Tratamento de Incidentes de Segurança
MSc. Eng. Ali Faiez Taha
aftaha@cirp.usp.br Fone: 3602-3622
SCSUPOR - CIRP - USP
USP - Ribeirão Preto, 28 de Novembro de 2007
- CSIRT : Computer Security Incident Response Team - Grupo de Resposta a Incidentes de Segurança
- Necessidades de um CSIRT
- Atribuições do CSIRTs:
Prestar serviços a comunidades bem definidas
- Notificações de incidentes
- Estatísticas dos incidentes reportados
- Suporte técnico
- Funções reativas e pró-ativas
- Tratamento de incidentes
- Internos
- Nacionais
- Centros de Coordenação
- Centros de Análise
- Grupos de empresas fornecedoras
- CSIRT - Computer Security Incident Response Team
- CIRC - Computer Incident Response Capability
- CIRT - Computer Incident Response Team
- IRC - Incident Response Center or Incident Response Capability
-
- IRT - Incident Response Team
- SERT - Security Emergency Response Team
- SIRT - Security Incident Response Team
- Treinamentos de conscientização, detecção de intrusões, "penetration testing", documentação e até desenvolvimento de programas.
- Prevenção de incidentes de segurança e diminuir o tempo de resposta quando um incidente ocorre.
- Notificação do incidente
- Análise do incidente
- Resposta ao incidente
- Gerente ou líder do time
- Gerentes assistentes, supervisores ou líderes de grupos
- Pessoal para triagem de incidentes e atendentes de "hotline" e "help desk"
- Encarregados de tratamento de incidentes
- Encarregados de tratamento de vulnerabilidades
- Pessoal de análise de artefatos
- Especialistas em plataformas operacionais
- Instrutores
- Encarregados de acompanhamento de tecnologia
- Pessoal de apoio
- Redatores técnicos
- Administradores de Redes ou Sistemas, pessoal de infra-estrutura do CSIRT
- Programadores ou desenvolvedores (desenvolver ferramentas)
- Desenvolvedores WEB
- Assessoria de imprensa ou contatos na mídia
- Advogados ou contatos com escritórios de Advocacia
- Contatos com os policiais
- Auditores ou pessoal de garantia de qualidade
- Pessoal de marketing
Falta de profissionais qualificados
- Conhecer sua organização e os sistemas por ela utilizados
- Procedimentos operacionais e políticas padrão
- Políticas de divulgação das informações
- Políticas de uso aceitável da rede e dos equipamentos
- Comunidade a ser atendida
- Missão e Objetivos
- Serviços a serem providos
- Modelo organizacional dedicado
- Relacionamento com o clientes
- Fundos para sua manutenção
- Recursos necessários
- Suporte Administrativo
- Contratação e treinamento do pessoal
- Aquisição de equipamentos e construção de infra-estrutura
- Desenvolver as políticas e procedimentos
- Desenvolver as recomendações para sua comunidade sobre como reportar incidentes e assegurar que eles compreendam e tenham acesso a estas recomendações
- Anunciar o CSIRT para sua comunidade
- Identificar mecanismo para avaliar a eficácia do CSIRT e melhorar os processos conforme necessário
- Grande exposição na Internet
- Órgãos governamentais, Bancos, Empresas Telecom, etc, totalmente conectados
- Internet totalmente ampla, distribuição descentralizada
- Riscos e vulnerabilidades inerentes
- Ataques resultando em : Roubos de identidade, Roubos a bancos, perda de Propriedade Intelectual, Interrupção de serviços, Roubo de informações, extorsão, etc.
- Compromentimento de privilégio de usuários
- Engenharia Social
- Captura de senhas, Cartões de crédito, Contas bancárias
- Exploração de falhas em Software/Hardware
- Ataques "Denial of Service" e Distribuited DoS
- Roubo de identidade
- Fraudes
- IP Spoofing
- Scanning
- Defacement de WEB Site
- Abuso de Anonymous FTP
- Sniffers de Rede
- E-Mail Spoofing e Spamming, phishing
- Códigos maliciosos e muito mais ...
- Automatizados
- Mais sofisticados de que simples roubos de senhas
- Imperceptíveis
- Tempo curto de exploração de novas vulnerabilidades
- Não respeita fronteiras
- Ataques assimétricos
- A infraestrutura é o alvo
- Aumento de envolvimento de criminosos profissionais
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.
ou
O ato de violar uma política de segurança, explícita ou implícita.
