• Author / Uploaded
• Carlos Omar Rangel Galviz

• Categories
• Archivo de computadora
• Internet
• Informática
• Tecnología
• Informática y tecnología de la información

Citation preview

Red Grupo de Trabajo D. Brezinski Petición de Comentarios: En 3227-Q-Tel BCP: 55 T. Killalea Categoría: Mejores Prácticas actuales neart.org Febrero 2002 Directrices para la colección de archivo y Prueba Condición de este Memo Este documento especifica un Internet Mejores Prácticas Actuales de la Comunidad Internet, y solicita debate y sugerencias para Mejoras. La distribución de este memo es ilimitada. Aviso de Copyright Copyright (C) The Internet Society (2002). Todos los derechos reservados. Resumen Un "incidente de seguridad", tal como se definen en el "Glosario de seguridad de Internet", RFC 2828, es un sistema de seguridad pertinentes en caso de que el sistema La política de seguridad es desobedecido o no violada. El propósito de Este documento es proporcionar a los administradores de sistemas con directrices sobre La recopilación y archivo de las pruebas pertinentes a dicha seguridad Incidente. Si la recopilación de pruebas se realiza correctamente, es mucho más útil en Aprehender al atacante, y está mucho más posibilidades de ser Admisible en el caso de un proceso judicial. Tabla de contenidos 1 Introducción ................................................ .... 2 1,1 Convenciones utilizadas en este documento ........................... 2 2 Principios Rectores durante Prueba Colección ................... 3 2,1 Orden de Volatilidad ......................................... 4 2,2 Cosas de evitar ............................................. 4 2,3 privacidad ...................................... 5 2,4 legales ........................................ 5 3 La Colección Procedimiento ........................................ 6 3,1 Transparencia ................................................ 6 3,2 Colección Pasos ............................................ 6 4 El procedimiento de archivo de ......................................... 7 4,1 Cadena de Custodia ............................................ 7 4,2 El Archivo ............................................... .. 7

5 Herramientas que necesitará ............................................ ... 7 Brezinski & Killalea Mejores Prácticas actuales [Página 1] RFC 3227 Prueba de archivo y colección de Febrero de 2002 6 Referencias ................................................ ...... 8 7 Agradecimientos ................................................ 8 8 Seguridad Consideraciones ......................................... 8 9 de los autores Direcciones .............................................. 9 10 Declaración Copyright completa ....................................... 10 1 Introducción Un "incidente de seguridad", tal como se define en [RFC2828] es un pertinente relativo a la seguridad Sistema evento en el que la política de seguridad del sistema o es desobedecido De otra violada. El propósito de este documento es proporcionar a los Administradores de sistemas con directrices sobre la recopilación y archivo De las pruebas pertinentes a este incidente de seguridad. No es nuestra Intención de insistir en que todos los administradores de sistemas seguir rígidamente Estas directrices cada vez que tienen un incidente de protección. Más bien, Queremos proporcionar orientación sobre lo que deben hacer si deciden Recoger y proteger información relativa a una intrusión. Dicha colección representa un esfuerzo considerable por parte de la El administrador del sistema. Se han hecho grandes progresos en los últimos años Para acelerar el restablecimiento de la instalación del sistema operativo y de Facilitar la reversión de un sistema a un 'conocido' estado, de modo que La "opción fácil" aún más atractivo. Mientras tanto, poco se ha Hacer para facilitar el archivo de los medios de prueba (la difícil Opción). Además, el aumento de la capacidad de disco y de memoria y más Uso generalizado de sigilo y cubrir a su táctica de las pistas por los atacantes Han exacerbado el problema. Si la recopilación de pruebas se realiza correctamente, es mucho más útil en Aprehender al atacante, y está mucho más posibilidades de ser Admisible en el caso de un proceso judicial. Debe utilizar estas directrices como base para la formulación de su Del sitio de obtención de pruebas, y debe incorporar su Sitio del incidente de los procedimientos de manipulación en su documentación. El Directrices, en este documento puede no ser apropiado en todas las Jurisdicciones. Una vez que haya formulado su sitio de la prueba Procedimientos de recolección, debería tener la aplicación de la ley para su Jurisdicción confirmar que son adecuados.

