Un ejemplo de como realizar un informe ejecutivo de informática forense...
Reto Forense Episodio III
Informe Ejecutivo
Ruben Recabarren Rossana Ludeña Leandro Leoncini
[email protected] [email protected] [email protected] Caracas - Venezuela
Sinopsis El presente informe contiene los resultados obtenidos del análisis del Reto Forense III !""#. El escenario se plantea de la si$uiente forma% El administrador de sistemas de una pe&ueña empresa 'a notado &ue e(iste una cuenta &ue )l no cre* en su sistema de ER+ por lo &ue sospec'a de al$,n in$reso no autorizado del &ue desconoce el alcance. En el seridor donde se eecutaba la aplicaci*n ten/a instalado el sistema operatio 0indo1s !""2 cuya principal funci*n era proporcionar acceso al sistema ER+ a tra)s de la 0eb. 3ace poco tiempo &ue 'ab/an mi$rado al uso de este seridor. 4e$,n el administrador trataba de mantener el sistema actualizado por lo &ue no sabe c*mo pudieron in$resar a su sistema. 4in embar$o tambi)n mencion* &ue más de una persona tiene acceso a cuentas priile$iadas en el sistema y acept* &ue ocupaban a eces estas cuentas para labores no s*lo administratias sino tambi)n personales o para aplicaciones &ue no re&uer/an nin$,n tipo de priile$io para eecutarse. El desaf/o nos pide determinar si e(isti* un in$reso no autorizado c*mo ocurri* y el alcance del daño al sistema y a la informaci*n contenida en )l.
Resultado del análisis Los resultados de este análisis proeen suficiente eidencia para sospec'ar &ue en efecto ocurri* un incidente de se$uridad. E(iste suficiente eidencia para sospec'ar &ue una persona no autorizada in$res* al sistema ER+ con las credenciales del usuario 5lberto Contreras 6acar/as 7userid acontreras8. Estas credenciales tienen el más alto priile$io en el sistema ER+ por lo &ue el impacto de este incidente es de mayor $rado. El acceso ile$al proiene de la ciudad 9ron( de :e1 ;ordesperdiciadas? por el atacante al proceder de una manera tan descuidada y ruidosa &ue conduera a su detecci*n. Esto ayuda a reforzar a,n mas la tesis de &ue este fue un >incidente casual? &ue no estaba necesariamente destinado a poner en peli$ro la empresa o a sacar al$,n proec'o particular de ella.
3
Desarrollo de la Intrusión El desarrollo se produce durante el d/a de febrero 7'oras y fec'as sacadas directamente de las bitácoras del sistema penetrado8 mediante los si$uientes eentos% •
7:03:46 El
•
•
•
•
•
•
•
•
•
usuario acontreras inicia una cone(i*n al sistema
ER+. Esta cone(i*n se realiza desde una localidad remota a la empresa y adicionalmente se 'ace con una cone(i*n no ase$urada con cripto$raf/a fuerte. En este momento o en al$,n otro momento anterior a la mi$raci*n del sistema el lo$in y pass1ord de esta cuenta es interceptada por el intruso. 10:41:15 el usuario acontreras inicia otra sesi*n en el sistema ER+ y trabaa normalmente. Esta ez la sesi*n es iniciada desde la red local de la empresa. 13:57:51 el atacante utiliza las credenciales de acontreras para iniciar una sesion. Esta cone(i*n parece proenir de una ma&uina localizada en la ciudad del 9ron( =45. En esta cone(i*n el atacante isita la pá$ina de usuarios de la aplicaci*n ER+ &ue tambi)n proee una interfaz para crear nueos usuarios. 13:59:44 el atacante crea una nuea cuenta con userid admin y le otor$a los má(imos priile$ios de acceso. Aespu)s de esta transacci*n el atacante decide no realizar nin$una otra acci*n. 5 los pocos minutos la nuea cuenta es notada por los administradores y se 'ace una ,ltima cone(i*n al sistema ER+ desde el mismo seridor. 14:19:37 4e erifica efectiamente en el seridor la creaci*n de una nuea cuenta con priile$ios del $rupo de administradores y se procede a llear a cabo los procedimientos pertinentes en caso de un incidente de se$uridad informática.
Recomendaciones
Bomando en cuenta los 'allaz$os de esta inesti$aci*n se proponen las si$uientes recomendaciones cuyo obetio es meorar la postura de se$uridad del sistema ER+ comprometido%
4
Forzar a un cambio de todas las credenciales de los usuarios &ue 'ayan sido usadas desde el e(terior de la red local de la empresa. Esto con la finalidad de preenir &ue otras credenciales comprometidas puedan ser puerta de entrada para otras intrusiones. Forzar a &ue al menos las cone(iones de autenticaci*n al sistema sean a tra)s de un canal se$uro. Esto se puede lo$rar con cual&uier protocolo de encriptamiento pero es particularmente adecuado utilizar 44L &ue se adapta muy bien al seridor 1eb &ue actualmente utiliza el seridor. Realizar una pol/tica de auditoria de contraseñas para detectar palabras claes d)biles o ine(istentes. Idealmente se recomienda realizar >crac
