RedIRIS (España) y UNAM-CERT (México) agradecen y reconocen el esfuerzo a todos los participantes que entregaron sus reportes para el Reto Forense - Episodio III.

El propósito fundamental del Reto Forense - Episodio III es contribuir al mayor conocimiento sobre cómputo forense en iberoamérica, por ello, se publican los trabajos que fueron entregados por los participantes para que puedan ser conocidos por la comunidad interesada en esta materia.

Los organizadores del Reto Forense Episodio III hemos recibido diversas inquietudes de los participantes sobre la elaboración de los reportes. Con el afán de motivar el análisis forense y la elaboración de los reportes para el Reto Forense Episodio III, los organizadores sugerimos la estructura que se muestra abajo para los reportes. Esta estructura no es restrictiva a estos puntos únicamente, si algún participante considera puntos adicionales o bien decide omitir alguno de los puntos propuestos, lo puede hacer.

Resumen Ejecutivo (no técnico)

Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente:

• Motivos de la intrusión.
• Desarrollo de la intrusión
• Resultados del análisis.
• Recomendaciones.

Informe Técnico

Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.

Puntos a cubrir

• Antecedentes del incidente
• Recolección de los datos
• Descripción de la evidencia
• Entorno del análisis
  • Descripción de las herramientas
• Análisis de la evidencia
  • Información del sistema analizado
    • Características del SO
    • Aplicaciones
    • Servicios
    • Vulnerabilidades
  • Metodología
• Descripción de los hallazgos
  • Huellas de la intrusión
  • Herramientas usadas por el atacante
  • Alcance de la intrusión
  • El origen del ataque
• Análisis de artefactos
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias

Es importante recordar que las condiciones de entrega de los reportes están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

Los análisis remitidos serán juzgados por un panel de expertos y los ganadores serán elegidos de entre éstos y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ninún tipo).

Una vez que los ganadores del reto sean anunciados, todos los análisis entregados serán publicados para que puedan ser revisados por la comunidad de expertos en seguridad informática. Deseamos que la comunidad pueda aprender y entender mejor las distintas técnicas que los investigadores y empresas utilizan. Igualmente, los organizadores del reto publicarán un análisis propio incluyendo información detallada del método de compromiso junto con la publicación de los resultados definitivos.

1. Para el análisis puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado. En la sección Herramientas para el análisis se listan algunas de las herramientas que pueden usarse para el análisis.


2. Es posible particiar en grupo, en cuyo caso, el premio será compartido.


3. Los resultados deben enviarse en formatos que sean sencillos y rápidos de manejar. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.


4. Se deben enviar los siguientes archivos:
   
   

   NOTA: En breve se publicarán y se les harán llegar los puntos y formato sugeridos a cubrir en el reporte.

   • Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
     • Motivos de la intrusión.
     
     
     • Resultados del análisis.
     
     
     • Recomendaciones.
     
     
   • Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
5. Los resultados podrán entregarse hasta las 23:59 hrs (tiempo del centro de México, GMT -6) del día 26 de Marzo de 2006, momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm o el Servicio de Sellado de tiempos de RedIRIS http://www.rediris.es/app/sellado.


6. Los análisis deben enviarse a la dirección reto@seguridad.unam.mx.


7. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.

El día 6 de febrero de 2006 se ha liberado la imagen para el Reto Forense Episodio III, la cual puede descargarse en dos formas distintas:

Imagen completa

• ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz
• ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz

Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son

• 062cf5d1ccd000e20cf4c006f2f6cce4 - windows2003.img
• 33a42d316c060c185f41bfcacf439747 - windows2003.img.gz

Para facilitar la descarga, se ha seccionado la imagen en bloques de 512 MB, que luego de descargarse pueden concatenarse para formar la imagen completa comprimida:

Escenario

A continuación se describe la situación en que operaba el sistema cuya imagen se ha proporcionado para el Reto Forense Episodio III:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

I. Convocatoria

Las dos principales entidades académicas de seguridad informática de España y México, la UNAM a través de la DGSCA y el UNAM-CERT y la empresa pública Red.es a través del Grupo de Seguridad de RedIRIS, con el apoyo de empresas y organismos de seguridad informática iberoamericanos y mundiales, invita a los responsables de seguridad informática, administradores de redes y sistemas y cualquier persona interesada a participar en el Concurso de Reto Forense episodio III de un sistema de cómputo comprometido.

El análisis forense es un área de la seguridad informática que trata de la aplicación de procedimientos y técnicas para determinar los hechos que ocurrieron en un sistema de cómputo en el que se ha alterado el estado de la seguridad del sistema.

Ningún sistema de cómputo es 100% seguro y por ello pueden sufrir intrusiones. Cuando esto sucede, es necesario realizar una investigación para determinar qué, cómo, cuándo y desde dónde ocurrió, es decir, hacer un análisis forense. La utilidad de este tipo de análisis es que a partir de los resultados se pueden mejorar las medidas de seguridad en los sistemas o bien deslindar responsabilidades en la intrusión si esto está contemplado en las normas de la organización o los códigos penales o civiles y su acción puede catalogarse como un delito.

