Subdirección de Seguridad de la Información

Subdirección de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7 8

Reto forense

ven1 Resultados Reto Forense Episodio III

RedIRIS (España) y UNAM-CERT (México) agradecen y reconocen el esfuerzo a todos los participantes que entregaron sus reportes para el Reto Forense - Episodio III.

El propósito fundamental del Reto Forense - Episodio III es contribuir al mayor conocimiento sobre cómputo forense en iberoamérica, por ello, se publican los trabajos que fueron entregados por los participantes para que puedan ser conocidos por la comunidad interesada en esta materia.

Lugar Nombre(s) Reporte Ejecutivo Reporte Técnico País
1 Germán Martín Boizas r3_ejecutivo1.pdf r3_tecnico1.pdf España
2 José Antonio Valero r3_ejecutivo2.doc r3_tecnico2.doc España
3 Juan Ángel Hurtado r3_ejecutivo3.pdf r3_tecnico3.pdf México
4 Fernando Gozalo r3_ejecutivo4.pdf r3_tecnico4.pdf España
5 Juan Garrido Caballero r3_ejecutivo5.pdf r3_tecnico5.pdf España
6 José Salvador González r3_ejecutivo6.pdf r3_tecnico6.pdf México
7 Hugo Eduardo Escobedo r3_ejecutivo7.doc r3_tecnico7.doc México
8 Rubén Recabarrén
Rossana Ludeña
Leandro Leoncini
r3_ejecutivo8.doc r3_tecnico8.doc Venezuela

ven2 Los reportes para el Reto Forense Episodio III

Los organizadores del Reto Forense Episodio III hemos recibido diversas inquietudes de los participantes sobre la elaboración de los reportes. Con el afán de motivar el análisis forense y la elaboración de los reportes para el Reto Forense Episodio III, los organizadores sugerimos la estructura que se muestra abajo para los reportes. Esta estructura no es restrictiva a estos puntos únicamente, si algún participante considera puntos adicionales o bien decide omitir alguno de los puntos propuestos, lo puede hacer.


Resumen Ejecutivo (no técnico)

Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente:

  • Motivos de la intrusión.
  • Desarrollo de la intrusión
  • Resultados del análisis.
  • Recomendaciones.

Informe Técnico

Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.

Puntos a cubrir

  • Antecedentes del incidente
  • Recolección de los datos
  • Descripción de la evidencia
  • Entorno del análisis
    • Descripción de las herramientas
  • Análisis de la evidencia
    • Información del sistema analizado
      • Características del SO
      • Aplicaciones
      • Servicios
      • Vulnerabilidades
    • Metodología
  • Descripción de los hallazgos
    • Huellas de la intrusión
    • Herramientas usadas por el atacante
    • Alcance de la intrusión
    • El origen del ataque
  • Análisis de artefactos
  • Cronología de la intrusión
  • Conclusiones
  • Recomendaciones específicas
  • Referencias

Es importante recordar que las condiciones de entrega de los reportes están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

ven3 Políticas de participación y reportes


Los análisis remitidos serán juzgados por un panel de expertos y los ganadores serán elegidos de entre éstos y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ninún tipo).

Una vez que los ganadores del reto sean anunciados, todos los análisis entregados serán publicados para que puedan ser revisados por la comunidad de expertos en seguridad informática. Deseamos que la comunidad pueda aprender y entender mejor las distintas técnicas que los investigadores y empresas utilizan. Igualmente, los organizadores del reto publicarán un análisis propio incluyendo información detallada del método de compromiso junto con la publicación de los resultados definitivos.

  1. Para el análisis puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado. En la sección Herramientas para el análisis se listan algunas de las herramientas que pueden usarse para el análisis.

  2. Es posible particiar en grupo, en cuyo caso, el premio será compartido.

  3. Los resultados deben enviarse en formatos que sean sencillos y rápidos de manejar. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.

  4. Se deben enviar los siguientes archivos:

    NOTA: En breve se publicarán y se les harán llegar los puntos y formato sugeridos a cubrir en el reporte.

    • Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
      • Motivos de la intrusión.

      • Resultados del análisis.

      • Recomendaciones.

    • Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
  5. Los resultados podrán entregarse hasta las 23:59 hrs (tiempo del centro de México, GMT -6) del día 26 de Marzo de 2006, momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm o el Servicio de Sellado de tiempos de RedIRIS http://www.rediris.es/app/sellado.

  6. Los análisis deben enviarse a la dirección reto@seguridad.unam.mx.

  7. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.

ven4 Avisos

El día 6 de febrero de 2006 se ha liberado la imagen para el Reto Forense Episodio III, la cual puede descargarse en dos formas distintas:

Imagen completa

Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son

  • 062cf5d1ccd000e20cf4c006f2f6cce4 - windows2003.img
  • 33a42d316c060c185f41bfcacf439747 - windows2003.img.gz

Para facilitar la descarga, se ha seccionado la imagen en bloques de 512 MB, que luego de descargarse pueden concatenarse para formar la imagen completa comprimida:

Archivo Ubicación Firma
windows2003.img.gz.a http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.aa ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.a c972863f5584a95f1d5ff350d972b48d
windows2003.img.gz.b http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ab ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.b b7a57c513a0ab18914f63cc927d8b4e0
windows2003.img.gz.c http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ac ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.c 42ef380cf64ddfc956dbf6acf63a174c
windows2003.img.gz.d http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ad ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.d 4fc8381404fef912ae77f61244128643
windows2003.img.gz.e http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ae ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.e fba13b0f9cddf1a83b4d244c2987811f
windows2003.img.gz.f http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.af ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.f 4fa323705ee2064415c2854b8abef502
windows2003.img.gz.g http://pgp.rediris.es:16000/reto3.0/windows2003.img.gz.ag ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz.g 490e34026f2aaf91604b9e84896def16

Escenario

A continuación se describe la situación en que operaba el sistema cuya imagen se ha proporcionado para el Reto Forense Episodio III:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

ven5 Convocatoria Reto Forense episodio III

[I. Convocatoria] | [II. Participación] | [III. Los premios] | [IV. Coordinadores del proyecto]
[V. El jurado] | [ VI. Acerca de los resultados] | [ VII. Calendario de actividades]
[ VIII. Ligas relacionadas]

 

I. Convocatoria

Las dos principales entidades académicas de seguridad informática de España y México, la UNAM a través de la DGSCA y el UNAM-CERT y la empresa pública Red.es a través del Grupo de Seguridad de RedIRIS, con el apoyo de empresas y organismos de seguridad informática iberoamericanos y mundiales, invita a los responsables de seguridad informática, administradores de redes y sistemas y cualquier persona interesada a participar en el Concurso de Reto Forense episodio III de un sistema de cómputo comprometido.

El análisis forense es un área de la seguridad informática que trata de la aplicación de procedimientos y técnicas para determinar los hechos que ocurrieron en un sistema de cómputo en el que se ha alterado el estado de la seguridad del sistema.

Ningún sistema de cómputo es 100% seguro y por ello pueden sufrir intrusiones. Cuando esto sucede, es necesario realizar una investigación para determinar qué, cómo, cuándo y desde dónde ocurrió, es decir, hacer un análisis forense. La utilidad de este tipo de análisis es que a partir de los resultados se pueden mejorar las medidas de seguridad en los sistemas o bien deslindar responsabilidades en la intrusión si esto está contemplado en las normas de la organización o los códigos penales o civiles y su acción puede catalogarse como un delito.

El objetivo de este Reto Forense episodio III es motivar el desarrollo en el área de cómputo forense en Iberoamérica, proporcionando los elementos necesarios para realizar un análisis y que los resultados sean evaluados por expertos reconocidos en el área.

