el trfico, el sistema determina si la actividad sospechosa es una intrusin al sistema por medio de las diferentes tcnicas. Una vez detectado el ataque los IDS debern notificarlo. Y as pasamos a la ltima fase del proceso. Respuesta. Por lo general los IDS no actan para detener la amenaza o eliminarla sino que se limitan a informar al sistema o a su administrador. Asimismo crean archivos de log (de registro) para poder realizar el anlisis forense que permite identificar al atacante y mejorar la seguridad del sistema. Otra forma de explicar el proceso seguido por un IDS para la deteccin de intrusiones es ver el funcionamiento del sistema dentro de la arquitectura, es decir, el camino que siguen los datos desde que son recogidos hasta que se determina si pueden formar parte de un ataque. En l se distinguen tres zonas de funcionamiento principales, que se detallan a continuacin: En primer lugar, se recogen los datos siguiendo una poltica determinada. Esta poltica se refiere a la fuente y el momento en el que se recogen los datos. Estos datos pasan al generador de eventos que crear distintos conjuntos de eventos dependiendo del tipo de datos recogidos (syslogs, paquetes de la red o informacin del sistema). Estos conjuntos de eventos se usan en el mdulo de deteccin para determinar si puede existir un ataque al sistema. El sensor usa la informacin proporcionada por el sistema y una poltica determinada de deteccin para clasificar los datos proporcionados como ataques o como trfico normal. Por ltimo, los datos generados por el mdulo de deteccin pasan al mdulo de respuesta que seguir una poltica definida para responder a los ataques detectados. Registro de incidentes. Usar y examinar los registros de sucesos. Los registros de sucesos son la herramienta principal de supervisin para realizar el seguimiento de la actividad de intrusin en un sistema en particular o contra l. Los administradores de red deberan examinarlos en busca de sucesos

inesperados e investigar cualquier actividad sospechosa. Los registros de sucesos se pueden examinar de forma manual o mediante una herramienta de cotejo de registros de sucesos. Registros de sucesos Los sistemas comparten tres registros de sucesos comunes: de aplicacin, de seguridad y del sistema. Tanto los administradores como los usuarios pueden tener acceso a la utilidad Visor de sucesos, en el men Herramientas administrativas; los sistemas tienen un complemento Visor de sucesos predeterminado. Otros registros, como los del Servidor DNS, el Servicio de replicacin de archivos y el Servicio de directorio, pueden estar disponibles en funcin de la plataforma de Windows y de cundo se haya instalado. Cualquier registro puede proporcionar una evidencia de una intrusin en la seguridad. Automatizar la visualizacin de sucesos en varios equipos. Si tiene que supervisar ms de un sistema, ir a cada equipo personalmente puede ser una tarea difcil desde un punto de vista administrativo. La utilidad Visor de sucesos le permitir abrir los registros de sucesos de equipos remotos, si usted dispone de derechos administrativos. Microsoft proporciona otras dos herramientas para ver y administrar varios equipos a la vez. EventCombMT es una utilidad gratuita de Microsoft que se utiliza para buscar en registros de sucesos remotos a travs de dominios diferentes. El uso de una consola de Microsoft Operations Manager (MOM) basada en el Web ofrece un completo conjunto de caractersticas destinadas a ayudar a los administradores a supervisar y administrar los sucesos y el rendimiento de servidores basados en Windows. Se pueden crear reglas y directivas predeterminadas para administrar servidores y responder a los sucesos de los servidores que intenten infringirlas.

UNIDAD DIDCTICA 5. GUA PARA LA CLASIFICACIN Y ANLISIS INICIAL DE INTENTO DE INTRUSIN O INFECCIN, CONTEMPLANDO EL IMPACTO PREVISIBLE DEL MISMO. Existen diferentes barreras que los sistemas tienen para impedir accesos no autorizados a ellos. Esto es debido a qu es fundamental detectar una intrusin lo antes posible, y que as, sta cause el menor dao en el sistema. Podemos definir intrusin como cualquier conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de una informacin o un recurso. Normalmente una intrusin intenta: - Acceder a una determinada informacin. - Manipular cierta informacin. - Hacer que el sistema no funcione de forma segura o inutilizarlo. Una intrusin es, por tanto, la violacin de la poltica de seguridad del sistema. Los intrusos pueden utilizar fallos en la arquitectura de los sistemas y el conocimiento interno del sistema operativo para superar el proceso normal de autentificacin. Clasificacin de intrusiones. Si se tiene en cuenta la naturaleza de la intrusin se puede hacer una primera clasificacin o categorizacin de la siguiente manera: Intrusiones de uso errneo. Se definen como ataques bien definidos contra puntos dbiles sabidos de un sistema. Este tipo de intrusiones pueden ser detectadas observando ciertas acciones que son llevadas a cabo sobre ciertos objetos de dicho sistema. Intrusiones de anomala. Se podran definir como desviaciones de los patrones normales de uso del sistema. Pueden ser detectadas guardando y revisando peridicamente un perfil del sistema, en el cual se detectan desviaciones o alteraciones significativas.

Independientemente de si la intrusin est clasificada como una intrusin anmala o como de uso errneo, existen diferentes maneras primarias en que los intrusos pueden acceder a un sistema informtico, en base a las cuales se puede establecer una segunda clasificacin para intrusiones: Intrusin fsica: En este caso el intruso tiene acceso fsico a la mquina (puede utilizar el teclado, etc...). Intrusin del sistema. El intruso tiene una cuenta de usuario en el sistema con pocos privilegios pero puede llevar a cabo estrategias para que le sean asignados privilegios administrativos adicionales. Intrusin alejada. Tentativa de penetrar un sistema remotamente, a travs de la red. Tipos de intrusos. Los intrusos son usuarios no autorizados en un sistema. Si queremos diferenciar tipos de intrusos, una posible clasificacin sera la siguiente: Externos. Este tipo de usuarios no est autorizado para usar ningn recurso del sistema. Comnmente son denominados intrusos (aunque intrusos lo son todos) y son el objetivo central de la seguridad fsica y de las tcnicas de cortafuegos, por ejemplo. Interno. A diferencia de los usuarios externos, este tipo de usuarios estn autorizados para usar solamente algunos de los recursos del sistema. A su vez, podemos dividirlos en: Enmascarados: Imitan o se hacen pasar por otros usuarios. Clandestinos: Evaden todo tipo de control y constituyen, sobre todo, una amenaza para sistemas dbiles y sistemas mal manejados.

Uso malicioso. Este tipo de usuarios incluye a aquellos que emplean mal los privilegios que tienen asignados. Todo usuario de un sistema constituye una amenaza potencial para el mismo, independientemente de su origen o de la forma en que se hayan autentificado.

Clasificacin basa en el efecto de las intrusiones. A continuacin se detallan los diferentes tipos de intrusiones que pueden afectar a un determinado sistema, basndose en los efectos que causan y en la manera de ejecutarse. Intentos de entrada. Ocurre, cuando una persona ajena a nuestro sistema intenta acceder de forma no autorizada al mismo. Se detectan normalmente por modelos de comportamiento atpicos, o violaciones de las restricciones dadas por la poltica de seguridad. Ataque enmascarado. Cuando a partir de un usuario del sistema se intenta un ataque al mismo. ste es detectado a partir de modelos de comportamiento atpico o violaciones de contraseas de seguridad. Penetraciones en el sistema de control. Son normalmente detectadas a partir de la observacin de modelos especiales de actividad. Fuga. Cuando se utilizan de manera excesiva los recursos de un sistema. Se detectan normalmente por usos anormales de dichos recursos. Rechazo de servicio. Detectados por un uso atpico de los recursos del sistema. Uso malicioso. Detectado normalmente por modelos de comportamiento atpico, violaciones de las restricciones de seguridad, o uso de privilegios especiales.

