Resultados Reto Forense Episodio III

Resultados Reto Forense Episodio III RedIRIS (España) y UNAM-CERT (México) agradecen y reconocen el esfuerzo a todos los participantes que entregaron sus reportes para el Reto Forense - Episodio III. El propósito fundamental del Reto Forense - Episodio III es contribuir al mayor conocimiento sobre cómputo forense en iberoamérica, por ello, se publican los trabajos que fueron entregados por los participantes para que puedan ser conocidos por la comunidad interesada en esta materia. Lugar Nombre(s) Reporte Ejecutivo Reporte Técnico País 1 Germán Martín Boizas r3_ejecutivo1.pdf r3_tecnico1.pdf España 2 José Antonio Valero r3_ejecutivo2.doc r3_tecnico2.doc España 3 Juan Ángel Hurtado r3_ejecutivo3.pdf r3_tecnico3.pdf México 4 Fernando Gozalo r3_ejecutivo4.pdf r3_tecnico4.pdf España 5 Juan Garrido Caballero r3_ejecutivo5.pdf r3_tecnico5.pdf España 6 José Salvador González r3_ejecutivo6.pdf r3_tecnico6.pdf México 7 Hugo Eduardo Escobedo r3_ejecutivo7.doc r3_tecnico7.doc México 8 Rubén Recabarrén Rossana Ludeña Leandro Leoncini r3_ejecutivo8.doc r3_tecnico8.doc Venezuela

Los reportes para el Reto Forense Episodio III Los organizadores del Reto Forense Episodio III hemos recibido diversas inquietudes de los participantes sobre la elaboración de los reportes. Con el afán de motivar el análisis forense y la elaboración de los reportes para el Reto Forense Episodio III, los organizadores sugerimos la estructura que se muestra abajo para los reportes. Esta estructura no es restrictiva a estos puntos únicamente, si algún participante considera puntos adicionales o bien decide omitir alguno de los puntos propuestos, lo puede hacer. Resumen Ejecutivo (no técnico) Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente: Motivos de la intrusión. Desarrollo de la intrusión Resultados del análisis. Recomendaciones. Informe Técnico Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas. Puntos a cubrir Antecedentes del incidente Recolección de los datos Descripción de la evidencia Entorno del análisis Descripción de las herramientas Análisis de la evidencia Información del sistema analizado Características del SO Aplicaciones Servicios Vulnerabilidades Metodología Descripción de los hallazgos Huellas de la intrusión Herramientas usadas por el atacante Alcance de la intrusión El origen del ataque Análisis de artefactos Cronología de la intrusión Conclusiones Recomendaciones específicas Referencias Es importante recordar que las condiciones de entrega de los reportes están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

Políticas de participación y reportes Para el análisis puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado. En la sección Herramientas para el análisis se listan algunas de las herramientas que pueden usarse para el análisis. Es posible particiar en grupo, en cuyo caso, el premio será compartido. Los resultados deben enviarse en formatos que sean sencillos y rápidos de manejar. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc. Se deben enviar los siguientes archivos: Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente: Motivos de la intrusión. Resultados del análisis. Recomendaciones. Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas. NOTA: En breve se publicarán y se les harán llegar los puntos y formato sugeridos a cubrir en el reporte. Los resultados podrán entregarse hasta las 23:59 hrs (tiempo del centro de México, GMT -6) del día 26 de Marzo de 2006, momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm o el Servicio de Sellado de tiempos de RedIRIS http://www.rediris.es/app/sellado. Los análisis deben enviarse a la dirección reto@seguridad.unam.mx. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional. Los análisis remitidos serán juzgados por un panel de expertos y los ganadores serán elegidos de entre éstos y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ninún tipo). Una vez que los ganadores del reto sean anunciados, todos los análisis entregados serán publicados para que puedan ser revisados por la comunidad de expertos en seguridad informática. Deseamos que la comunidad pueda aprender y entender mejor las distintas técnicas que los investigadores y empresas utilizan. Igualmente, los organizadores del reto publicarán un análisis propio incluyendo información detallada del método de compromiso junto con la publicación de los resultados definitivos.