 

II. Participación

A los interesados en participar en el Reto Forense episodio III, se les proporcionarán imágenes de un sistema comprometido. Deberán analizar las imágenes y presentar un reporte respondiendo a preguntas específicas planteadas. Estas preguntas serán similares a las que se plantean en todo análisis forense:

  • ¿El sistema ha sido comprometido?
  • ¿Quién (desde dónde) se realizó el ataque?
  • ¿Cómo se realizó el ataque?
  • ¿Qué hizo el atacante en el sistema comprometido?

Los interesados deberán registrarse en el sitio:

http://www.seguridad.unam.mx/eventos/reto/registro.dsc

A través de sus datos de registro se les hará llegar la información necesaria para el análisis:

  • Fecha de distribución de las imágenes.
  • Fecha de recepción de reportes.
  • Fecha de entrega de resultados.

Éste año, la información contenida en la imagen de la máquina atacada no será pública, por lo que se solicita un registro previo de los participantes para tener un control en el acceso a la información.

Además, los participantes del Reto Forense episodio III tendrán acceso a una lista interna de correo electrónico para la discusión del reto.

El registro estará abierto a partir del día 25 de noviembre de 2005 y hasta el 3 de marzo de 2006 a las 23:59 hrs, tiempo del centro de México (GMT -6).

 

III. Los premios

Se premiarán los tres mejores análisis de la siguiente manera:

1er. lugar.

  • Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización). *
  • Paquete de productos UNAM-CERT y Reto Forense
  • Paquete de libros de Seguridad en Windows

2do. lugar.

  • Licencia de Encase Forensic Edition.
  • Consola Xbox
  • Paquete de libros de Seguridad en Windows
  • Paquete de productos UNAM-CERT y Reto Forense

 

3er. lugar.

  • Curso en línea de SANS.
  • Paquete de libros de Seguridad en Windows
  • Paquete de productos UNAM-CERT y Reto Forense

 

* Válido para España y países de Latinoamérica.

Este año, se premiará también a los tres primeros lugares de México, de la siguiente manera:

1er. lugar.

  • Asistencia con todos los gastos cubiertos al congreso Seguridad en Cómputo 2006 (Incluye inscripción a una línea de especialización).
  • Paquete de productos UNAM-CERT y Reto Forense
  • Paquete de libros de Seguridad en Windows

2do. lugar.

  • Licencia de Encase Forensic Edition.
  • Consola Xbox
  • Paquete de productos UNAM-CERT y Reto Forense
  • Paquete de libros de Seguridad en Windows

 

3er. lugar.

  • Curso en línea de SANS.
  • Paquete de productos UNAM-CERT y Reto Forense
  • Paquete de libros de Seguridad en Windows

 

 

IV. Coordinadores del proyecto

El proyecto está coordinado por dos integrantes de cada institución:

  • Francisco Jesus Monserrat Coll

  • RedIRIS


  • Juan Carlos Guel López

  • DGSCA-UNAM
    Departamento de Seguridad en Cómputo/UNAM-CERT

 

V. El jurado

El jurado del Reto Forense episodio III estará compuesto por las siguientes personas:

  • Francisco Monserrat - RedIRIS, España.
  • Jess Garcia - SANS Institute, USA
  • Rubén Aquino Luna - DSC/UNAM-CERT, México.
  • Alejandro Núñez Sandoval - DSC/UNAM-CERT, México.
  • Jacomo Dimmit Boca Piccolini - CAIS, RNP, Brasil.
  • Guillerme Venhere - CAIS, RNP, Brasil.
  • Matias Bevilacqua - Cybex, España.
  • José Luis Rivas López - Universidad de Vigo, España.
  • Gonzalo Sotelo Seguín - Delitos Telemáticos Guardia Civil Pontevedra, España.
  • Jordi Linares - España.
  • Rodolfo Baader - ArCERT, Argentina.

 

VI. Acerca de los resultados

Una vez publicados los resultados del Reto Forense episodio III, toda la información presentada por los participantes será hecha pública, para que pueda servir de ayuda en el aprendizaje y formación de los administradores de sistemas, técnicos de seguridad que quieran profundizar en el estudio del análisis forense.