UNIDAD DIDCTICA 6. ESTABLECIMIENTO DEL NIVEL DE INTERVENCIN REQUERIDO EN FUNCIN DEL IMPACTO PREVISIBLE. Unidades de respuesta. Las unidades de respuesta de un sistema de deteccin se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusin. Estas acciones de respuesta pueden ser automticas (respuesta activa) o requerir interaccin humana (respuesta pasiva). Las respuestas activas tienen como objetivo actuar contra el ataque, intentando su neutralizacin, en el momento en el que es detectado (o mientras una intrusin todava contina en curso). Un ejemplo de respuesta activa puede ser la cancelacin de la conexin en red que origin el ataque o el propio seguimiento del ataque que permitira ms adelante el anlisis correspondiente. Por contra, las respuestas pasivas se limitan a lanzar una alarma para informar y describir el ataque detectado en el administrador del sistema. La mayora de los componentes de respuesta pasiva ofrecen distintas formas de hacer llegar esta informacin al administrador como, por ejemplo, mediante un correo electrnico, mediante la utilizacin de mensajes SMS, etc. El problema de las respuestas activas es que pueden acabar en una denegacin de servicio contra usuarios o sistemas legtimos. Es muy probable que algunas de las alarmas que los procesadores hacen saltar sean incorrectas. Por ejemplo, si la unidad de respuesta cortara inmediatamente con la conexin que origin esta alarma, o con aquellos procesos considerados sospechosos, ello podra suponer la prdida de trabajo de un usuario o servicio inocente. En la mayora de los sistemas (por ejemplo, servidores de comercio electrnico) este tipo de errores puede suponer la prdida de clientes, la cual cosa es inadmisible. Por este motivo, la mayora de empresas del sector del comercio electrnico se decantan por la contratacin de especialistas que, manualmente, analicen los informes generados por el sistema de deteccin para determinar si es necesaria una respuesta activa ante tal aviso. Al igual que los criterios para la determinacin de evidencias, las unidades de respuesta se podran clasificarse en distintas categoras segn el impacto previsible de la intrusin informtica.

Las dos categoras ms generales son las unidades de respuesta basadas en equipo y las unidades de respuesta basadas en red. 1. Unidades de respuesta basadas en equipo. Se encargan de actuar a nivel de sistema operativo, como, por ejemplo, bloqueo de cuentas de usuarios, finalizacin de la ejecucin de procesos, realizar un cambio de permisos, etc. 2. Unidades de respuesta basadas en red. Actan a nivel de red cortando intentos de conexin, filtrando direcciones sospechosas, cerrando puertos TCP/UDP, etc. El nivel de intervencin en los sistemas o en la red depender del tipo de intrusin y de la gravedad y profundidad de la misma. El sistema de deteccin de intrusos IDS, valorar el alcance de esta intrusin y de los daos que pueda ocasionar, gestionando automticamente un plan de accin contra la intrusin basado en las unidades de respuesta, jerarquizadas en diferentes niveles de acuerdo al impacto previsible de la incidencia informtica.

UNIDAD DIDCTICA 7. GUA PARA LA INVESTIGACIN Y DIAGNSTICO DEL INCIDENTE. Ante la sospecha de que el sistema haya sido objeto de un ataque, se ha de determinar lo siguiente: Si realmente el sistema ha sido atacado. Si el ataque ha tenido xito. En qu grado se ha comprometido el sistema en caso de que haya sido atacado. La tarea de detectar posibles intrusos ser ms o menos fcil en funcin del sistema operativo del que se disponga, puesto que algunos sistemas operativos modernos son complejos y poseen numerosos sitios en los cuales los intrusos pueden ocultar sus actividades. La mayor parte de los intrusos dejan seales de sus actividades en el sistema. En principio, estando al da en materia de seguridad, as como de fallos que van surgiendo, no habr problemas de que un intruso entre en el sistema. Pero en muchas ocasiones el peligro viene de los propios usuarios internos del sistema, los cuales presentan un gran riesgo debido a que ya tienen acceso al sistema, aunque tambin existe mtodos de seguridad para controlar a los usuarios legtimos. Lo fundamental es descubrir si realmente ha entrado un intruso, ya que en muchas ocasiones pensamos que ha entrado alguien pero no es cierto. A continuacin se detallan las pautas a seguir para investigar y diagnostica si actualmente hay un intruso en el sistema, o si ya ha ocurrido la intrusin. Investigar y diagnosticar un intruso actualmente en el sistema. Cuando se sospecha que un intruso puede que encuntrese actualmente en el sistema se deben seguir los siguientes pasos: Comprobar si los usuarios que se encuentran actualmente en el sistema son sospechosos. Comprobar qu procesos se estn ejecutando y quin los ejecuta. Las sospechas de que un intruso se encuentra en el sistema pueden venir fundamentadas porque en el intento de comprobar si dicho intruso ha atacado el sistema nos damos cuenta que existe una gran posibilidad que se encuentre en l en ese mismo instante, por ejemplo en las fechas de los logs o en las fechas de procesos (o ficheros).

Los pasos fundamentales a seguir son: Visualizacin de los usuarios logged en el sistema. Cuando se sospecha que hay intrusos en el sistema, lo primero a determinar es dnde estn y qu estn haciendo. Existen diversos comandos que permiten conocer los usuarios que estn actualmente en el sistema, por ejemplo en Linux se encuentran los siguientes: Comando w: este comando muestra una visin general de todos los usuarios que se encuentran en el sistema as como los programas que estn ejecutando. Prestando especial atencin a los siguientes aspectos: Validar si todos los usuarios son vlidos. Validar que no llevan conectados en el sistema una cantidad de tiempo excesiva. Asegurar que los usuarios no estn ejecutando programas que puedan resultar sospechosos.

Comando finger: es similar al anterior y muestra los usuarios que estn en el sistema, el terminal en el que se encuentran y el tiempo que llevan conectados. Adems, muestra tambin desde dnde se han conectado stos. Tambin se puede hacer un finger que indique quin est conectado en un ordenador remoto. Una vez visto el resultado de la ejecucin de finger se ha de determinar: 1. Que todos los usuarios son vlidos. 2. Que los usuarios no estn conectados en el sistema una cantidad de tiempo excesiva. 3. Y determinar que los usuarios se han conectado desde una localizacin vlida. Comando who: muestra informacin almacenada en el fichero/etc/utmp. Su salida es muy similar a la de finger y por lo tanto se han de verificar los mismos puntos expuestos para dicho comando. Los comandos anteriores pueden ser modificados por los intrusos de manera que quede oculta su presencia en el sistema. Por lo que hay que estar seguros que los comandos no han sido sustituidos por troyanos con el mismo nombre.

Visualizacin de los procesos activos. Un intruso puede dejar una tarea ejecutndose en el sistema sin haber estado un tiempo excesivo en el mismo, de modo que puede haber pasado desapercibido por alguien que haya querido detectar intrusos mediante los comandos citados en el apartado anterior. Incluso el intruso podra estar en este mismo instante ejecutando procesos del sistema. Para descubrir procesos que puedan realizar tareas que atenten contra el sistema se pueden emplear los siguientes comandos: Comando ps: muestra los procesos que actualmente se estn ejecutando en el sistema. Una vez ejecutado el comando y visualizada su salida, es importante fijarse en los siguientes aspectos: 1. Hay que prestarle especial atencin a los procesos que se ejecutan durante un perodo largo de tiempo. 2. Tambin suelen ser sospechosos los procesos que comienzan a ejecutarse a horas inusuales (por ejemplo, de madrugada). 3. No se debe desconfiar de los procesos con nombres que pueden resultar extraos. 4. Procesos que consumen un porcentaje elevado de CPU. 5. Procesos que no se ejecutan desde un terminal. Puede darse el caso de que un sistema contenga una versin modificada del comando, para que no se visualicen procesos intrusos. Tambin puede darse que un proceso intruso se est ejecutando bajo el nombre de un proceso vlido; en este caso resultara difcil identificarlo como proceso sospechoso. Como ejemplo, decir que algunos intrusos, a menudo, ejecutan programas sniffers bajo nombres tan comunes como puede ser sendmail o inetd. Comando crash: visualiza una lista de todos los procesos que se estn ejecutando en un momento dado en el sistema, aunque la ejecucin de crash puede considerarse como una forma de chequear contra el comando ps, de manera que se puede comprobar si algn proceso de los que se visualizan con crash no se visualiza con ps. Se debe centrar la atencin en los siguientes aspectos, los cuales pueden indicar la presencia de actividad extraa en el sistema: 1. Una situacin, que nos informara rotundamente de que el sistema est siendo atacado, es encontrarnos con procesos que no aparecen reflejados en la salida del comando ps (usando el PID para identificarlos).