1,1 Convenciones utilizadas en este documento Las palabras clave "REQUERIDO", "DEBE", "NO DEBE", "DEBERÍA", "NO", Y "MAYO", en este documento se han de interpretar como se describe en "clave Palabras para su uso en RFC para Indicar Niveles de Exigencia "[RFC2119]. Brezinski & Killalea Mejores Prácticas actuales [Página 2] RFC 3227 Prueba de archivo y colección de Febrero de 2002 2 Principios Rectores durante Prueba Colección -- Respetar a su sitio la política de seguridad y comprometer a la Manejo apropiado de incidentes y aplicación de la ley personal. -- Captura de una imagen lo más exacta del sistema como sea posible. -- Mantenga notas detalladas. Estas deben incluir fechas y horas. Si Posible generar una transcripción automática. (Por ejemplo, En Unix Sistemas de la 'script' puede ser usado, sin embargo la salida Archivo que genera no se deben a los medios de comunicación que es parte de la De pruebas). Notas e impresos de salida debe ser firmado y fechado. -- Nota la diferencia entre el sistema y el reloj UTC. Para cada Fecha y hora previstas, indicar si el tiempo UTC o local se utiliza. -- Esté preparado para testificar (quizás años más tarde), que expone todos los Acciones que tomó y en qué momento. Notas detalladas se Vital. -- Minimizar los cambios a los datos en que se van a coleccionar. Esto es No se limita a los cambios en los contenidos, así que debería evitar la actualización de archivo Los tiempos de acceso o directorio. -- Eliminar las vías externas para el cambio. -- Cuando nos enfrentamos a una elección entre la reunión y el análisis Que debe hacer primero la recogida y el análisis posterior. -- Aunque no es necesario que dijera, sus procedimientos deben ser Aplicable. Como en cualquier aspecto de la respuesta a un incidente La política, los procedimientos deben ser probados para garantizar la viabilidad, Especialmente en una crisis. Si es posible, los procedimientos deben ser Automatizadas, por razones de velocidad y precisión. Ser metódico.

-- Por cada dispositivo, de adoptar un criterio que debe ser aprobado Se ajusta a las directrices establecidas en el procedimiento de su colección. Speed será con frecuencia de manera crítica, donde hay una serie de Dispositivos que requieren examen puede ser apropiado para difundir El trabajo entre su equipo para recoger las pruebas en paralelo. Sin embargo en un único sistema dado de recogida debe hacerse paso A paso. -- Proceda de la volátil a la menos volátil (véase la Orden Volatilidad de abajo). Brezinski & Killalea Mejores Prácticas actuales [Página 3] RFC 3227 Prueba de archivo y colección de Febrero de 2002 -- Usted debería hacer un poco de nivel de la copia del sistema de medios de comunicación. Si Deseo de hacer el análisis forense debe hacer una copia a nivel de bits Su copia de las pruebas para ese fin, como su análisis Casi seguro que modificar los tiempos de acceso de archivo. Evite hacer En las pruebas forenses copia. 2,1 Orden de Volatilidad Cuando la recolección de pruebas que debe proceder de la inestabilidad a la Menos volátiles. Aquí tiene un ejemplo de orden de la volatilidad de un típico Sistema. -- Registros, caché -- Tabla de enrutamiento, caché arp, el proceso de mesa, núcleo de las estadísticas, Memoria -- Temporal de los sistemas de archivos -- Disco -- Registro y supervisión remota de datos que es de interés para el Sistema en cuestión -- Configuración física, la topología de la red -- Los medios de comunicación de archivo 2,2 Cosas de evitar Es demasiado fácil destruir las pruebas, sin embargo inadvertidamente.

-- No cierre hasta que haya concluido la recopilación de pruebas. Muchas pruebas se pueden perder y el atacante puede haber alterado el Inicio / apagado scripts / servicios para destruir las pruebas. -- No confíes en los programas en el sistema. Ejecute sus pruebas Recopilación de los programas de los medios de comunicación debidamente protegidos (véase A continuación). -- No ejecute programas que modifiquen el tiempo de acceso de todos los archivos de El sistema (por ejemplo, 'tar' o 'xcopy'). Brezinski & Killalea Mejores Prácticas actuales [Página 4] RFC 3227 Prueba de archivo y colección de Febrero de 2002 -- Al retirar las vías externas para el cambio en cuenta que simplemente Desconectar o filtrado de la red puede desencadenar "Muerto interruptores" que detectan cuando están fuera de la red y Borrar pruebas. 2,3 privacidad -- Respetar la intimidad normas y directrices de su empresa y Su jurisdicción legal. En particular, asegúrese de que no Con la información recogida a lo largo de las pruebas que está buscando Está disponible para cualquier persona a la que normalmente no tienen acceso A esta información. Esto incluye el acceso a los archivos de registro (que Puede revelar patrones de comportamiento de los usuarios), así como los datos personales Archivos. -- No inmiscuirse en la vida privada de personas sin un fuerte Justificación. En particular, no recopilan información de Zonas que normalmente no tienen acceso a la razón (como Expediente personal tiendas) a menos que usted tenga una indicación suficiente Que hay un incidente real. -- Asegúrese de que tiene el respaldo de su empresa establecida Procedimientos en la toma de los pasos que hacer para reunir las pruebas de un Incidente. 2,4 legales La prueba debe ser

