Comparo las malas prácticas de manejo de crisis mediática/reputacionales, y cómo el network forensics puede revertir a favor de crisis mediáticas/reputacionales bien manejadas. Narro una experiencia real, que sustenta lo anterior, aunque bastante breve, pero 100% de primera mano.
A Case Saved by Network Forensics: Charla "el día no deseado"
1. III Simposio Internacional de Redes y Comunicaciones de Datos
El Día No Deseado
Javier Romero
JaCkSecurity
2. • Es inevitable
• Es telemático
• Es Bembos!
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
El día no deseado
2
3. • Gestión de continuidad de negocios nos dice:
– Planifica la gestión de crisis
•
•
•
•
Fase 1: Gestiona los medios / riesgo
Fase 2: Gestiona los medios
Fase 3: Retirada
Fase 4: Revisa
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Lecciones aprendidas
3
4. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Meta
4
5. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
¿Cómo atraer al enjambre?
5
6. –
–
–
–
–
–
–
Poca información
Disfraza con un halo aseverativo
Un mensaje muchas interpretaciones
No ofrezcas ni un ápice de lo técnico
No seas profundo para nada
No respaldes la denuncia, si puedes niégala
Se muy lento, eterniza tu respuesta
• Quizás nadie se entere
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Activando el enjambre
6
7. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Punto.pe
7
8. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Punto.pe
8
9. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Punto.pe
9
10. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Punto.pe
10
11. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Punto.pe
11
12. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Una semana después del 1er. comunicado
12
13. – Responder rápido (si vas a ofrecer investigar, cumple!)
– Ser sincero
• Ofrecer disculpas (si eres culpable)
– Si/no lo eres, ofrece el mayor detalle técnico posible
• Ofrece herramientas de control a los medios
• Que ellos saquen el minuto a minuto de ti, y pronto
• Se aburrirán, y el enjambre se disolverá
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Lección aprendida
13
14. • La compañía de gestión de medios
• Los abogados necesitan información
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Ellos necesitan la miel del panal
14
15. III Simposio Internacional de Redes y Comunicaciones de Datos
• En la red: La red está en todos lados
17:29:28.483854 IP 192.168.1.201
1, length 17
0x0000: 4500 0025 0000
0x0010: c80e f10b 0800
0x0020: 4367 3d3d 0a
17:29:43.504762 IP 192.168.1.201
1, length 21
0x0000: 4500 0029 0000
0x0010: c80e f10b 0800
0x0020: 6447 3979 4367
17:29:58.525749 IP 192.168.1.201
1, length 17
0x0000: 4500 0025 0000
0x0010: c80e f10b 0800
0x0020: 5951 6f3d 0a
> x.y.z.1: ICMP echo request, id 2802, seq
4000 4001 bf4c c0a8 01c9
b1ad 0af2 0001 5a47 5673
E..%..@.@..L....
............ZGVs
Cg==. del
> x.y.z.1: ICMP echo request, id 2820, seq
4000 4001 bf48 c0a8 01c9 E..)..@.@..H....
0af9 0b04 0001 6332 566a ............c2Vj
3d3d 0a
dG9yCg==. sector
> x.y.z.1: ICMP echo request, id 2838, seq
4000 4001 bf4c c0a8 01c9
709b 0b16 0001 6347 4677
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
JaCkSecurity
Dónde está mi panal
E..%..@.@..L....
......p.....cGFw
YQo=. papa
15
16. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Demanda: Cache poisoning (12 años atrás)
16
17. III Simposio Internacional de Redes y Comunicaciones de Datos
Gerencia legal
Gerencia TI
¿Porcentaje de confiabilidad?
Proveedor del
servidor
III Simposio de Comunicaciones y Redes de Datos
JaCkSecurity
La pichanguita de TI
Testimonios
Helpdesk
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
17
18. • Por el desempate
Hackeados
Vs.
Invictos
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Abogados necesitaban estar 100% seguros
18
19. • Previsión = Captura
– En caso de emergencia
• Forense = Inicie análisis
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Pre “visión” forense de la red
19
20. • Cada caso es un reto (no es un doble-clic)
A
querty
paquetes
ñlkjh
B
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Romper el vidrio ¿así de fácil?
Poder
forense
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
20
21. • Complejidad
– Protocolos
• Una red 15 protocolos vs. 2 sistemas de archivos
– Decodificadores
• Varían según RFC, año liberación, singularidades del
fabricante.
• Más retador
– Ciencia forense es un trabajo “artesanal”
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Forense de red vs. sistema archivos
21
22. • El Sistema capturaba
– 68 bytes
• Una consulta promedio puede tomar
– 300bytes (google, facebook)
• ¿Un doble clic con 68 bytes?
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
¿Cuál fue el reto?
22
23. • www.erdp.com
– 200.48.33.214
• www.porki.com
– 181.44.6.189
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Lo que debió pasar vs. lo que dicen que pasó
Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para
fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página
pornográfica porki.com), no son los involucrados en el caso. Aunque están a
la venta.
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
23
24. -14 bytes ethernet-header
-20 bytes ip-header
-08 bytes udp-header
-12 bytes dns-header
54
34
26
14
¿puedo escribir www.erdp.com y su IP con 14 bytes?
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Matemáticas
24
25. 19:54:16.603234 IP 207.31.248.3.62826
0x0000: 4500 003a 0000 4000
0x0010: cf00 0804 f56a 0035
0x0020: 0001 0000 0000 0000
0x0030: 7003 636f 6d00
> 207.0.8.4.53: 61386+[|domain]
4011 9c8b cf1f f803 E..:..@.@.......
