• Servicios
• Seguridad
• Documentacion

Envío de información a IRIS-CERT

Muchas veces la notificación que se envía relativa a un escaneo de puertos o ataque sin importancia se convierte en realidad en un incidente más serio en el cual un atacante exterior ha conseguido acceder a una cuenta privilegiada del sistema (tradicionalmente lo que se conoce como un ``root compromise'', en Unix) y posteriormente se instalan determinadas herramientas por el atacante para ocultar su acceso y atacar a otros equipos.

Desde IRIS-CERT creemos conveniente realizar un estudio detallado de este tipo de incidentes, para intentar averiguar en la medida de lo posible las acciones realizadas por los atacantes, herramientas empleadas, y así poder aconsejar a los responsables de la institución las medidas a emplear.

Así, si en el estudio se detecta la presencia de un programa captura de tráfico (sniffer), es aconsejable alertar a los usuarios de la organización en general y a aquellos usuarios que aparecen en el fichero resultados del sniffer en particular que deben cambiar sus claves de acceso, para evitar que el atacante emplee estas claves con posterioridad para otros accesos.

Además el estudio de las herramientas usadas por los atacantes nos permite aconsejar en otras situaciones similares a otros responsables sobre los pasos a seguir para detectar un ataque.

Por ultimo muchas veces los programas utilizados para atacar a otros sitios mantienen un registro de los ficheros que se han atacado con éxito, pudiendo de esta forma avisar a los administradores de estos equipos del ataque, evitando así la propagación del ataque.

En los correos que se envían relativos a equipos posiblemente atacados se suele indicar una reseña a la Guia de recuperación de incidentes donde se indican los pasos a seguir.

Básicamente se le solicita a los administradores de los equipos que envíen:

1. Salida de la ejecución de comandos del sistema (``ps -aex'',``netstat -a'',etc).

2. Ficheros de logs del equipo donde aparezcan los binarios instalados en el equipo.

3. Ficheros binarios (rootkit), instalados por el atacante para disimular el ataque.

4. Ficheros (logs, programas,código fuente, etc), instalados en directorios ocultos por los atacantes para atacar a otros equipos.

Esta información debe ser enviada al grupo de seguridad de RedIRIS, vía correo-e, cuando se trata de poca información o empleando uno de los siguientes medios:

• Por FTP, depositando el fichero en el directorio incoming del servidor FTP de RedIRIS

• vía HTTP, Utilizando Nuestra zona en el BSCW

En RedIRIS procederemos a analizar los ficheros que se nos envíen y enviar a los administradores la información que se pueda obtener de estos ficheros.