Este artículo formará parte de tres entregas, en donde analizaremos los logs de seguridad de Ms Windows 2003/2008. Se tratarán los códigos que generan los eventos más frecuentes de la plataforma. Espero que los disfruten.
Introducción
En los servidores, se generan registros de las actividades de los servicios que están en modo de ejecución, accesos al servidor , ejecución de aplicaciones, y operaciones de seguridad en archivos con formato de texto, que a partir de ahora denominaremos LOGS. Los mismos son una fuente de información más que interesante cuando hay que buscar antecedentes sobre lo que está sucediendo en un servidor. La técnica más usual de los intrusos que invaden un sistema o intenta hacerlo, es de hacer limpieza de logs para borrar las huellas de un ataque o intento del mismo, tratando así que no sean detectados.
Muchas veces los intrusos piensan que borrando estos registros desde el visor de eventos de los sistemas operativos Ms Windows la evidencia digital ha sido eliminada. Pero no debemos olvidarnos, que si tenemos aplicaciones corriendo sobre el mismo, podremos encontrar los logs de la aplicación, que a su vez tendrá información sobre las actividades en el servidor, como por ejemplo los logs del Internet Information Services, cuando posee habilitado el log del W3SVC.El formato del archivo es W3C Extended Log File Format (W3SVC1).
En donde están las pistas?… ¿existen?
Evidencia, ¿Dónde está la evidencia?!!!, la palabra más usada y buscada cuando hay un incidente de seguridad. Se desea saber el ¿Cuándo? , ¿Cómo?, ¿Por dónde? ¿Quién?. Los registros que sirvan para dejar constancia de un incidente, lo denominaremos EVIDENCIA. Se recuerda que se deben seguir los procesos legales recomendados de cada país, si quieren usarse como prueba legal de un delito informático.
La evidencia existe si se ha configurado adecuadamente la plataforma para que dejen registros sobre las actividades. Por ejemplo, una carpeta compartida en la red, sobre el sistema de archivo NTFS, no genera auditoria a menos que se las habilite. Allí se podrá obtener información de accesos e incluso de usuarios que borran deliberadamente un archivo de esta carpeta si poseen los permisos.
En cuanto a los accesos, los sistemas operativos Microsoft, poseen información de acceso, tipo de actividad, e incluso desde donde se accede, pero muchas de esas cualidades deben ser habilitadas.
Volatibilidad
Uno de los graves problemas que presenta la evidencia digital, es que es volátil. Por ejemplo, los logs de MS Windows 2003, los registros de seguridad en el visor de eventos posee un tamaño de 16 Mb de manera predeterminada. En el caso de existir un nivel alto de auditoría, los mismos se sobrescriben y la evidencia se pierde. Adios a la prueba digital.
Obviamente, podemos tomar medidas para proteger los registros, como:
_____1)Configurar un tamaño acorde a la cantidad de registros que entran diariamente, con el fin de contar al menos con 4 días completos de registros.
_____2)Instalar una herramienta que recoja todos los registros y los guarde en un servidor. Por ejemplo el MOM 2005 o el System Center Operations Manager 2007, poseen esta cualidad, en donde podremos centralizar todos los logs de los servidores en una base de datos y realizar consultas de los registros en cualquier momento.
En la próxima entrega analizaremos los números mas frecuentes, que identifica cada código y que pasos seguir.
Hasta la próxima.
Quique
Este portal está diseñado con el fin de difundir conceptos de seguridad informática y seguridad de la información. Hoy en día es necesario crear conciencia de lo que es realmente la seguridad, por ello estamos intentando con este portal, dar a conocer todas las novedades y nuevas tecnologías. Todos aquellos que quieran participar, deben hacerlo respetando las normas de Netiquette.
miércoles, 21 de enero de 2009
jueves, 15 de enero de 2009
Actualizaciones de Enero - Microsoft
Actualizaciones de Microsoft (ENERO)
Como practica habitual, Microsoft lanza sus actualizaciones planificadas, el segundo martes de cada mes. En este mes se ha publicado el boletin de seguridad MS09-001.
Esta actualización de seguridad resuelve dos vulnerabilidades en el protocolo del bloque de mensajes del servidor (SMB) de Microsoft de las que se ha informado de forma privada y una de forma pública. Las vulnerabilidades podrían permitir la ejecución remota de código en los sistemas afectados. Un atacante que aprovechara con éxito estas vulnerabilidades podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.
Este parche sustituye al parche anterior (MS08-063) en todos los sistemas afectados. Para indagar más sobre esta vulnerabilidad, pueden visitar http://cve.mitre.org e indagar mas sobre esta vulnerabilidad, ubicando el documento técnico CVE-2008-4834.
Tengan en cuenta, que hay Malware que han surgido entre diciembre del año pasado y este mes que aprovechan la vulnerabilidad de la plataforma, por lo que se recomienda aplicar este parche.
En el enlace http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx podrán acceder al documento publicado por Microsoft.
Saludos - Quique
Fuente: Microsoft.