Avisos El día 6 de febrero de 2006 se ha liberado la imagen para el Reto Forense Episodio III, la cual puede descargarse en dos formas distintas: Imagen completa ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son 062cf5d1ccd000e20cf4c006f2f6cce4 - windows2003.img 33a42d316c060c185f41bfcacf439747 - windows2003.img.gz Para facilitar la descarga, se ha seccionado la imagen en bloques de 512 MB, que luego de descargarse pueden concatenarse para formar la imagen completa comprimida: Archivo Ubicación Firma windows2003.img.gz.a http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.aa ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.a c972863f5584a95f1d5ff350d972b48d windows2003.img.gz.b http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ab ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.b b7a57c513a0ab18914f63cc927d8b4e0 windows2003.img.gz.c http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ac ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.c 42ef380cf64ddfc956dbf6acf63a174c windows2003.img.gz.d http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ad ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.d 4fc8381404fef912ae77f61244128643 windows2003.img.gz.e http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ae ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.e fba13b0f9cddf1a83b4d244c2987811f windows2003.img.gz.f http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.af ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.f 4fa323705ee2064415c2854b8abef502 windows2003.img.gz.g http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ag ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.g 490e34026f2aaf91604b9e84896def16 Escenario A continuación se describe la situación en que operaba el sistema cuya imagen se ha proporcionado para el Reto Forense Episodio III: El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance. El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor. Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse. Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