2. Al igual que con ps hay que desconfiar de los procesos que consumen un porcentaje elevado de CPU. 3. Tambin tener en cuenta los nombres de comandos inusuales (para lo que hay que fijarse en la columna NAME de la salida). La salida de todos estos comandos, puede ser modificada a favor del intruso. Investigar y diagnosticar una intrusin ya ocurrida. Este apartado solo tratar el punto de vista de cuando un intruso ya ha invadido el sistema. La utilizacin de los comandos y consejos a los que se hace referencia a continuacin, es aconsejable ante la sospecha de que un intruso haya estado en el sistema pero que ya lo ha abandonado. Ante dicha sospecha hay que buscar una serie de seales que permitan encontrar huellas de que el intruso haya dejado tras de s en el sistema. Estas seales se pueden enumerar en una serie en: 1. Examinar los archivos log. 2. Buscar archivos setuid y setgid. 3. Chequear los archivos binarios del sistema. 4. Comprobar puertos abiertos. 5. Chequear si hay sniffers. 6. Examinar archivos que estn ejecutndose como 'cron' y 'at'. 7. Chequear si hay servicios no autorizados. 8. Examinar el archivo /etc/passwd. 9. Chequear la configuracin del sistema y la red. 10. Buscar todos lados archivos escondidos o inusuales. 11. Examinar todas las mquinas en la red local. Examinar los archivos log. Lo primero que se debe hacer siempre que se tenga la sospecha de que el sistema ha sido atacado (y lo ms importante) es examinar los archivos log a conexiones de lugares inusuales u otra actividad inusual. Por ejemplo, se debe buscar el ltimo

acceso al sistema de un usuario, el conteo de procesos, todos los accesos generados por syslog y otros accesos de seguridad. Hay que tener en cuenta que esto no es infalible ya que muchos intrusos modifican los archivos log para esconder su actividad. A continuacin se detallan los principales logs que se deben revisar. xferlog Si el sistema comprometido tiene servicio FTP, este fichero contiene el loggeo de todos los procesos del FTP y su localizacin suele ser el directorio /var/adm/. Se puede examinar qu tipo de herramientas ha subido el intruso y qu ficheros ha bajado del servidor. Suele ser bastante interesante revisar este log ya que un intruso puede usar carpetas ocultas del directorio del FTP para guardar la informacin y aplicaciones que necesite para atacar el sistema. La informacin que almacena este log suele ser la siguiente: La hora y la fecha a la que se transfiere. Nombre del host remoto que inicia la transferencia. Tamao de fichero transferido. Nombre del fichero transferido. Modo en que el archivo fue transferido (ASCII o binary). Flags especiales (por ejemplo C para comprimidos, U para descomprimidos, etc.) Direccin de transferencia. El tipo de usuario que entr en el servicio (apara un usuario annimo, g para un invitado y r para un usuario local). Secure. Algunos sistemas loggean mensajes al fichero secure, ya que utilizan algn software de seguridad para ello, como el TCP Wrapper. En todo momento una conexin establecida con uno de los servicios que se estn ejecutando bajo Inetd y que usan TCPWrappers, un mensaje de logeo es aadido a al fichero secure que se suele encontrar en /var/secure. Cuando se examina el fichero log, se deben buscar anomalas tales como servicios a los que se accedi por un mtodo no habitual y desde host desconocidos.

Wtmp. Guarda un log cada vez que un usuario se introduce en el equipo, sale de l o la mquina resetea. Dicho fichero se ubica normalmente en/etc/wtmp, /var/log/wtmp /var/adm/wtmp y contiene la informacin en formato usuario con la hora de conexin, IP origen del usuario, etc. por lo que se puede averiguar de donde provino el intruso. Tambin puede obtenerse informacin del tiempo durante el cual el intruso ha estado en el sistema y el momento en el que lo ha abandonado. Una vez visualizada la salida de la ejecucin, se debe: Examinar las entradas registradas alrededor de la hora en la que se sospecha que el sistema pudo ser atacado, las que tienen un login que no resulta familiar, los logins de lugares inusuales, etc. Examinar la posibilidad de que se perdiera el fichero/var/adm/wtmp o que fuera cambiado por uno con agujeros en su salida con la finalidad de ocultar la presencia del intruso. Utmp. Guarda un registro de los usuarios que estn utilizando el equipo mientras estn conectados a l. Este fichero se encuentra en: /var/log/utmp, /var/adm/utmp o /etc/utmp. Lastlog. En l se encuentra el momento exacto en que entr el usuario en el equipo por ltima vez. En algunas versiones de Linux, por ejemplo, tambin se almacena el ltimo acceso fallido en la cuenta de un usuario. Se ubica en /var/log/lastlog o en /var/adm/lastlog y su contenido suele ser visualizado cada vez que se entra en el sistema. acct o pacct. Registra todos los comandos ejecutados por cada usuario, pero no sus argumentos. Se encuentra en: /var/adm/acct /var/log/acct.

Borrar las huellas con el accounting activado es mucho ms difcil para el intruso, aunque hay que tener en cuenta que lo que pueden hacer es reducir la informacin de su presencia en el sistema, empleando los siguientes mtodos: El primero es que, nada ms entrar en el sistema, pueden copiar el fichero acct a otro fichero y, antes de abandonar el equipo, slo tendran que copiar dicho archivo de nuevo al acct. As, todos los comandos ejecutados durante la sesin no aparecen en el fichero acct. Un administrador puede darse cuenta de esta situacin porque su entrada queda registrada en el sistema, as como las dos copias. El segundo mtodo que podran emplear sera hacerse con un editor para el fichero acct que borrara los datos correspondientes al usuario, dejando intactos los del resto. Pero otra vez el administrador puede darse cuenta si el intruso realiz esta operacin, ya que la ejecucin del programa editor que borra sus huellas quedara registrado como comando por su usuario. La ltima opcin que puede emplear un hacker sera dejar el fichero acct con cero bytes lo cual llamara la atencin. Syslog. Esto no es un log sino una aplicacin que viene con el sistema operativo. Dicha aplicacin genera mensajes que son enviados a determinados ficheros donde quedan registrados. Estos mensajes son generados cuando se dan unas determinadas condiciones relativas a seguridad, informacin, etc. Los mensajes de errores tpicos estn ubicados en /var/log/messages, /usr/adm/messages, /var/adm/messages o incluso /var/syslog. De esta informacin se puede obtener lo siguiente: Informacin de direccin de E-mail que provengan de hosts sospechosos. Pues esto puede indicar que un intruso est enviando informacin a tu sistema desde otro remoto. Conexiones va Telnet, tanto de entrada como de salida, deberan ser examinadas. Un pequeo archivo puede ser sospechoso si en el log se indica que el archivo ha sido editado o borrado. En muchos casos, los logs del syslog guardan informacin que puede ser sospechosa y realmente no los sea, lo cual resta mucho tiempo a la hora de examinar lo logs. Adems estos logs suelen ser muy largos y examinarlos puede resultar complicado.

En este fichero se pueden encontrar actividades no deseadas, como las siguientes: Una autorizacin de entrada en un directorio de root no autorizado. Intento de entrar como root en el sistema (mediante su) o en una cuenta privilegiada. Si un intruso intenta borrar las huellas que deja dicho daemon, necesita tener privilegios de root, por lo que los intrusos mirarn el fichero de configuracin para saber en qu ficheros estn guardando la informacin. Cuando lo averigen, los visualizarn y buscarn algn mensaje de la intromisin en el equipo. Cuando los encuentran, los borran y cambian la fecha del fichero. Para evitar una modificacin de los logs se debe seguir alguno delos siguientes consejos: Mandar la parte ms sensible del registro a una impresora, deforma que al intruso le sera imposible borrar estas entradas. Aunque si se da cuenta del truco, puede colapsar la impresora mandndole imprimir basura. Utilizar otro ordenador como registro, necesitar atacar esta otra mquina para eliminar todas sus huellas. Mandar los logs por correo electrnico. Por culpa de que los logs no son definitivos en la deteccin de intrusos se recomienda seguir los pasos que vienen a continuacin. Buscar archivos setuid y setgid. Los sistemas permiten a los usuarios elevar temporalmente sus privilegios a travs de un mecanismo llamado setuid Cuando un archivo con el atributo setuid es ejecutado por un usuario, el programase va a ejecutar con los permisos del propietario del mismo. Por ejemplo, el programa login es un programa con el atributo setuid y propiedad del root. Cuando un usuario lo invoca se habilita el acceso al sistema con privilegios de superusuario en lugar de los del propio usuario. Los ficheros setuid aparecen en el listado de directorios con una s en lugar de una x en la posicin correspondiente al bit de ejecucin. Los intrusos frecuentemente dejan copias setuid para que as les sea autorizado el acceso como root en una ocasin posterior. Para la bsqueda de este tipo de