0026 48e1 efca 0100 .....j.5.&H.....
0377 7777 0465 7264 .........www.erd
p.com.
19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46)
0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............
0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6......
0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00
p.com.
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Veamos
25
26. III Simposio Internacional de Redes y Comunicaciones de Datos
19:54:37.129729 IP 207.31.248.3.59399
www.erdp.com. (30)
0x0000: 4500 003a 0000 4000
0x0010: cf00 0804 e807 0035
0x0020: 0001 0000 0000 0000
0x0030: 7003 636f 6d00 0001
> 207.0.8.4.53: 28196+ A?
4011 9c8b cf1f f803
0026 d7ea 6e24 0100
0377 7777 0465 7264
0001
E..:..@.@.......
.......5.&..n$..
.........www.erd
p.com.....
19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A
200.48.33.214 (46)
0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............
0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$..
0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd
0x0030: 7003 636f 6d00 0001 0001 c00c 0001 0001 p.com...........
0x0040: 0000 0e10 0004 c830 21d6
.......0!.
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
JaCkSecurity
Con toda la captura completa
26
27. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Historia dentro de la historia
27
28. Pckt#3
Pckt#2
Data
Check
sum
Data
Check
sum
Data
Check
sum
• Integridad en secuencia de datos (transmitidos)
Pckt#1
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Checksums
28
29. III Simposio de Comunicaciones y Redes de Datos
0000 0000 0000 0000 0000
JaCkSecurity
III Simposio Internacional de Redes y Comunicaciones de Datos
10011100 0011 1111
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
29
30. • IP
– Asegura que data permaneció intacta en el viaje
– Destino descarta paquete si checksum incorrecto
– A nivel de routers
• Se verifica en cada salto (router)
• Se recalcula de nuevo con el TTL nuevo
• UDP
– Aún mejor
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Checksum IP / UDP
30
31. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
JaCkSecurity
III Simposio Internacional de Redes y Comunicaciones de Datos
31
32. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
JaCkSecurity
III Simposio Internacional de Redes y Comunicaciones de Datos
32
33. 0
8
16
31
Dirección IP fuente (32-bit)
Pseudo
Dirección IP destino (32-bit)
Cabecera
UDP
Cabecera
UDP
Data
UDP
cero
protocol (8-bit)
Puerto origen (16-bit)
Longitud UDP (16-bit)
Puerto destino (16-bit)
Longitud UDP (16-bit)
Checksum (16-bit)
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
UDP Checksum
datos
Byte de relleno
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
33
34. • Reproducir consultas, analizar respuestas, comparar checksums
– Pero empleando la “evidencia inicial”
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
CSI, reconstrucción de los hechos
34
35. • Para descartar si el testimonio del acusado o del
acusador fue real
– Se extrajeron los paquetes cuyas consultas fueron
relacionadas al dominio en cuestión
– Se reconstruyeron los hechos (similar a serie CSI
Miami) con las consultas extraídas
• Con paquete “fabricados artesanalmente”, siguiendo los
campos únicos de la hora e instante del incidente.
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Trabajo forense
35
36. • Aquí algunos de los campos únicos del caso:
• IP
–
–
–
–
–
–
–
–
Longitud Cabecera IP
Longitud total del paquete
IP ID
IP Flags
Fragment Offset
TTL
Checksum IP
IP origen
• A nivel UDP
– Puerto origen
– Longitud UDP
– Checksum UDP
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Campos únicos
• DNS
– Query Identification
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
36
37. • La más sólida información posible
– No teorías, no conjeturas, no entredichos
• Certeza, para una certera defensa
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
La información es poder (caso resuelto)
37
38. • En el día no deseado
–
–
–
–
Necesita “habilitar” el poder forense de la red
Si callas, empeoras las cosas
Si te informas mal, empeoras las cosas
Si les documentas lo ocurrido con ciencia (lección
aprendida)
• con disculpa bastará, y tu team de seguridad quedará bien
parado
• Ciencia forense de la red
– Los protocolos tiene mucho que enseñar
– Cada caso es un reto
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Hemos aprendido
• No plug-ins
• Prepararlo requiere apoyo
– Legal / técnico
• No se aventure a hacerlo sin asesoría de JACKSECURITY
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
38
39. •
•
•
•
•
•
•
•
•
•
•
¿Cómo se compone una solución para el día no deseado?
¿Dónde consigo el rr.hh.?
¿Cuál es la dosis adecuada de captura?
¿Cuánto cuesta la solución?
¿Qué es primero, EH o Forense Red?
¿Son los logs útiles?
¿Qué más podría capturar/colectar?
¿Dónde, cómo habilito el poder forense en mi red?
¿Qué requisitos debo tener?
¿Qué poder legal tiene en la cadena de custodia?
Nota: IMPORTANTE
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Algunas FAQ de la solución propuesta
– No se aventure a hacerlo sin asesoría de JACKSECURITY
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
39
40. • Especialistas respondiendo incidentes,
2006
• Hermanados goblamente
– Con miembros de FIRST
• Creamos
– Tecnología propia
– Colectores de varios TiB
– Capturadores remotos e inalámbricos
• Practicamos el reciclaje, de nuestro KB
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
JACKSECURITY
– Pentest
– Consultoría
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
40
41. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc.
III Simposio de Comunicaciones y Redes de Datos
III Simposio Internacional de Redes y Comunicaciones de Datos
JaCkSecurity
Contáctenos para visita técnica / comercial
41