El objetivo de este Reto Forense episodio III es motivar el desarrollo en el área de cómputo forense en Iberoamérica, proporcionando los elementos necesarios para realizar un análisis y que los resultados sean evaluados por expertos reconocidos en el área.

II. Participación

A los interesados en participar en el Reto Forense episodio III, se les proporcionarán imágenes de un sistema comprometido. Deberán analizar las imágenes y presentar un reporte respondiendo a preguntas específicas planteadas. Estas preguntas serán similares a las que se plantean en todo análisis forense:

• ¿El sistema ha sido comprometido?
• ¿Quién (desde dónde) se realizó el ataque?
• ¿Cómo se realizó el ataque?
• ¿Qué hizo el atacante en el sistema comprometido?

Los interesados deberán registrarse en el sitio:

http://www.seguridad.unam.mx/eventos/reto/registro.dsc

A través de sus datos de registro se les hará llegar la información necesaria para el análisis:

• Fecha de distribución de las imágenes.
• Fecha de recepción de reportes.
• Fecha de entrega de resultados.

Éste año, la información contenida en la imagen de la máquina atacada no será pública, por lo que se solicita un registro previo de los participantes para tener un control en el acceso a la información.

Además, los participantes del Reto Forense episodio III tendrán acceso a una lista interna de correo electrónico para la discusión del reto.

El registro estará abierto a partir del día 25 de noviembre de 2005 y hasta el 3 de marzo de 2006 a las 23:59 hrs, tiempo del centro de México (GMT -6).

III. Los premios

Se premiarán los tres mejores análisis de la siguiente manera:

1er. lugar.

• Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización). *
• Paquete de productos UNAM-CERT y Reto Forense
• Paquete de libros de Seguridad en Windows

2do. lugar.

• Licencia de Encase Forensic Edition.
• Consola Xbox
• Paquete de libros de Seguridad en Windows
• Paquete de productos UNAM-CERT y Reto Forense

 

3er. lugar.

• Curso en línea de SANS.
• Paquete de libros de Seguridad en Windows
• Paquete de productos UNAM-CERT y Reto Forense

 

* Válido para España y países de Latinoamérica.

Este año, se premiará también a los tres primeros lugares de México, de la siguiente manera:

1er. lugar.

• Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización).
• Paquete de productos UNAM-CERT y Reto Forense
• Paquete de libros de Seguridad en Windows

2do. lugar.

• Licencia de Encase Forensic Edition.
• Consola Xbox
• Paquete de productos UNAM-CERT y Reto Forense
• Paquete de libros de Seguridad en Windows

 

3er. lugar.

• Curso en línea de SANS.
• Paquete de productos UNAM-CERT y Reto Forense
• Paquete de libros de Seguridad en Windows

 

IV. Coordinadores del proyecto

El proyecto está coordinado por dos integrantes de cada institución:

• Francisco Jesus Monserrat Coll

RedIRIS



• Juan Carlos Guel López

DGSCA-UNAM
Departamento de Seguridad en Cómputo/UNAM-CERT

V. El jurado

El jurado del Reto Forense episodio III estará compuesto por las siguientes personas:

• Francisco Monserrat - RedIRIS, España.
• Jess Garcia - SANS Institute, USA
• Rubén Aquino Luna - DSC/UNAM-CERT, México.
• Alejandro Núñez Sandoval - DSC/UNAM-CERT, México.
• Jacomo Dimmit Boca Piccolini - CAIS, RNP, Brasil.
• Guillerme Venhere - CAIS, RNP, Brasil.
• Matias Bevilacqua - Cybex, España.
• José Luis Rivas López - Universidad de Vigo, España.
• Gonzalo Sotelo Seguín - Delitos Telemáticos Guardia Civil Pontevedra, España.
• Jordi Linares - España.
• Rodolfo Baader - ArCERT, Argentina.

VI. Acerca de los resultados

Una vez publicados los resultados del Reto Forense episodio III, toda la información presentada por los participantes será hecha pública, para que pueda servir de ayuda en el aprendizaje y formación de los administradores de sistemas, técnicos de seguridad que quieran profundizar en el estudio del análisis forense.

VII. Calendario de actividades

VIII. Ligas relacionadas

• Reto Forense V1.0 - http://www.rediris.es/cert/ped/reto
• Reto Forense v2.0 - http://www.seguridad.unam.mx/eventos/reto/retov2.dsc
• Forensic-es.org - http://www.forensic-es.org
• HIS: Honeynet in Spanish- http://his.sourceforge.net
• The Honeynet Project - http://project.honeynet.org
• Linux Security - http://honeynet.linuxsecurity.com

Reto Forense
Reto Forense v2.0