-- Admisibles: Debe ajustarse a ciertas normas jurídicas antes de que Se pueden poner ante un tribunal. -- Auténtico: Debe ser posible empate positivamente a la prueba Material de los hechos. -- Completa: Debe cuentan toda la historia y no sólo una Perspectiva particular. -- Fiabilidad: Debe haber nada acerca de la forma en que la prueba fue Posteriormente recogidos y manipulados que arroja dudas acerca de su Autenticidad y veracidad. -- Believable: Debería ser fácilmente comprensible y creíble Por un tribunal. Brezinski & Killalea Mejores Prácticas actuales [Página 5] RFC 3227 Prueba de archivo y colección de Febrero de 2002 3 El procedimiento de recogida Su colección procedimientos deben ser lo más detallado posible. Como es En el caso de su estado general de los procedimientos de Manejo de Incidentes, deben Ser inequívocos, y debe reducir al mínimo la cantidad de la toma de decisiones Necesarios durante el proceso de recolección. 3,1 Transparencia Los métodos utilizados para recopilar pruebas deben ser transparentes y Reproducible. Usted debe estar preparado para reproducir con precisión el Métodos que utilizó, y han probado los métodos independientes Expertos. 3,2 Colección Pasos -- ¿Dónde están las pruebas? Lista de lo que son los sistemas que participan en la Incidente y de la que se recogerán las pruebas. -- Establecer lo que es probable que sea pertinente y admisible. Cuando En la duda abstente de recolección demasiado más que no Suficiente. -- Para cada sistema, obtener la correspondiente orden de la volatilidad.

-- Eliminar las vías externas para el cambio. -- A raíz de la orden de la volatilidad, recoger las pruebas con Herramientas tal como se describe en la Sección 5. -- Registro de la medida de que el sistema de reloj de la deriva. -- Pregunta ¿qué otra cosa pueden ser las pruebas a medida que se trabaja a través de la Colección pasos. -- Documento cada paso. -- No se olvide de las personas involucradas. Tomar notas de que fue allí Y lo que se hace, lo que observó y la forma en que Reaccionado. Cuando sea posible se deben tomar en cuenta la generación de comprobación y Criptográficamente la firma recogidas las pruebas, ya que esto puede hacer Más fácil de mantener una fuerte cadena de pruebas. Al hacerlo, usted debe No alterar las pruebas. Brezinski & Killalea Mejores Prácticas actuales [Página 6] RFC 3227 Prueba de archivo y colección de Febrero de 2002 4 El procedimiento de archivo Las pruebas deben ser estrictamente garantizados. Además, la Cadena de Custodia Debe estar claramente documentado. 4,1 Cadena de Custodia Usted debe ser capaz de describir claramente la manera en la se encontraron pruebas, Cómo se maneja y todo lo que sucedió a él. Los siguientes deben ser documentadas -- ¿Dónde, cuándo y por quién fue descubierto y las pruebas Recogidos. -- ¿Dónde, cuándo y por quién fue manejado o las pruebas de examen. -- ¿Quién tiene la custodia de las pruebas, durante qué período. ¿Cómo se Que almacenan. -- Cuando las pruebas cambiado custodia, el momento y la forma en que el Transferencia ocurrir (incluir números de envío, etc.)