- Identificar a fonte do incidente/ataque
- Notificar os incidentes aos responsáveis pela máquina/rede que originou a atividade e também para os CSIRTs envolvidos
- Entrar em contato com o CSIRT através de E-Mails
- Relatar o ocorrido
- Enviar informações suscintas
- Enviar logs, datas, horários e timezone
- Enviar dados completos do incidente ou qualquer outra informação que tenha sido usada para identificar a atividade
- Programas, scripts ou exploits encontrados: Cavalos de tróia, códigos maliciosos,etc.
- Custos do incidente
- Prioridades
- Valor das informações
- Quem tem acesso aos dados do incidente
- Sigilo
- Policiamento dos dados
- Dados que o CSIRT deve possuir, armazenamento, sigilo, banco de dados
- Consultas, disponibilidade, sigilo
- Gerar estatísticas sobre os incidentes
- Criptografia dos dados e Softwares dedicados
Prover habilidades de:
- Suporte aos dados criptografados
- Acesso aos E-Mails envolvidos entre as partes
- Repostas via E-Mails
- Consultas aos dados
- Distribuição dos dados
- Gerar estatísticas
- Acesso às respostas padrão
- Uso de Softwares dedicados para Tracking
- Números de referência
- Informações de contato
- Datas e horários de report, atividade e descoberta do problema
- Descrição do problema: categorias e prioridades, informações técnicas aprofundadas, ações tomadas e impacto causado
- Sistemas afetados: proprietário, criticidade e missão, Softwares e versões de atualizações
- Ações envolvidas
- Grupos contactados
- Custos do incidente e custos de recuperação
- Tempo gasto para solucionar o incidente
Sr(s) Administrador(es),
Recebemos notificações de que IPs de sua rede estão envolvidos nas ocorrências
citadas em anexo. Solicitamos que o caso seja investigado e, se possível,
prontamente solucionado. Caso não seja possível colocar em ação os
procedimentos para solucionar o caso prontamente, sugerimos que a máquina seja
desconectada da rede até que o problema seja resolvido.
Aguardamos retorno, informando as causas e as medidas adotadas para a solução do
problema. Em caso de dúvidas, por favor, entre em contato pelo email
security@dominio.com.br
Dados do Incidente: spam
Incidente nº 23-062006
IP envolvido: XXX.YYY.ZZZ.WWW
Data Limite para a solução do problema 06/07/2006
----------------------// Informativo: //---------------------------
Sugerimos que os Sistemas Operacionais, Antivirus e Firewall sejam
atualizados, bem como orientar os usuários evitando contratempos
semelhantes e até uma possível indisponibilidade do IP em questão.
--------------------------------------------------------------------
Atenciosamente,
--
Fulano de Tal
Computer Security Incident Response Team - CSIRT
Companhia Virtual
Empresa do grupo Virtual
Tel.: +55 11 1234 4321
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (MingW32)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFCSbLZIgDQcUUdCr4RAnDjAJ0bH+T4wzi++SCfgO390wMafYykVQCePWwm
ooktbmj+3DzzeHH0v3eQtVA=
=Kb9d
-----END PGP SIGNATURE-----
----- Mensagem encaminhada de scomp@aol.net -----
Data: Wed, 28 Jun 2006 23:11:59 EDT
De: scomp@aol.net
Responder para: scomp@aol.net
Assunto: Client TOS Notification
Para: undisclosed_recipients@aol.com
----- Finalizar mensagem encaminhada -----
Return-Path:
Received: from rly-xn06.mx.aol.com (rly-xn06.mail.aol.com [172.20.83.119]) by
air-xn01.mail.aol.com (v109.13) with ESMTP id MAILINXN11-75844a05954286; Mon,
26 Jun 2006 18:02:41 -0400
Received: from maquina.dominio.com.br (maquina.dominio.com.br [XXX.YYY.ZZZ.WWW]) by
rly-xn06.mx.aol.com (v109.13) with ESMTP id MAILRELAYINXN66-75844a05954286;
Mon, 26 Jun 2006 18:02:00 -0400
Received: from mail.torchmail.com (unknown [XXX.YYY.ZZZ.WWW])
by dominio.com.br (Postfix) with ESMTP id 4EAB8E0EA4;
Mon, 26 Jun 2006 19:01:41 +0000 (UTC)
Received: from 67.74.66.15