Como practica habitual, Microsoft lanza sus actualizaciones planificadas, el segundo martes de cada mes. En este mes se ha publicado el boletin de seguridad MS09-001.
Esta actualización de seguridad resuelve dos vulnerabilidades en el protocolo del bloque de mensajes del servidor (SMB) de Microsoft de las que se ha informado de forma privada y una de forma pública. Las vulnerabilidades podrían permitir la ejecución remota de código en los sistemas afectados. Un atacante que aprovechara con éxito estas vulnerabilidades podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.
Este parche sustituye al parche anterior (MS08-063) en todos los sistemas afectados. Para indagar más sobre esta vulnerabilidad, pueden visitar http://cve.mitre.org e indagar mas sobre esta vulnerabilidad, ubicando el documento técnico CVE-2008-4834.
Tengan en cuenta, que hay Malware que han surgido entre diciembre del año pasado y este mes que aprovechan la vulnerabilidad de la plataforma, por lo que se recomienda aplicar este parche.
En el enlace http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx podrán acceder al documento publicado por Microsoft.
Saludos - Quique
Fuente: Microsoft.
miércoles, 7 de enero de 2009
Ser un auditor de seguridad y no morir en el intento!!
Estimados:
He recibido una buena cantidad de correos pidiendo información en base a los Webcast realizados en noviembre y diciembre sobre las auditorias de seguridad o de como verificar el nivel de seguridad de la plataforma. Por ello, les unifico en este artículo, los Webcast que supimos dictar en el 2008 referidos a este tema.
Espero que sean de su utilidad. Cada artículo posee la URL que los lleva al sitio de Microsoft donde están alojadas las grabaciones:
1) Hágalo Usted mismo: Auditorias de Seguridad. Parte1.
2) Hágalo Usted mismo: Auditorias de Seguridad. Parte2.
3) Descubre lo nuevo de MSAT 4.0.
4) Analiza la seguridad de tu red
5) Plataforma actualizada, plataforma segura
6) Conversa con el Auditor
Agradecido por los correos recibidos y espero verlos próximamente.
Hasta la próxima...
Quique
He recibido una buena cantidad de correos pidiendo información en base a los Webcast realizados en noviembre y diciembre sobre las auditorias de seguridad o de como verificar el nivel de seguridad de la plataforma. Por ello, les unifico en este artículo, los Webcast que supimos dictar en el 2008 referidos a este tema.
Espero que sean de su utilidad. Cada artículo posee la URL que los lleva al sitio de Microsoft donde están alojadas las grabaciones:
1) Hágalo Usted mismo: Auditorias de Seguridad. Parte1.
2) Hágalo Usted mismo: Auditorias de Seguridad. Parte2.
3) Descubre lo nuevo de MSAT 4.0.
4) Analiza la seguridad de tu red
5) Plataforma actualizada, plataforma segura
6) Conversa con el Auditor
Agradecido por los correos recibidos y espero verlos próximamente.
Hasta la próxima...
Quique
lunes, 5 de enero de 2009
CHECKPOINT PARTNER en CORDOBA!!
Estimados
Con mucho agrado les comentamos que Punto NET Soluciones SRL ha sido nombrado partner exclusivo de Cordoba de las soluciones CHECKPOINT, dado que hemos cumplido con los requisitios de la marca.
Esta marca posee excelentes soluciones de VPN y Firewall. Dentro de los equipos, tenemos para oficinas pequeñas (Safe@Office), medianas (UTM Edge) y grandes (UTM-1).
Los mismos proveen soluciones de antivirus a nivel de gateway, IPS, URL Filtering entre otra soluciones.
Para más información acceder al sitio www.checkpoint.com.
Saludos
Quique Dutra
Con mucho agrado les comentamos que Punto NET Soluciones SRL ha sido nombrado partner exclusivo de Cordoba de las soluciones CHECKPOINT, dado que hemos cumplido con los requisitios de la marca.
Esta marca posee excelentes soluciones de VPN y Firewall. Dentro de los equipos, tenemos para oficinas pequeñas (Safe@Office), medianas (UTM Edge) y grandes (UTM-1).
Los mismos proveen soluciones de antivirus a nivel de gateway, IPS, URL Filtering entre otra soluciones.
Para más información acceder al sitio www.checkpoint.com.
Saludos
Quique Dutra
Año Nuevo...Gusano nuevo... WORM_DOWNAD.AD
Estimados:
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.
Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.
Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.
Las recomendaciones son:
1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.
En la proxima entrega, les mostraremos como realizar un despliegue efectivo y rápido de esta actualización de Microsoft.
Saludos
Enrique
PD: se agradece a Trend Micro y a GFI por el aporte de la información para este artículo.
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.
Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.
Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.
Las recomendaciones son:
1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.
En la proxima entrega, les mostraremos como realizar un despliegue efectivo y rápido de esta actualización de Microsoft.
Saludos
Enrique
PD: se agradece a Trend Micro y a GFI por el aporte de la información para este artículo.
Suscribirse a:
Entradas (Atom)