 

VII. Calendario de actividades

 

25/Nov/2005 6/Febrero/2006 30/Abril/2006. 23:59 hrs (GMT -6) 26/Junio/2006 Septiembre/2006
Anuncio del Reto Forense episodio III

-----------------------

Inicio del registro
Se proporcionará la o las imágenes para el análisis a los participantes. Fecha límite de entrega de trabajos. Publicación de resultados Premiación dentro del Congreso de Seguridad en Cómputo 2006.

 

VIII. Ligas relacionadas

 

ven6 Retos Anteriores

ven7 Organizadores

Instituciones que organizan el Reto Forense episodio III
      

ven8 Colaboradores

Empresas que colaboran en el Reto Forense episodio III
Guidance Software

ven9 Herramientas para el análisis

La siguiente es una lista de herramientas que pueden utilizarse en el análisis de la imagen del Reto Forense Episodio III. La lista no es restrictiva y puede utilizarse cualquier otra herramienta que cumpla con lo establecido en las políticas de participación.

ven10 Avisos anteriores

Estimados participantes del Reto Forense Episodio III:

RedIRIS y UNAM-CERT, organizadores de este concurso les agradecemos su interés y nos permitimos comunicarles que, con el objetivo de poder llegar a más personas de la comunidad de seguridad informática de Iberoamérica, hemos decidido ampliar el plazo para poner disponibles las imágenes para esta edición.

También buscamos nuevas características que nos permitan abarcar aspectos adicionales del análisis forense, distintos a los planteados en retos anteriores.

Por ello y con el objetivo de que puedan preparar lo necesario para su participación y análisis, les proporcionamos la siguiente información sobre las imágenes para esta edición.

 

  • Sistema Operativo de equipo comprometido: Windows (alguna de las versiones de servidor)
  • Tamaño de la imagen: <= 6 GB.

El próximo día 6 de Febrero se les indicará la ubicación de la imagen y se ajustarán las fechas de entrega de trabajos con el fin de proporcionarles el tiempo suficiente para que desarrollen sus trabajos.

Esperamos que con la información proporcionada puedan preparar lo necesario para su participación y estén pendientes de la liberación de la imagen.

Les agradecemos nuevamente su gran interés en este nuevo reto que continua con el esfuerzo y dedicación de diversas organizaciones y de muchos mas que día con día colaboran en la evolución de este fascinante campo del análisis forense.

ATTE

Red IRIS - Francisco Moserrat

UNAM-CERT - Juan Carlos Guel

ven11 Avisos anteriores

Estimados participantes del Reto Forense Episodio III:

RedIRIS y UNAM-CERT, organizadores de este concurso les agradecemos su interés y nos permitimos comunicarles que, con el objetivo de poder llegar a más personas de la comunidad de seguridad informática de Iberoamérica, hemos decidido ampliar el plazo para poner disponibles las imágenes para esta edición.

También buscamos nuevas características que nos permitan abarcar aspectos adicionales del análisis forense, distintos a los planteados en retos anteriores.

Por ello y con el objetivo de que puedan preparar lo necesario para su participación y análisis, les proporcionamos la siguiente información sobre las imágenes para esta edición.

 

  • Sistema Operativo de equipo comprometido: Windows (alguna de las versiones de servidor)
  • Tamaño de la imagen: <= 6 GB.

El próximo día 6 de Febrero se les indicará la ubicación de la imagen y se ajustarán las fechas de entrega de trabajos con el fin de proporcionarles el tiempo suficiente para que desarrollen sus trabajos.

Esperamos que con la información proporcionada puedan preparar lo necesario para su participación y estén pendientes de la liberación de la imagen.

Les agradecemos nuevamente su gran interés en este nuevo reto que continua con el esfuerzo y dedicación de diversas organizaciones y de muchos mas que día con día colaboran en la evolución de este fascinante campo del análisis forense.

ATTE

Red IRIS - Francisco Moserrat

UNAM-CERT - Juan Carlos Guel


Universidad Nacional Autonoma de México 100 años UNAM EQA ISO 27001 FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT