Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

14 febrero 2016

TM-Score complementa un DLP



Hoy, un post muy breve para introducir un concepto nuevo. 

Muchos conoceréis los sistemas DLP (Data Loss Prevention), que se centran en los datos y en impedir el acceso a información sensible por parte de personas no autorizadas. Sin embargo, estos sistemas no toman en cuenta el peligro que supone el acceso a los datos por parte de usuarios autorizados y el mal uso que hagan de ellos; por ejemplo, revelando información confidencial intencionada o inintencionadamente. 

Por esto, es interesante este paper en el que se propone definir una medida del mal uso potencial de un documento, llamada TM-Score, que sirva para estimar el daño que podría causar a una organización el que un usuario esté constantemente accediendo a documentos autorizados.Esta solución se propone como un complemento a los DLP y los sistemas de control de acceso, no como una alternativa a ellos. 

Con este sistema, hay que calcular el TM-Score individual de cada documento y TM-Score acumulado de cada usuario. Eso se hace de la siguiente manera: a cada documento se le asigna un TM-Score individual, en función de la cantidad de información que contiene y de la sensibilidad de ésta. A su vez, el TM-Score de cada usuario se va acumulando cada vez que éste accede a información nueva de un documento y se calcula en función de la cantidad, el tipo y la calidad de la información a la que el usuario tiene acceso mediante ese documento. Y para calcular que parte de la información del documento resulta nueva para el usuario, el paper propone dos métodos: fingerprinting y similaridad del coseno. 


Esta propuesta es de finales del 2014 (poco más de un año). ¿Conocéis algún sistema que la implemente?

07 febrero 2016

Gestión de Incidentes: adquisición de evidencias forenses (y II)



En una entrada anterior estuvimos comentando lo útil que podía ser la ISO 27037 para la adquisición de evidencias forenses.

Otra guía muy interesante es la del NIST: Guidelines on Mobile Device Forensics , que da pautas para la recuperación de evidencias forenses en los dispositivos móviles. Por ejemplo, resalta la necesidad de aislar el terminal en cuanto se tenga acceso a él; lo cual es necesario para evitar que se alteren o destruyan las evidencias. Por lo tanto, si el teléfono está conectado a un ordenador, debe quitarse el cable para evitar la transferencia de datos.

La alteración de evidencias podría suceder incluso en remoto, pues en algunos dispositivos es posible hacer un reset de fábrica, un borrado o un bloqueo del terminal, simplemente enviando un mensaje.  Además, las llamadas o los datos entrantes estarían contaminando las pruebas. Incluso si no hay evidencia de que esto haya sucedido, el simple hecho de que se tenga constancia de la existencia de vulnerabilidades asociadas al dispositivo, que pudieran ser explotadas para contaminar las evidencias, podría poner en evidencia la valided de las mismas. Por otra parte, existe también el riesgo de que, si el teléfono está infectado con malware, éste se propague por la red a la que se conecte el teléfono. Y aún más grave sería la posibilidad de que se trate de un teléfono bomba que pueda ser detonado en remoto.

Así pues, hay que aislar el terminal de cualquier tipo de red inalámbrica; lo que puede hacerse de alguna de las siguientes maneras:
- Poniéndolo en modo avión.
- Apagándolo. Pero esto tiene el riesgo de que luego, al encenderlo, nos pida el pin y no podamos acceder a él para obtener las evidencias. Por ello, siempre es mejor dejarlo encendido y conectarlo a la corriente para que no se agote la batería.
- Guardándolo en una caja de Faraday.
- Sustituyendo la SIM por una CNIC (Cellular Network Isolation Card): esto permite que el teléfono siga encendido pero que no tenga conexión con la red de telefonía.
- Pidiéndole a la compañía telefónica que lo saque de la red o haciéndo nosotros mismos un jamming/spoofing del dispositivo (emitir una señal más fuerte que la de la torre que envíe un 
no-carrier<"> al teléfono). Por supuesto, hay que tener en cuenta las implicaciones legales que estos dos métodos pueden tener. Normalmente son las Fuerzas y Cuerpos de Seguridad del Estado (u otros organismos estatales) los que podrán hacer eso, previa autorización judicial.