by 189.131.191.122.ugeek.com (Postfix) with SMTP id 00562
From: "Elizabeth Weber"
To:
Subject: clark cotman
Date: Tue, 27 Jun 2006 07:04:13 -0800
Message-ID: <018e01c699f1$269cdbe0$33d9cbb1@NWABK>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_018B_01C699B6.7A3E03E0"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
Importance: Normal
X-Antivirus: avast! (VPS 0626-0, 26/06/2006), Outbound message
X-Antivirus-Status: Clean
X-AOL-IP: XXX.YYY.ZZZ.WWW
------=_NextPart_000_018B_01C699B6.7A3E03E0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<html>
<body>
<IMG alt=3D"" hspace=3D0 src=3D"cid:4uZJbX1sGWhqpl9TwSq62BYpIMfQSS" align=
=3Dbaseline border=3D0>
</body>
</html>
------=_NextPart_000_018B_01C699B6.7A3E03E0
Content-Type: text/html;;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<html>
<body>
<IMG alt=3D"" hspace=3D0 src=3D"cid:4uZJbX1sGWhqpl9TwSq62BYpIMfQSS" align=
=3Dbaseline border=3D0>
</body>
</html>
------=_NextPart_000_018B_01C699B6.7A3E03E0
Content-Type: image/gif;
Content-Transfer-Encoding: base64
Content-ID: <4uZJbX1sGWhqpl9TwSq62BYpIMfQSS>
R0lGODlh0AG6AeYAAAAAALz+yrGvFglokAAAdL90AHS/33QAAPO2bpx0AP//AEgAdEgAAPXy
BHRIADqM2N+cSP///3SMmABInJnM3wAASHS/v9+/vwlRekhInFNre0gASAdKcszMzG5xdZxI
SHQASL90SNXztnympt+cdGZmZkJCCff39/PVlDBrkQBISHSc3///39/fnJm0nN///9+/dHQA
....
- Atribuição de acordo com especialização em diversas áreas
- Determinar e analisar padrões
- Relacionamento entre incidentes
- Distribuição e balanceamento de carga de incidentes
- Treinamento de novos funcionários
- Melhorar a dinâmica de respostas
- Ferramentas de automatização
- Incidentes (tentativas de conexão em servidores)
- Vulnerabilidades (busca e exploração de falhas em softwares instalados)
- Ocorrência de Vírus
- Solicitação de informações
- Arquivos de log, ferramentas encontradas, arquivos e outros artefatos
- Problemas encontrados, pessoas afetadas, abrangência do incidente, seriedade do incidente
- Funcionamento da rede, tráfego, conexões, relação de confiança, portas e serviços envolvidos
- Hosts e Redes envolvidos
- Sistemas afetados
- Como se recuperar do incidente, que ferramentas / Softwares utilizar, etc
- Trabalho em conjunto com outros CSIRTs
- Anomalias dos serviços e tráfego de rede
- Checagem dos logs
- Importância dos dados
- Confidencialidade dos dados
- Dados relevantes
- E-Mails relevantes
- Unix: syslog, wtmp, xferlog, auth.log, messages, secure, maillog, etc
- Windows: EventViewer
- Rede: Roteadores, firewalls, IDS
- Logs de Softwares diversos
- Centralização de logs
- Consistência dos logs
- Integridade dos arquivos
- Timezone, timestamps e identificação das origens
- Portas e IPs fonte e destino
- Veracidade dos dados
- Diversidade de formatos
- www.loganalysis.org
Arquivos texto
- Editores: Emacs, VI, Notepad, etc
- Comandos Unix: cat, more, less, ...
Arquivos binários/executáveis
- Unix: file ou gfile
- Comandos para busca de caracteres ocultos
- Windows: detalhes e tipos de arquivos
- Debuggers (gdb)
Arquivos compactados
- Unix: uncompress, zip, gzip, tar, gtar, etc
- Windows: Winzip, RAR, etc
- Uso de ferramentas baseadas em Perl, Shell Scripts, comandos Unix (sort, awk e grep)
- Verificação de toolkits, saída de Sniffers, scripts de exploração de serviços
- Testes isolados
- Adulterações em Softwares, mudanças de registros, usuários novos, diretórios novos, novos processos e módulos de Kernel
- Arquivos de log
- Contas de usuários e grupos
- Membros em grupos incorretos
- Direitos de uso adulterados
- Inicialização não autorizadas de aplicações
- Checagem dos arquivos binários
- Checagem das configurações e atividades de rede
- Compartilhamentos não autorizados
- Exame de serviços em execução
- Processos não autorizados
- Arquivos escondidos
- Alteração de permissões e chaves de registro
- Mudanças nos policiamentos de usuários e S.O.