archivos, est disponible el comando find (el comando find puede ser sustituido por un troyano para esconder ficheros del intruso, por lo que no es totalmente fiable), aunque existen ms comandos para buscar este tipo de archivos. Chequear los archivos binarios del sistema. En ocasiones, los intrusos modifican los programas del sistema para ocultar su intrusin. Es aconsejable revisar los archivos binarios del sistema para asegurarse de que no han sido modificados. Existen varias herramientas conocidas para modificar los archivos binarios, como RootKit que permite a un intruso cambiar los binarios del sistema por troyanos que son copias exactas de los originales. Los programas troyanos pueden producir el mismo checksum y timestamp estndar como la versin legtima. Debido a esto, el comando estndar sum y los timestamps asociados con los programas no son suficientes para determinar si han sido remplazados. Por ello, hay que usar otras herramientas complementarias, para detectar estos programas troyanos. Adicionalmente, se puede considerar usar una herramienta (PGP por ejemplo) para "firmar" la salida generada. Adems tambin se puede comparar con las copias de seguridad aunque puede que estas copias tambin hayan sido sustituidas por un troyano. Por ejemplo, los binarios encontrados en localizaciones inusuales pueden ser comparados. Comprobar puertos abiertos. Un intruso que ha atacado el sistema puedo haber dejado puertos o conexiones abiertas de procesos. Para poder comprobar esto se puede usar el comando netstat, que principalmente da informacin de las conexiones abiertas. Lo que se debera hacer es comparar la salida de este comando con la de last-n para poder comprobar si existe relacin entre los usuarios que se conectaron al sistema y las conexiones abiertas. Leyendo la salida de este comando se puede obtener informacin de: Si se tiene una conexin telnet que no est relacionada con la salida de los comandos. Conexiones a otras redes. En algunos casos, en los sistemas comprometidos se ha introducido una versin troyana que no ensea las conexiones hacia o desde el origen del intruso.

Chequear si hay sniffers. Es importante comprobar que en los sistemas no existe el uso no autorizado de un programa de monitoreo de red, comnmente llamado como sniffer. Los intrusos pueden usar un sniffer para capturar informacin de la cuenta y password de un usuario. Los sniffers son la mayor fuente de ataques hoy en da. Muchos adaptadores ethernet estn configurados (y deben estarlo) para aceptar solo mensajes que son pedidos por ellos mismos. Un atacante o un sniffer puede establecer el adaptador de red en modo promiscuo para escuchar todas las tramas de ethernet, de esta forma todos los paquetes de datos que llegan a la placa son aceptados (no slo los destinados a esa PC). De esta manera se puede "espiar" las "conversaciones, passwords, Normalmente cuando la interfaz pasa a modo promiscuo, queda reflejado en el fichero de logs. Uno de los comandos que se puede usar para determinar si un sniffer fue instalado en nuestro sistema es ifconfig (existen otros como ifstatus o cpm). Dicho comando muestra la configuracin actual del interfaz de red. El modo promiscuo se puede ver activado como el ltimo parmetro de la descripcin de flags. Como otros comandos, ste, tambin puede ser un troyano. Si realmente hay sospechas de que un sniffer ha sido instalado se debera instalar la herramienta Cpm y ejecutarla. Esta herramienta testear la interfaz de red directamente y mostrar un informe de si est en modo promiscuo. Otras posibles medidas para detectar el sniffer son: Controlar y detectar los logs que genera el sniffer. Controlar las conexiones al exterior, por ejemplo, el envo sospechoso de email a cuentas extraas. Utilizar la herramienta lsof (LiSt Open Files), de forma que se monitoricen los programas que acceden al dispositivo de red. Por otra parte, en caso de que no se pueda acceder y consultar el estado de las interfaces de red, puesto que el sniffer no est en el ordenador sino que se encuentra en alguna otra mquina de la red. Lo que hay que hacer, es utilizar algn defecto en la implementacin concreta del protocolo TCP/IP por algn programa/comando o averiguar de alguna forma si hay algn sniffer corriendo en la red. Por ejemplo, una de las posibles tcnicas, consiste en enviar paquetes a una mquina inexistente y cuya direccin no est dada de alta en el servidor de nombres, de esta manera se puede saber si hay un sniffer en la red, si posteriormente se detecta cualquier intento de acceso a la mquina ficticia.

Examinar archivos que estn ejecutndose como cron y at. Otro paso a seguir es examinar todos los archivos que estn siendo ejecutados por cron y at. Se sabe que los intrusos dejan puertas traseras en archivos corriendo como cron o como at. Estas tcnicas pueden permitir a un intruso volver a entrar en el sistema aunque se haya echado. Adems se debe verificar que todos los archivos o programas relacionados con tareas del cron y at, y las tareas que se archiven por si mismas sean nuestras y que no tienen permiso de escritura. Chequear si hay servicios no autorizados. Es interesante chequear si hay servicios no autorizados dados de alta en el sistema. Se debe inspeccionar /etc/inetd.conf por si se le ha aadido algn servicio sin nuestra autorizacin o cualquier tipo de cambio. En particular hay que buscar entradas que ejecuten un programa shell (por ejemplo /bin/sh o /bin/csh) y chequear todos los programas que estn especificados en l. Para verificar que son correctos y que no han sido remplazados por troyanos. Adems se debe comprobar la legitimidad de los servicios que nosotros mismos hemos dado de alta en el archivo /etc/inetd.conf. Los intrusos pueden habilitar un servicio que pensemos que previamente lo habamos deshabilitado, o remplazar el programa inetd con unprograma troyano. Examinar el archivo /etc/passwd. Otro de los pasos a seguir en la deteccin de intrusos es chequear el archivo /etc/passwd en el sistema y buscar posibles modificaciones que se pudieran realizar en el mismo. En particular se debe buscar: La creacin no autorizada de nuevas cuentas. Cuentas sin password. Cambios de UID (especficamente UID 0 que es el root) a cuentas existentes. Una entrada como +::. Actualmente las contraseas no se guardan en el fichero anterior sino en otro.

Chequear la configuracin del sistema y la red. Otro paso es examinar las entradas no autorizadas en los archivos de configuracin del sistema y de la red. En particular hay que buscar entradas con signo '+' y nombres de host no locales inapropiados del sistema. Los ficheros en los que se guarda, no deben tener atributo de escritura para todo el mundo. Ms especficamente, el fichero .rhosts es empleado para permitir el acceso remoto a un sistema y en algunas ocasiones es usado por los intrusos como puertas traseras. Si el fichero fue modificado recientemente puede que se haya usado para sabotear el sistema. Inicialmente y peridicamente se debe verificar que el host remoto y el nombre de los usuarios en dichos ficheros son consistentes. Buscar todos lados archivos escondidos o inusuales. A menudo, la mejor manera de averiguar si el sistema ha sido o no comprometido es a travs del chequeo de los archivos del mismo. Los intrusos suelen ocultar su presencia en un sistema usando archivos o directorios ocultos o inusuales, ya que pueden ser usados para esconder herramientas que le permitan romper la seguridad del sistema o incluso pueden contener el /etc/passwd del sistema o de otros sistemas a los cuales ha entrado el intruso. Muchos intrusos suelen crear directorios ocultos utilizando nombres como '...' (punto-punto-punto), '..' (punto-punto), etc. De nuevo el comando find puede ser usado para buscar archivos ocultos. Tambin deben examinarse los directorios ftp los cuales pueden ser escritos por usuarios annimos (que sean intrusos) que almacenen y cambien ficheros. Examinar todos los ordenadores de la red local. Se debe examinar cuidadosamente todos los ordenadores de la red local en busca de indicios de que sta haya sido comprometida. Tambin hay que revisar los sistemas informticos que los usuarios comparten mediante el acceso del .rhost Lgicamente si nuestro ordenador ha sido atacado, probablemente los sistemas de la red tambin hayan sido atacados.