Convocatoria Reto Forense episodio III [I. Convocatoria] | [II. Participación] | [III. Los premios] | [IV. Coordinadores del proyecto] [V. El jurado] | [ VI. Acerca de los resultados] | [ VII. Calendario de actividades] [ VIII. Ligas relacionadas] I. Convocatoria Las dos principales entidades académicas de seguridad informática de España y México, la UNAM a través de la DGSCA y el UNAM-CERT y la empresa pública Red.es a través del Grupo de Seguridad de RedIRIS, con el apoyo de empresas y organismos de seguridad informática iberoamericanos y mundiales, invita a los responsables de seguridad informática, administradores de redes y sistemas y cualquier persona interesada a participar en el Concurso de Reto Forense episodio III de un sistema de cómputo comprometido. El análisis forense es un área de la seguridad informática que trata de la aplicación de procedimientos y técnicas para determinar los hechos que ocurrieron en un sistema de cómputo en el que se ha alterado el estado de la seguridad del sistema. Ningún sistema de cómputo es 100% seguro y por ello pueden sufrir intrusiones. Cuando esto sucede, es necesario realizar una investigación para determinar qué, cómo, cuándo y desde dónde ocurrió, es decir, hacer un análisis forense. La utilidad de este tipo de análisis es que a partir de los resultados se pueden mejorar las medidas de seguridad en los sistemas o bien deslindar responsabilidades en la intrusión si esto está contemplado en las normas de la organización o los códigos penales o civiles y su acción puede catalogarse como un delito. El objetivo de este Reto Forense episodio III es motivar el desarrollo en el área de cómputo forense en Iberoamérica, proporcionando los elementos necesarios para realizar un análisis y que los resultados sean evaluados por expertos reconocidos en el área. II. Participación A los interesados en participar en el Reto Forense episodio III, se les proporcionarán imágenes de un sistema comprometido. Deberán analizar las imágenes y presentar un reporte respondiendo a preguntas específicas planteadas. Estas preguntas serán similares a las que se plantean en todo análisis forense: ¿El sistema ha sido comprometido? ¿Quién (desde dónde) se realizó el ataque? ¿Cómo se realizó el ataque? ¿Qué hizo el atacante en el sistema comprometido? Los interesados deberán registrarse en el sitio: http://www.seguridad.unam.mx/eventos/reto/registro.dsc A través de sus datos de registro se les hará llegar la información necesaria para el análisis: Fecha de distribución de las imágenes. Fecha de recepción de reportes. Fecha de entrega de resultados. Éste año, la información contenida en la imagen de la máquina atacada no será pública, por lo que se solicita un registro previo de los participantes para tener un control en el acceso a la información. Además, los participantes del Reto Forense episodio III tendrán acceso a una lista interna de correo electrónico para la discusión del reto. El registro estará abierto a partir del día 25 de noviembre de 2005 y hasta el 3 de marzo de 2006 a las 23:59 hrs, tiempo del centro de México (GMT -6). III. Los premios Se premiarán los tres mejores análisis de la siguiente manera: 1er. lugar. Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización). * Paquete de productos UNAM-CERT y Reto Forense Paquete de libros de Seguridad en Windows 2do. lugar. Licencia de Encase Forensic Edition. Consola Xbox Paquete de libros de Seguridad en Windows Paquete de productos UNAM-CERT y Reto Forense 3er. lugar. Curso en línea de SANS. Paquete de libros de Seguridad en Windows Paquete de productos UNAM-CERT y Reto Forense * Válido para España y países de Latinoamérica. Este año, se premiará también a los tres primeros lugares de México, de la siguiente manera: 1er. lugar. Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización). Paquete de productos UNAM-CERT y Reto Forense Paquete de libros de Seguridad en Windows 2do. lugar. Licencia de Encase Forensic Edition. Consola Xbox Paquete de productos UNAM-CERT y Reto Forense Paquete de libros de Seguridad en Windows 3er. lugar. Curso en línea de SANS. Paquete de productos UNAM-CERT y Reto Forense Paquete de libros de Seguridad en Windows IV. Coordinadores del proyecto El proyecto está coordinado por dos integrantes de cada institución: Francisco Jesus Monserrat Coll RedIRIS francisco.monserrat@rediris.es Juan Carlos Guel López DGSCA-UNAM Departamento de Seguridad en Cómputo/UNAM-CERT cguel@seguridad.unam.mx V. El jurado El jurado del Reto Forense episodio III estará compuesto por las siguientes personas: Francisco Monserrat - RedIRIS, España. Jess Garcia - SANS Institute, USA Rubén Aquino Luna - DSC/UNAM-CERT, México. Alejandro Núñez Sandoval - DSC/UNAM-CERT, México. Jacomo Dimmit Boca Piccolini - CAIS, RNP, Brasil. Guillerme Venhere - CAIS, RNP, Brasil. Matias Bevilacqua - Cybex, España. José Luis Rivas López - Universidad de Vigo, España. Gonzalo Sotelo Seguín - Delitos Telemáticos Guardia Civil Pontevedra, España. Jordi Linares - España. Rodolfo Baader - ArCERT, Argentina. VI. Acerca de los resultados Una vez publicados los resultados del Reto Forense episodio III, toda la información presentada por los participantes será hecha pública, para que pueda servir de ayuda en el aprendizaje y formación de los administradores de sistemas, técnicos de seguridad que quieran profundizar en el estudio del análisis forense. VII. Calendario de actividades 25/Nov/2005 6/Febrero/2006 30/Abril/2006. 23:59 hrs (GMT -6) 26/Junio/2006 Septiembre/2006 Anuncio del Reto Forense episodio III ----------------------- Inicio del registro Se proporcionará la o las imágenes para el análisis a los participantes. Fecha límite de entrega de trabajos. Publicación de resultados Premiación dentro del Congreso de Seguridad en Cómputo 2006. VIII. Ligas relacionadas Reto Forense V1.0 - http://www.rediris.es/cert/ped/reto Reto Forense v2.0 - http://www.seguridad.unam.mx/eventos/reto/retov2.dsc Forensic-es.org - http://www.forensic-es.org HIS: Honeynet in Spanish- http://his.sourceforge.net The Honeynet Project - http://project.honeynet.org Linux Security - http://honeynet.linuxsecurity.com

Retos Anteriores Reto Forense Reto Forense v2.0