- Sistema movido para diferentes grupos ou domínios
- Verificação de todas as máquinas da Rede local
- Revisão dos alertas conhecidos e novos
- Arquivos de log
- Arquivos com setuid e setgid
- Sistema de arquivos binários
- Pacotes de Sniffers
- Atividades baseadas em cron e at
- Serviços não autorizados
- Verificação de arquivos de senhas
- Checagem das configurações e atividades de rede
- Busca por arquivos desconhecidos ou escondidos
- Verificação de todas as máquinas da Rede local
- Revisão dos alertas conhecidos e novos
Windows
- plist : lista de processos em execução
- fport : lista processos com socket
- netstat : lista de portas ou sockets abertos
- nbstat : lista de conexões ativas
Unix
- ps : lista de processos em execução
- lsof : lista processos com socket e arquivos sendo utilizados por cada processo
- netstat : lista de portas ou sockets abertos
- sockstat : lista de sockets em uso
- Procurar por domínios de Rede e seus responsáveis
-
- Ferramentas de consulta de DNS: host, dig e nslookup
- Contatos de responsáveis pela Rede
- Contatos dos CSIRTs
- Registros SOA do DNS e ferramenta WHOIS
- WHOIS: Contém informações de Domínios ou faixa de IPs registrados
- Alguns servidores de Whois: whois.fapesp.br, whois.nic.br
- Utilização: whois -h whois.nic.br usp.br
- Mostra os contatos responsáveis pelo domínio USP.BR, ID de Autonomous System, Servidores DNS e outros dados
- Diversos servidores WHOIS Disponíveis para todas os continentes e países
-
- Interface WEB: www.allwhois.com
- Ferramenta jwhois
- Utilizada para traçar o caminho até determinado IP ou site
- Envia pacotes UDP (Unix) ou ICMP echo (Windows) para traçar a rota
- Use somente se o registro SOA não ajudar ou o contato do domínio não for localizado
- Consultas deixam registros em logs
- Pode ser usado para fazer testes na rede destino
- Necessidades de automatização
- Customização envolvendo: informações extraídas de logs, informações coletadas e envio de e-mails
Ferramentas para desenvolvimento
- Comprehensive Perl Archive Network (CPAN) - www.cpan.org
- Net-Xwhois
Ações a serem tomadas:
Análise do evento:
- Análise do incidente
- Análise das vulnerabilidades
- Análise de artefato
- Análise Forense
- Análise de impacto comercial
- Análise de riscos
Planejamento da estratégia de resposta
- Determinar os passos a seguir
- Identificar quem está envolvido na resposta e a equipe
Coordenação e esforços e responder aos incidentes
- Erradicar as atividades maliciosas
- Disseminar alertas
- Mudar a infra-estrutura
- Comunicar os contatos externos
- Encerrar a resposta
- Avaliar as ferramentas de acordo com as necessidades
Port Scanners:
- NMAP: Varredura de portas e mapeamento de redes, identificação de S.O.
- Monitoração de conexões com TCPDUMP, ARGUS e WinDUMP
- Nessus: Cliente s Servidor, scan de rede e auditoria
- SARA (Security Auditor's Research Assistant):Scan de vulnerabilidades e segurança
- SAINT (Security Administrator's Integrated Network Tool): Identifica os serviços de rede e as potenciais vulnerabilidades de segurança
Detecção de Intrusão (IDS)
- Monitora e coleta informações da rede
- Componentes: Sensores e analizadores
- Tipos de IDS: Baseados em assinatura, em anomalias, em hosts e em redes
Prevenção de intrusão (IPS)
- Controle de acesso atravé de policiamento e regras para tráfego de rede
- Bloqueio de ataques ativos
- Alerta de ataques e intrusão
- Baseados em Hosts (HIPS) e Redes (NIPS)
Controle de tráfego de entrada/saída baseado em:
- IPs e domínios
- cabeçalhos de e-mails, assuntos ou conteúdo
- Protoclos, serviços e portas
Pode ser posicionado entre:
- Seu domínio e todo acesso externo
- Domínios adminstrativos
- Redes onde as bordas precisam ser controladas
Não protege aplicações
- Checagem de senhas: CRACK (Unix), LCE5 e Cain and Able (Windows)
- OpenSSH: Conexão segura e criptografada com servidores
- Kerberos: Serviço de autenticação de rede centralizado
- Secure Socket Layer (SSL) e Tranport Layer Security (TLS)
- MD5 : Checksum criptográfico de arquivos
- SHA : Secure Hash Algorithms. Algoritmos: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512
- Integridade de arquivos: Tripwire, Advance Intrusion Detection Environment (AIDE)
- lsof : Lista os arquivos abertos por processos em uso no Unix
- Anti-Virus e Anti-Spyware
- CERT.BR - Tools