UNIDAD DIDCTICA 8. ESTABLECIMIENTO DEL PROCESO DE RESOLUCIN Y RECUPERACIN DE LOS SISTEMAS TRAS UN INCIDENTE DERIVADO DE UN INTENTO DE INTRUSIN O INFECCIN. El proceso de resolucin y recuperacin est compuesto por tres fases, las cuales se detallan a continuacin. Contencin. El primer paso es elegir una determinada estrategia de contencin del incidente de seguridad. Una primera opcin sera llevar a cabo una rpida actuacin para evitar el incidente pueda tener mayores consecuencias para la organizacin: apagar todos los equipos afectados, desconexin de estos equipos de la red informtica, desactivacin de ciertos servicios, etc. Esta estrategia de contencin es la ms adecuada cuando se puedan ver afectados servicios crticos para la organizacin, se pueda poner en peligro determinada informacin confidencial, se estn aprovechando los recursos de la organizacin para lanzar ataques contra terceros o cuando las prdidas econmicas puedan ser considerables.

Una segunda alternativa sera retrasar la contencin para poder estudiar con ms detalle el tipo de incidente y tratar de averiguar quin es el responsable del mismo. Esta estrategia se puede adoptar siempre y cuando sea posible monitorizar y controlar la actuacin de los atacantes, para de este modo reunir las evidencias necesarias que permitan iniciar las correspondientes actuaciones legales contra los responsables del incidente. Por otra parte, en algunos tipos de ataque las medidas de contencin adoptadas podran desencadenar mayores daos en los sistemas informticos comprometidos.

Tambin hay que tener en cuenta que en los ataques de Denegacin de Servicio (DoS) puede resultar necesario contar con la colaboracin de las empresas proveedoras de acceso a Internet o de Administradores de las redes de otras organizaciones para contener el ataque o la intrusin. Erradicacin. Por su parte, la erradicacin es la etapa en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de las secuelas, entre las que podramos citar posibles puertas traseras instalados en los equipos afectados, contenidos y material inadecuado que se haya introducido en los servidores, cuentas de usuario creadas por los intrusos o nuevos servicios activados en el incidente. Tambin ser conveniente llevar a cabo una revisin de otros sistemas que se pudieran ver comprometidos a travs de las relaciones de confianza con el sistema afectado. Recuperacin. Por ltimo, la recuperacin es fase en la que se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. Para ello, ser necesario contemplar tareas como la reinstalacin del sistema operativo y de las aplicaciones partiendo de una copia segura, la configuracin adecuada de los servicios e instalacin de los ltimos parches y actualizaciones de seguridad, el cambio de contraseas que puedan haber sido comprometidas, la desactivacin de las cuentas que hayan sido utilizadas en el incidente, la revisin de las medidas de seguridad para prevenir incidentes similares y la prueba del sistema para comprobar su correcto funcionamiento.

UNIDAD DIDCTICA 9. PROCESO PARA LA COMUNICACIN DEL INCIDENTE A TERCEROS, SI PROCEDE. El Plan de Respuesta a Incidentes hace referencia a una gua de actuacin clara y detallada de los procedimientos a acciones necesarias para la restauracin rpida, eficiente y segura de la capacidad de procesamiento informtico y de comunicacin de la organizacin, as como para la recuperacin de los datos daados o destruidos. Por otro lado, el Plan de Respuesta a Incidentes tiene que contemplar cmo la organizacin debera comunicar a terceros la causa y las posibles consecuencias de un incidente de seguridad informtica.

As, dentro de este Plan debern estar previstos los contactos con organismos de respuesta a incidentes de seguridad informtica (como puede ser el CERT), con las fuerzas de seguridad (Polica o Guardia Civil), con las agencias de investigacin y con los servicios jurdicos de la organizacin. Adems, tambin puede ser necesario establecer contacto con proveedores de acceso a Internet, ya sea el proveedor de la propia organizacin o el proveedor o proveedores que dan servicio a equipos desde los que se ha originado un ataque contra la organizacin. Del mismo modo, en algunos casos ser recomendable contactar con los fabricantes de hardware y/o software que se hayan visto involucrados en el incidente, debido a una vulnerabilidad o una mala configuracin de sus productos. Tambin debe haber una comunicacin con terceros, tanto en el caso de que pudieran haber sido perjudicados por la intrusin, como si hubieran utilizado ordenadores de la organizacin para realizar un ataque contra sistemas y redes de

otras entidades. De este modo, se podran limitar las responsabilidades legales en las que podra incurrir la organizacin por culpa del incidente de seguridad. Por ltimo, en algunos casos ser conveniente definir un Plan de Comunicacin con los Medios (agencias de noticias, emisoras de radio y televisin). Para ello, la organizacin deber establecer quin se encargar de hablar con dichos medios y qu datos se podrn facilitar en cada momento. Cabe mencionar, que en esta comunicacin debern evitarse en la medida de lo posible especulaciones y no revelar informacin sensible, as como las causas y responsables del incidente.

UNIDAD DIDCTICA 10. ESTABLECIMIENTO DEL PROCESO DE CIERRE DEL INCIDENTE Y LOS REGISTROS NECESARIOS PARA DOCUMENTAR EL HISTRICO DEL INCIDENTE. Etapas finales del proceso de incidentes. Tras haber aislado los equipos, haber capturado y protegido la informacin asociada con el incidente, haberla catalogado y almacenado para preservar las evidencias, haber caracterizado el tipo de incidente o intento de intrusin, haber comunicado con todas las personas y organismos que deben ser informados y haber investigado y aplicado soluciones de emergencia, se podra decir que nos encontramos ante la fase final de proceso de gestin de incidentes. Esta fase comenzar con la eliminacin de todos los medios posibles que faciliten una nueva intrusin en el sistema, es decir, cambiar todas las contraseas de los equipos a los que hayan podido tener acceso atacantes o usuarios no autorizados, revisar la configuracin de los equipos, detectar y anular los cambios realizados por los atacantes en los equipos afectados, restaurar programas ejecutables y ficheros binarios (como las libreras del sistema) desde copias seguras y mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. Como ltimo paso, se debera recuperar una actividad normal en los sistemas afectados, reinstalando las aplicaciones y servicios, incluyendo parches y actualizaciones de seguridad, restaurando datos de los usuarios y aplicaciones desde las copias de seguridad, recuperando las conexiones y los servicios de red y verificando una correcta configuracin de estos equipos. Una vez restaurada la actividad normal se deber hacer un seguimiento a posteriori del incidente. Se debern identificar las lecciones y principales conclusiones de cada incidente, recurriendo al anlisis posterior de los equipos afectados por el incidente y entrevistando a las personas implicadas en la gestin del incidente. Se debern recoger mejoras de la seguridad propuestas como consecuencia de las lecciones aprendidas en cada incidente, revisando as, las polticas y procedimientos de seguridad, realizando un nuevo anlisis detallado de las vulnerabilidades y riesgos del sistema y dems procedimiento relevantes para evitar que una intrusin vuelva a tener lugar.

Documentacin del incidente de seguridad. El Plan de Respuesta a Incidentes debera establecer cmo se tiene que documentar un incidente de seguridad, reflejando de forma clara y precisa aspectos como lo que se presentan en la siguiente relacin: Descripcin del tipo de incidente. Hechos registrados (eventos en los logs de los equipos). Daos producidos en el sistema informtico. Decisiones y actuaciones del equipo de respuesta. Comunicaciones que se han realizado con terceros y con los medios. Lista de evidencias obtenidas durante el anlisis y la investigacin. Comentarios e impresiones del personal involucrado. Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro.

La Trans-European and Education Network Association (TERENA) ha desarrollado un estndar para facilitar el registro e intercambio de informacin sobre incidentes de seguridad: el estndar RFC 3067, con recomendaciones sobre la informacin que debera ser registrada en cada incidente (Incidente Object Description and Exchange Format Requirements). Conviene destacar que una correcta y completa documentacin del incidente facilitar el posterior estudio de cules han sido sus posibles causas y sus consecuencias en el sistema informtico y los recursos de la organizacin. Por supuesto, ser necesario evitar que el personal no autorizado pueda tener acceso a esta documentacin sensible.

MDULO 6: ANLISIS FORENSE INFORMTICO. UNIDAD DIDCTICA 1. CONCEPTOS GENERALES Y OBJETIVOS DEL ANLISIS FORENSE. El anlisis forense es una metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperabilidad del sistema, el anlisis se denomina anlisis postmortem. A continuacin, presentamos el siguiente esquema, en el que podemos observar la relacin que podemos encontrar entre la gestin de incidentes de la que hablbamos en anteriores mdulos y el anlisis forense del presente.