Otra buena guía es el manual de buenas prácticas de la ACPO (Association Of Chief Police Officers): Good Practice Guide for Computer-Based Electronic Evidence.

Por ejemplo, explica que de un ordenador en funcionamiento se pueden extraer detalles de la conexión a la red y datos de la memoria volatil. Es decir: procesos y servicios en ejecución, información del sistema, información de autoarranque, información del registro, puertos abiertos, puertos cerrados y puertos en escucha, ARP caché, aplicaciones desencriptadas, usuarios y contraseñas y código residente en memoria, entre otras cosas.

Esta información es importante porque permite comprender mejor qué estaba sucediendo en el ordenador en un momento determinado y complementa a la que se pueda extraer del disco. Por ejemplo, una de las cosas que se pueden investigar con los datos de la memoria volatil es la presencia de una puerta trasera abierta por un troyano.

Para recuperar la memoria volatil se puede utilizar un live-USB con las herramientas forenses adecuadas. Los pasos a seguir son:

- Conectar el USB.
- Ejecutar el script con las herramientas.
- Expulsar el USB.
- Desconectarlo.
- Ahora el sistema ya se puede apagar y el USB donde se ha guardado la información se conecta al equipo forense para analizarla, por ejemplo con Volatility.


No siempre es necesario acudir físicamente con las herramientas forenses al puesto a analizar. También se puede obtener información «al vuelo» desde la red a la que el equipo está conectado si está instalado un agente de software forense. 

Otros dispositivos que también se pueden utilizar para obtener información de la conexión de red del dispositivo que se está analizando son los routers y firewalls (cortafuegos). Y puede consultarse desde consola.

Espero que os hayan gustado estas entradas como una pequeña introducción a la gestión de incidentes y adquisición de evidencias.


Por cierto, si queréis saber más sobre la adquisición de evidencias volátilies (a parte del volcado de la RAM), no dejéis de consultar este post de los chicos de Security at Work. Hay cosas muy interesantes.


04 febrero 2016

Gestión de Incidentes: adquisición de evidencias forenses (I)


Cuando comentabamos el ciclo de vida de la gestión de incidentes, dijimos que, tras la detección y el triaje, venían las fases de contención y análisis

Cuando estamos tratando de contener los efectos de un incidente, no debemos olvidar lo importante que es preservar las evidencias para poder hacer un análisis que nos permita analizar qué ha sucedido exactamente. De otro modo, podríamos estar cerrando en falso el incidente, si no sabemos exactamente qué daño nos han hecho (o nos pueden hacer en el futuro) y nos limitamos a restaurar equipos y datos.

En este sentido, la ISO 27037 es muy útil porque provee una guía para la identificación, recuperación, adquisición y conservación de las evidencias digitales. 
Una de las cosas que define esta guía es el papel que desempeñan los DEFR y los DES. El DEFR (Digital Evidence First Responder) es el encargado de dar una respuesta temprana ante un incidente, llevando a cabo la recolección, adquisición y custodia de evidencias digitales. Tiene que tener una serie de habilidades y competencias básicas (definidas en el Anexo A) que le permitan realizar dichas tareas con la debida autoridad. Bajo ciertas circunstancias, algunas de estas tareas pueden ser realiazadas por un DES (Digital Evidence Specialist), especialista en la recogida de evidencias digitales que tiene unos conocimientos técnicos, aunque no cuenta con la misma autoridad y cualificación que el DEFR.


Algunas partes especialmente interesantes de esta guía son el punto 5.4.4. Acquisition, el punto 6 Key components of identification, collection, acquisition and preservation of digital evidence y el punto 7.1.2 Collection. Del punto 6, cabe resaltar sobre todo el apartado 8 (Prioritzing collection and acquisition) donde se hace una distinción entre las evidencias volátiles (que pueden desaparecer) y las no volátiles (que permanecen).




Otras guías muy útiles para la recuperación de evidencias forenses son Guidelines on Mobile Forensics, del NIST, y Good Practice Guide for Computer-Based Electronic Evidence, de la Association of Chief Police Officers (ACPO). Pero éstas ya las explicaremos otro día.