4,2 Dónde y cómo Archivo Si es posible de uso común los medios de comunicación (en lugar de alguna oscura de almacenamiento Los medios de comunicación) deberían ser utilizados para el archivo. Acceso a la prueba debería ser muy limitado, y debe ser Claramente documentados. Debe ser posible detectar no autorizado Acceso. 5 Herramientas que necesitará Usted debe tener los programas que usted necesita hacer acopio de pruebas y Forense en medios de sólo lectura (por ejemplo, un CD). Usted debe tener preparado Tal un conjunto de herramientas para cada uno de los sistemas operativos que usted maneja Antes de tener que utilizarlo. Su conjunto de herramientas deben incluir lo siguiente: -- Un programa de examen de los procesos (por ejemplo, 'ps'). -- Programas para el examen de estado del sistema (por ejemplo, 'showrev', 'Ifconfig', 'netstat', 'arp'). -- Un programa para hacer poco a poco las copias (por ejemplo, 'dd', 'SafeBack'). Brezinski & Killalea Mejores Prácticas actuales [Página 7] RFC 3227 Prueba de archivo y colección de Febrero de 2002 -- Programas para la generación y firmas de comprobación (por ejemplo, "Sha1sum", un checksum habilitado 'dd', 'SafeBack', 'pgp'). -- Programas para la generación de imágenes básico y para examinarlas (Por ejemplo, 'gcore', 'gdb'). -- Scripts para automatizar la recopilación de pruebas (por ejemplo, The Coroner's Instrumental [FAR1999]). Los programas en su conjunto de herramientas debe ser enlazado, y No debería requerir el uso de cualquier bibliotecas distintas de las de la Medios de sólo lectura. Aún así, desde el moderno rootkits pueden ser instalados A través de módulos cargables del núcleo, usted debería considerar la posibilidad de que sus herramientas Podría no ser dándole una imagen completa del sistema.

Usted debe estar preparado para dar testimonio de la autenticidad y fiabilidad De las herramientas que utilice. 6 Referencias [FAR1999] Farmer, D., y W Venema, "Computer Análisis Forense Clase folletos ", http://www.fish.com/forensics/ [RFC2119] Bradner, S., "Palabras clave para su uso en RFC para Indicar Niveles de exigencia ", BCP 14, RFC 2119, marzo de 1997. [RFC2196] Fraser, B., "Sitio Manual de Seguridad", FYI 8 2196, De septiembre de 1997. [RFC2350] Brownlee, N. y E. Guttman, "Expectativas para el ordenador Respuesta a Incidentes de Seguridad ", FYI 8, RFC 2350, junio de 1998. [RFC2828] Shirey, R., "Glosario de seguridad de Internet", FYI 36, RFC 2828, de mayo de 2000. 7 Agradecimientos Agradecemos las observaciones constructivas recibidas de los Harald Alvestrand, Byron Collie, Barbara Y. Fraser, Gordon Lennox, Andrew Rees, Steve Romig y Floyd corto. 8 Consideraciones de Seguridad Este documento discuses cuestiones de seguridad. Brezinski & Killalea Mejores Prácticas actuales [Página 8] RFC 3227 Prueba de archivo y colección de Febrero de 2002 9 de los autores Direcciones Dominique Brezinski In-Q-Tel 1000 Wilson Blvd., Ste. 2900 Arlington, VA 22209 EE.UU. EMail: [email protected] Tom Killalea Lisi / n na Bro / n Ser / al A / tha na Muice

Co Mhaigh Eo IRLANDA Teléfono: +1 206 266-2196 EMail: [email protected]

Brezinski & Killalea Mejores Prácticas actuales [Página 9] RFC 3227 Prueba de archivo y colección de Febrero de 2002 10. Completo declaración de los derechos de autor Copyright (C) The Internet Society (2002). Todos los derechos reservados. Este documento y sus traducciones puede ser copiado y facilitado a Otros, y las obras derivadas que comentar o de otra manera explicarlo O asistencia para su ejecución podrán ser preparados, copiados, publicados Y distribuido, en su totalidad o en parte, sin restricción de ningún Tipo, siempre que el aviso de copyright anterior y este párrafo son Incluido en todas esas copias y trabajos derivados. Sin embargo, este Documento en sí no puede ser modificado de ninguna manera, como mediante la eliminación de La nota de copyright o referencias a la Sociedad Internet o de otros Organizaciones de Internet, excepto cuando sea necesario con el fin de El desarrollo de estándares de Internet, en cuyo caso los procedimientos para Define los derechos de autor en el proceso de normalización de Internet debe ser Seguida, o según sea necesario traducirla a otros idiomas distintos Inglés. Los limitados permisos concedidos anteriormente son perpetuos y no se Revocados por la Internet Society ni sus sucesores o cesionarios. Este documento y la información contenida en este documento se proporciona en un "TAL CUAL" y LA INTERNET Y LA SOCIEDAD DE INGENIERÍA DE INTERNET Grupo de tareas de renuncia a toda garantía, expresa o implícita, incluyendo Pero no limitado a ninguna garantía de que el uso de la información En este documento no vulnere cualquier derecho o cualquier garantía implícita de Comerciabilidad o aptitud para un propósito en particular.