En el desglose del concepto de Anlisis forense, podemos distinguir varios que se encuentran ntimamente relacionados con la gestin de incidentes de seguridad

informtica. A continuacin, explicaremos algunos conceptos bsicos en este campo. Ciencia Forense. La Ciencia Forense nos proporciona los principios y tcnicas que facilitan la investigacin de los delitos criminales, mediante la identificacin, captura, reconstruccin y anlisis de las evidencias. Al fin y al cabo, es la aplicacin de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal. La Ciencia Forense recurre a la aplicacin de un mtodo cientfico para analizar las evidencias disponibles y formular hiptesis sobre lo ocurrido. El trabajo de la Ciencia Forense se basa en el Principio de Transferencia de Locard segn el cual cualquier persona u objeto que entra en la escena del crimen deja un rastro en la escena o en la propia vctima, y viceversa, es decir, tambin se lleva consigo algn rastro de la escena del crimen. (Este principio ser ms desarrollado en la siguiente unidad didctica). La ciencia forense nos proporciona los principios y tcnicas que facilitan la investigacin del delito criminal, en otras palabras: cualquier principio o tcnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigacin criminal forma parte de la ciencia forense. Los principios cientficos que hay detrs del procesamiento de una evidencia son reconocidos y usados en procedimientos como: Recoger y examinar huellas dactilares y ADN. Recuperar documentos de un dispositivo daado. Hacer una copia exacta de una evidencia digital. Generar una huella digital con un algoritmo. Firmar digitalmente un documento para poder afirmar que es autntico y preservar la cadena de evidencias. Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir el crimen y encontrar pistas. Aplicando un mtodo cientfico analiza las evidencias disponibles, crea hiptesis sobre lo ocurrido para crear la evidencia y realiza

pruebas, controles para confirmar o contradecir esas hiptesis. Esto puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que un forense no puede conocer el pasado, no puede saber qu ocurri ya que slo dispone de una informacin limitada. Por esto, slo puede presentar posibilidades basadas en la informacin limitada que posee. Un principio fundamental en la ciencia forense, que usaremos continuamente para relacionar un criminal con el crimen que ha cometido, es el Principio de Intercambio o transferencia de Locard, (Edmond Locard, francs fundador del instituto de criminalstica de la universidad de Lion, podemos ver el esquema en la figura. Informtica forense. Por su parte, la Informtica Forense se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. La informtica forense hace entonces su aparicin como una disciplina auxiliar de la justicia moderna, para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad alrededor de la evidencia digital que se pudiese aportar. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Para poder realizar este trabajo resultar fundamental contar con los medios y el material especializado para las distintas tcnicas del anlisis forense as como disponer de un manual detallado de los procedimientos de actuacin, definiendo de forma clara y precisa todas las actividades que se realizarn en cada una de las etapas del anlisis forense en sistemas informticos. Es necesario recalcar que, un equipo de anlisis forense ha de estar constituido por expertos con los conocimiento, experiencia y actitudes necesarias para el desarrollo de estas actividades. Adems, sus miembros deberan contar con el entrenamiento adecuado, prestando especial atencin a la puesta al da de sus conocimientos y habilidades. Dentro de los objetivos de la informtica forense podemos recalcar los siguientes: La compensacin de los daos causados por los criminales o intrusos.

 La persecucin y procesamiento judicial de los criminales. La creacin y aplicacin de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia. Por otra parte, existen varios usos de la informtica forense, muchos de estos usos provienen de la vida diaria, y no tienen que estar directamente relacionados con la informtica forense: Prosecucin Criminal. Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil. Litigacin Civil. Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense. Investigacin de Seguros. La evidencia encontrada en computadores, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Temas corporativos. Puede ser recolectada informacin en casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial. Mantenimiento de la ley. La informtica forense puede ser usada en la bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez se tiene la orden judicial para hacer la bsqueda exhaustiva. Podemos sealar que una interesante referencia para el anlisis forense en los sistemas informticos es la gua Best Practices for Seizing Electronic evidence, publicada por el Servicio Secreto de Estados Unidos y accesible en Internet.

Otros conceptos generales. Algunos conceptos generales que debemos de tener en cuenta para comprender el presente mdulo de Anlisis forense informtico son los siguientes: Cadena de Custodia: Supone la identidad de personas que manejan la evidencia en el tiempo del suceso y la ltima revisin del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los artculos son registrados y contabilizados durante el tiempo en el cual estn en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artculos con el lapso de tiempo y fechas de entrega y recepcin. Imagen Forense: Llamada tambin "Espejo", la cual es una copia bit a bit de un medio electrnico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las reas borradas incluyendo particiones escondidas. Anlisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de informacin relacionada al archivo (metadatos, etc.), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamao, nombre y ruta, as como su creacin, ltimo acceso y fecha de modificacin.

UNIDAD DIDCTICA 2. EXPOSICIN DEL PRINCIPIO DE LOCKARD. Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la vctima y viceversa (se lleva consigo), en otras palabras: cada contacto deja un rastro. En el mundo real significa que si piso la escena del crimen con toda seguridad dejar algo mo ah, pelo, sudor, huellas, etc. Pero tambin me llevar algo conmigo cuando abandone la escena del crimen, ya sea barro, olor, una fibra, etc. Con algunas de estas evidencias, los forenses podrn demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen. En este ejemplo hemos hablado de evidencias fsicas, en la ciencia forense tradicional hay varios tipos de evidencias fsicas: Evidencia transitoria: como su nombre indica es temporal por naturaleza, por ejemplo un olor, la temperatura, o unas letras sobre la arena o nieve (un objeto blando o cambiante). Evidencia curso o patrn: producidas por contacto, por ejemplo la trayectoria de una bala, un patrn de rotura de un cristal, patrones de posicionamiento de muebles, etc. Evidencia condicional: causadas por una accin o un evento en la escena del crimen, por ejemplo la localizacin de una evidencia en relacin con el cuerpo, una ventana abierta o cerrada, una radio encendida o apagada, direccin del humo, etc. Evidencia transferida: generalmente producidas por contacto entre personas, entre objetos o entre personas y objetos. Aqu descubrimos el concepto de relacin. El principio de intercambio de Lockard se puede resumir as: El sospechoso se llevar lejos algn rastro de la escena y de la vctima. La vctima retendr restos del sospechoso y puede dejar rastros de si mismo en el sospechoso. El sospechoso dejar algn rastro en la escena.

El objetivo es establecer una relacin entre los diferentes componentes: La escena del crimen. La vctima. La evidencia fsica. El Sospechoso. Para la correcta resolucin del caso, todos estos componentes deben estar relacionados. Esto se conoce como el concepto de relacin, que es lo que nos faltaba para completar el principio de intercambio de Lockard. Las evidencias pueden, a su vez, ser transferidas de dos formas distintas: Transferencia directa: cuando es transferida desde su origen a otra persona u objeto de forma directa. Transferencia indirecta: cuando es transferida directamente a una localizacin y, de nuevo, es transferida a otro lugar. En este primer esquema, se muestran los conceptos bsicos del principio de lockard.

En este segundo esquema, los mismos principios, en la versin digital que nos ocupa.

UNIDAD DIDCTICA 3. GUA PARA LA RECOGIDA DE EVIDENCIAS ELECTRNICAS. Evidencias voltiles y no voltiles. Una evidencia es toda aquella informacin que podr ser capturada y analizada posteriormente para interpretar de la forma ms exacta posible el incidente de seguridad: en qu ha consistido, qu daos ha provocado, cules son sus consecuencias y quin pudo ser el responsable. Tambin, se pueden considerar como evidencias los campos magnticos y los pulsos electrnicos emitidos por los equipos informticos. Las evidencias digitales se clasifican en dos tipos: voltiles y no voltiles. Las evidencias voltiles son aquellas que se pierden al apagar el equipo, (por ejemplo, el estado de la memoria, los procesos de ejecucin, conexiones de red etc.); y las evidencias no voltiles son aquellas que se encuentran almacenadas en el sistema de ficheros, (por ejemplo un programa etc.) La mejor forma es recoger las evidencias del equipo siguiendo la normativa RFC 3227. En la siguiente direccin se puede encontrar: http:lltools.ietf.orglhtmllrfc3227 Dicha normativa establece el siguiente orden de volatibilidad de las evidencias: Registros, cach. Tabla de enrutado, cach arp, tabla de procesos, estadsticas del kernel y memoria. Ficheros temporales del sistema. Discos duros. Registros y datos de monitorizacin remotos que sean relevantes para el sistema en cuestin. Configuracin fsica y topologa de la red.

Etiquetado de evidencias A pesar de ser intangibles, las evidencias digitales o electrnicas pueden ser admitidas como prueba en un juicio, si se ofrecen unas determinadas garantas en las distintas etapas del anlisis forense, mediante el aislamiento de la escena del crimen para evitar la corrupcin de sta y de las posibles evidencias que en ella puedan hallarse. Debemos tener en cuenta, por lo tanto, que el proceso de captura de evidencias digitales no debe alterar el escenario objeto de anlisis. En la prctica esto es muy difcil de conseguir, ya que las herramientas utilizadas van a modificar la memoria del sistema informtico en el que se ejecutan. De hecho, la ejecucin de determinados comandos en el sistema podra alterar la informacin registrada en el disco. As, por ejemplo, un simple listado del contenido de un directorio va a modificar la fecha del ltimo acceso a cada fichero. No es recomendable emplear las propias herramientas del sistema, ya que stas podran haber sido manipuladas por terceros, mediante rootkits o troyanos. As mismo, es necesario emplear medios estriles para guardar una copia de las evidencias digitales, es decir, medio que no hayan tenido datos previos en ellos; de igual manera es conveniente obtener la imagen fotogrfica de todas las pantallas que muestra el sistema informtico durante el proceso de captura de las evidencias digitales. La captura de las evidencias digitales se complica an ms con las evidencias voltiles, entendiendo como tales a toda aquella informacin que se perder al apagar un equipo informtico objeto de anlisis. Podemos considerar la siguiente relacin de evidencias digitales voltiles: Volcado de la memoria global del sistema y de cada proceso: ante la dificultad de realizar un anlisis en profundidad, se podr utilizar el volcado de memoria para buscar determinadas cadenas de caracteres que puedan dar pistas sobre el incidente que ha afectado al equipo. Procesos y servicios en ejecucin dentro del sistema, siendo conveniente identificar de cada uno de ellos el fichero ejecutable, los parmetros de ejecucin etc. Controladores (drivers) instalados para gestionar distintos recursos hardware del sistema. Usuarios y grupos de usuarios activos dentro del sistema: qu sesiones se encuentran abiertas en el momento de llevar a cabo el anlisis del equipo.

Tras haber capturado todas las evidencias voltiles, se proceder a obtener la informacin de los discos duros del sistema. Para ello conviene apagar de forma repentina el equipo, de modo que se pueda evitar que en el proceso de apagado desde el sistema operativo se puedan borrar algunas evidencias, ya que el atacante podra haber incluido alguna rutina para eliminar evidencias de sus actuaciones dentro del sistema cuando ste fuera apagado. Cadena de custodia. Es la compuesta por el conjunto de procedimientos, los funcionarios y la documentacin relacionada ala colectacin, envi, traslado y verificacin cientfica de la evidencia. Cundo comienza la cadena de custodia? Desde el momento en que es colectada y termina con la sentencia. En realidad cuando se levanta el acta descriptiva del sitio del suceso y en donde se relacionan todos los objetos colectados comienza la cadena de custodia. All comenz la cadena de custodia. El funcionario la entrega mediante una planilla de recepcin a objetos recuperados y ese documento es parte de la cadena de custodia, es decir, que tanto el funcionario que la colect como el documento que la identifica y el procedimiento que emple forman parte de la cadena de custodia. Y si las evidencias de las que hablamos son de tipo digital, es igualmente necesario contemplar una serie de tareas de tipo tcnico y de medidas de carcter organizativo, teniendo en cuenta las recomendaciones de la IOCE (International Organization on Computer Evidence). As, en primer lugar, se deber utilizar un adecuado mtodo de identificacin, precinto, etiquetado y almacenamiento de las evidencias, considerando la posible incorporacin de una firma temporal (digital timestamp) en cada evidencia para que quede registrado el momento en que fue capturada. Estas evidencias digitales debern ser preservadas de factores ambientales adversos: campos magnticos, fuentes de radiacin, etc. Por este motivo, se recomienda conservar los soportes informticos donde se han registrado las evidencias digitales en bolsas de plstico antiestticas. As mismo, es necesario garantizar que los datos digitales adquiridos de copias no puedan ser alterados, por lo que para su obtencin se deberan emplear herramientas de generacin de imgenes bit a bit, que incorporen cdigos de comprobacin (checksums o algoritmos de huella digital como SHA-i o MDS) para facilitar la comprobacin de la integridad de estos datos.

Otro aspecto de gran importancia es la documentacin de todo el proceso de adquisicin de evidencias, llevado a cabo por profesionales con los conocimientos adecuados. En dicha documentacin se debe reflejar de forma clara y precisa la identificacin de las personas que intervienen en el proceso, as como el momento y lugar en que se captura cada una de las evidencias. Tambin se puede prever la posibilidad de realizar una grabacin en vdeo por parte del equipo encargado de la captura de evidencias digitales. Por ltimo, resultar fundamental, sobre todo desde un punto de vista legal, el mantenimiento de la cadena de custodia de las evidencias. Con tal motivo, deben estar perfectamente definidas las obligaciones y funciones de cada uno de los miembros del equipo de anlisis forense. Ficheros y directorios ocultos. La tarea de anlisis de los ficheros se puede ver dificultada por el hecho de que algunos de estos ficheros se encuentren comprimidos y/o cifrados. En ste ltimo caso resultar mucho ms difcil el anlisis si se ha utilizado un algoritmo de cifrado robusto. Del mismo modo, ser difcil localizar y analizar los ficheros ocultos mediante distintas tcnicas dentro del sistema: Activacin del atributo oculto en las propiedades de algn fichero para que no sea mostrado por el sistema operativo. Informacin y ficheros ocultos en otros ficheros mediante tcnicas esteganogrficas. Mecanismo ADS (Alternative Data Streams) del sistema de ficheros NTFS de Windows, utilizado para mantener informacin sin estructura asociada a un fichero (un icono, por ejemplo). No obstante, este mecanismo puede ser empleado por un intruso para ocultar archivos asociados a otros sin que sean detectados por el administrador del sistema. El anlisis de informtica forense es siempre til en aspectos que aparentemente parecen poco relacionados con los ordenadores. En algunos casos, la informacin personal en un ordenador, por ejemplo, en un caso de divorcio, el esposo puede haber escondido fondos mancomunados en una cuenta de banco secreta. Aunque en los casos mencionados se ha borrado la informacin que tienen en sus ordenadores, el especialista en Informtica Forense puede recuperar esta informacin de los discos duros de los ordenadores.

Pero, cmo es posible recuperar informacin o evidencia borrada? El sistema operativo de un ordenador utiliza un directorio que contiene el nombre y la ubicacin de cada archivo en el disco duro. Cuando un archivo es borrado, varios eventos tienen lugar en un ordenador. Un archivo marcador de status es revelado para indicar que un archivo ha sido borrado. Un marcador de estado del disco es revelado para indicar que el espacio es ahora disponible para uso. As, el usuario no puede ver el archivo listado en ningn directorio, pero en realidad nada se ha hecho al archivo. Este nuevo espacio es denominado espacio libre o no usado, hasta que otro archivo reescriba sobre este espacio; el especialista en Informtica Forense puede recuperar este archivo en su integridad. El sobreescribir sobre el archivo puede ser causado por una variedad de actividades del usuario, entre ellas aadir un nuevo programa o crear nuevos documentos que son archivados donde el archivo "borrado" est. Slo cuando la informacin es sobreescrita por nueva informacin, esa parte o todo el archivo no es ms recuperable a travs de tcnicas de informtica forense. El espacio libre o disponible para uso en los discos duros de los ordenadores es dividido en sectores de igual tamao. Cuando el usuario necesita almacenar informacin, el sistema operativo del ordenador automticamente determina cul de esos sectores ser utilizado para almacenar esta informacin. En muchos casos, la informacin a ser almacenada no utiliza todo el espacio disponible en el sector o sectores designados. Cuando esto sucede, la informacin que fue previamente almacenada en el disco duro, permanece en el sector no usado al que lo denominan "sector inactivo". Lo cual implica que si parte del disco ha sido sobreescrito con nueva informacin, hay todava la posibilidad de que alguna evidencia incriminante todava quede en ese sector inactivo. Informacin importante o crtica para algn caso puede ser tambin recuperable a travs de las diferentes tcnicas de informtica forense. Esta informacin oculta o no visible para el usuario, est llena de detalles sobre el uso del ordenador, como pueden ser pginas web visitadas, e-mail enviado y recibido, informacin sobre transacciones bancarias realizadas a travs de Internet, documentos, cartas y fotografas que fueron creadas, modificadas o visitadas en muchos de los casos, inclusive si esta informacin no fue guardada en el ordenador por el usuario. Recuperacin de ficheros borrados. Por la forma de almacenamiento de los discos duros, cuando un archivo es borrado de la papelera de reciclaje no desaparece totalmente. Los archivos eliminados son simplemente marcados como tales y la informacin puede recuperarse bajo ciertas condiciones.

Cuando un archivo se borra de la papelera de reciclaje, el sistema slo lo marca como eliminado y, por lo tanto, queda fsicamente en el disco duro, pero no es ms visible por el usuario. La informacin del fichero, en estas condiciones, puede verse afectada en cualquier momento, puesto que otro archivo nuevo puede reemplazarla fsicamente en el disco. A veces, un archivo puede recuperarse ntegramente o slo partes, dependiendo si fue o no reemplazado fsicamente en el disco duro por otra informacin. Un fichero puede borrarse manualmente al vaciar la papelera de reciclajes o al ser eliminado directamente; pero tambin puede verse eliminado por un virus, por programas liberadores de espacio que lo consideraron poco importante, etc. Por lo tanto es siempre til tener una herramienta recuperadora a nuestro alcance. En relacin al anlisis forense, su equipo, debe tener especial cuidado a la hora de localizar aquellos ficheros marcados como borrados en el disco pero que todava no haban desaparecido de este, es decir, los sectores que todava no haban sido asignados a otros ficheros, por lo que formaban parte del free space (espacio libre del disco). Con las herramientas adecuadas tambin es posible recuperar fragmentos de antiguos ficheros, adems de facilitar el anlisis de los datos que pudieran encontrarse en los espacios de separacin entre particiones y sectores, as como en el espacio no utilizado dentro de cada sector (slack space). En la direccin de los campos reservados en el sistema de archivos y los espacios etiquetados como daados por el sistema de archivos.

UNIDAD DIDCTICA 4. GUA PARA EL ANLISIS DE LAS EVIDENCIAS ELECTRNICAS RECOGIDAS, INCLUYENDO EL ESTUDIO DE FICHEROS Y DIRECTORIOS OCULTOS, INFORMACIN OCULTA DE SISTEMA Y LA RECUPERACIN DE FICHEROS BORRADOS. El anlisis de las evidencias digitales capturadas en las etapas anteriores podra ser realizado mediante herramientas especializadas (como EnCase) que permiten analizar la imagen obtenida de los discos duros sin tener que volcarla a otro disco o unidad de almacenamiento. La labor de anlisis puede comenzar con la bsqueda de Informacin (cadenas de caracteres alfanumricos) en el volcado de la memoria del sistema o en las imgenes de los discos duros para localizar ficheros sospechosos, como podran ser programas ejecutables, scripts o posibles troyanos. A continuacin, se podrn ejecutar estos ficheros sospechosos en un entorno de pruebas totalmente controlado (por ejemplo, en una mquina virtual creada mediante la herramienta VMware con la misma configuracin que el sistema que ha sufrido el incidente), para estudiar su comportamiento: interaccin con el sistema, llamadas a otras aplicaciones o ficheros que intenta modificar (para esto ltimo se pueden emplear herramientas como Filemon o Regmon en los sistemas Windows). As mismo, se tendr que realizar una comprobacin de la integridad en los ficheros y libreras del sistema, para detectar posibles manipulaciones (presencia de rootkits en el sistema). Para ello, ser necesario disponer de la informacin sobre el estado del sistema previo al incidente (firmas digitales de los ficheros y libreras, mediante algoritmos como SHA-1 o MD5). Tambin es posible consultar una base de datos de firmas para instalaciones tpicas de distintos sistemas operativos, como la base de datos NSRL (National Software Reference Library) del Instituto de Estndares NIST de Estados Unidos (www,nsrl,nist,gov). El anlisis de las evidencias tambin debe contemplar la revisin de los ficheros de configuracin del sistema, donde se establecen los parmetros bsicos del arranque, los servicios que se van a ejecutar y las directivas de seguridad, por este motivo, ser necesario comprobar la ejecucin programada de aplicaciones, as como revisar la configuracin de las aplicaciones servidoras que se ejecutaban en el sistema informtico objeto de estudio (servidor WWW, servidor FTP) y los registros de actividad de estas aplicaciones (logs). Se debera tener en cuenta, adems, la posibilidad de obtener datos adicionales de los logs de otros equipos y dispositivos de la red (como, por ejemplo, los cortafuegos o los IDS) para llevar a cabo un anlisis ms completo de estos registros de actividad.

En relacin con los ficheros incluidos en la copia del disco o discos del sistema, conviene realizar las siguientes tareas: Identificacin de los tipos de archivos, a partir de sus extensiones o del estudio de los "nmeros mgicos" (Magic Numbers), es decir, de la informacin contenida en la cabecera de cada fichero. Visualizacin del contenido de los ficheros grficos. Estudio de las fechas de creacin, cambio y ltimo acceso a los ficheros, para detectar qu ficheros han experimentado cambios o han sido creados en las fechas prximas al incidente. Hay que tener en cuenta la fecha y hora del sistema en el momento de obtener las evidencias. Revisin de los permisos de acceso y ejecucin de los ficheros, as como de la informacin sobre quines son sus propietarios. Revisin de los distintos ficheros temporales obtenidos en la imagen del sistema: memoria temporal (cach) del navegador, direcciones URL que se han tecleado en la caja de direcciones, contenido del historial del navegador, cach del protocolo ARP, archivo de paginacin del sistema (swap), spooler de impresin, etc. La tarea de anlisis de los ficheros se puede ver dificultada por el hecho de que algunos de estos ficheros se encuentren comprimidos y / o cifrados. En este ltimo caso resultar mucho ms difcil el anlisis si se ha utilizado un algoritmo de cifrado robusto.

UNIDAD DIDCTICA 5. GUA PARA LA SELECCIN DE LAS HERRAMIENTAS DE ANLISIS FORENSE. Las herramientas de anlisis forense permiten asistir al especialista durante el anlisis de un delito informtico, automatizando buena parte de las tareas descritas en los apartados anteriores para facilitar la captura, preservacin y posterior anlisis de las evidencias digitales. Adems, se distinguen por su capacidad para trabajar con distintos sistemas de ficheros: FAT y FAT32, NTFS de Windows, Ext2l3 de Linux, HFS de Macintosh, etctera. De las herramientas de anlisis forense disponibles en el mercado podramos considerar que las ms populares serian: EnCase. Es un producto de Guidance Software utilizado para analizar los medios de comunicacin digitales (por ejemplo, en las investigaciones civiles, penales, las investigaciones de la red, el cumplimiento de datos y descubrimiento electrnico). EnCase incluye herramientas para la adquisicin de datos, recuperacin de archivos, indexacin, bsqueda y anlisis de archivos. The Forensic Toolkit. FTK es un programa informtico forense realizado por AccessData. Analiza una unidad de disco duro en busca de informacin diversa es decir, puede localizar los correos electrnicos eliminados y escanear un disco de cadenas de texto para usarlos como un diccionario contrasea para romper el cifrado. El paquete tambin incluye un programa de imgenes de disco independiente llamado FTK imagen. The Coroner's Toolkit. The Coroner's Toolkit (TCT) es un kit de utilidades desarrolladas por Dan Farmer y Wietse Venema para el anlisis postmortem de un sistema. Este kit fue mostrado por primera vez en una clase de anlisis forense de computadoras en agosto de 1999. Sus caractersticas ms destacadas son entre otras la captura de informacin (grave robber) y la muestra de patrones de acceso de archivos existentes o borrados (dead or alive).