a incidentes
Identificar informações críticas em incidentes de segurança; Prover o entendimento e escopo de incidentes; Interpretar notificações de incidentes.
Análise de cabeçalhos de e-mails; Identificação de informações relevantes em logs de serviços e sistemas; Resposta, notificação e encaminhamento de incidentes de segurança.
Introdução
Sabe-se que o processo de resposta a incidentes é constituído por uma metodologia e etapas bem definidas. O capítulo anterior apresentou uma visão geral do processo de res- posta a incidentes de uma maneira organizacional. De forma complementar, este capítulo tem por objetivo apresentar as diferentes etapas sob o ponto de vista operacional. Para isso, serão apresentadas ferramentas e técnicas que servem para identificar informações sensíveis de incidentes e prover recursos para a resolução.
Aspectos operacionais da resposta a incidente
q
Os aspectos operacionais da resposta a incidentes descrevem de forma pragmática como as diferentes etapas da metodologia de resposta a incidente podem ser implementadas. É importante lembrar que existem diferentes processos e metodologias para lidar com os incidentes de segurança – cada CSIRT deve implementar sua metodologia conforme as suas próprias peculiaridades: abrangência operacional e política da instituição. Mesmo assim, existe um conjunto de atividades que permeiam as diferentes metodologias e podem auxi- liar o CSIRT em suas tarefas especializadas.
A identificação de um incidente, por exemplo, é uma tarefa presente em qualquer metodologia de resposta a incidente. A partir do momento que um incidente de segurança é identificado, cabe à equipe definir quais são as ações a serem desempenhadas pela equipe. Essas etapas operacionais seguem um fluxo lógico bem definido. A figura a seguir ilustra as principais ações que podem ser desempenhadas assim que um incidente de segurança é identificado.
obj
et
ivo
s
co
nc
ei
to
s
Tra ta me nt o d e I nci de nt es d e S eg ur anç a incidente identificação priorizar categorizar atribuir triagem
q
Inicialmente, assim que o CSIRT identifica um possível incidente de segurança, entram em ação etapas de classificação e priorização dos eventos.
Posteriormente, a equipe atribui os incidentes aos seus devidos responsáveis para que os devidos procedimentos sejam aplicados. Na sequência as diferentes etapas da metodologia são caracterizadas com maior nível de detalhamento.
Identificação
q
A identificação visa confirmar a real existência do incidente e realizar uma análise inicial dos recursos afetados. No que tange as questões operacionais, cabe relembrar as diversas formas que um incidente pode ser identificado:
1 Identificada pelo próprio CSIRT;
1 Notificada por entidades da própria instituição; 1 Notificação por entidades externas.
Para isso, o CSIRT usa a sua infraestrutura e recursos para identificar os incidentes de segurança.
Ferramentas de segurança do próprio CSIRT, por exemplo, podem ser utilizadas para identificar incidentes de segurança destinados à instituição. As ferramentas de detecção de intrusão são úteis para identificar máquinas comprometidas na própria rede local. Da mesma forma, incidentes podem ser identificados por outros departamentos através da simples observação comportamental dos sistemas (lentidão, muitas conexões, uso intenso de disco rígido em ociosidade do sistema).
q
Por outro lado, um incidente pode ser notificado por meio de entidades externas, tal como CSIRTs, redes atacadas, grupos de pesquisas.
Sendo assim, todo incidente de segurança deve ser analisado de forma criteriosa, com a verificação da origem e a veracidade das informações reportadas. Como parte da avaliação, não basta apenas examinar as informações do corpo da mensagem da notificação, mas em alguns casos inspecionar seu cabeçalho.
Figura 5.1
Etapas operacionais iniciais na análise de um incidente de segurança.
Ca pí tu lo 5 - A sp ec to s o pe ra ci on ai s d a r es po st a a i nc id en te s
Mensagens de e-mail
Como se sabe, o envio de mensagens é realizado por um servidor de e-mail tipicamente utilizando o protocolo Simple Mail Transfer Protocol (SMTP) para transmissão da mensagem desejada. Em geral, os servidores SMTP – servidor de e-mail da instituição – permitem que as máquinas da rede interna conectem e enviem mensagens. Para isso, os servidores de e-mail podem ser configurados de diferentes maneiras, usando políticas distintas para a transmissão de mensagens. O ideal, por questões de segurança, é que um servidor de e-mail não deveria permitir a submissão direta de mensagens de e-mails de máquinas internas sem garantir a autenticação dos usuários. Afinal, máquinas comprometidas poderiam valer-se dessa relação de confiança e usar o servidor da instituição para enviar mensagens indesejadas.
As boas práticas de configuração descrevem maneiras de configurar de modo seguro os ser- vidores de e-mail de uma instituição. Um exemplo é a política de segurança que implementa o “Gerenciamento da porta 25”.
q
Antes de analisar mensagens de e-mail, é importante relembrar a anatomia típica de uma mensagem. Uma mensagem de e-mails é constituída por três partes distintas: 1 Envelope: diretivas utilizadas para o efetivo encaminhamento da mensagem; 1 Cabeçalho: diretivas informacionais que descrevem propriedades da mensagem; 1 Corpo de mensagens: conteúdo da mensagem de e-mail.
O envelope determina onde a mensagem de e-mail efetivamente vai ser entregue. O enve- lope é invisível ao usuário não fazendo parte da mensagem de e-mail. As informações do envelope são utilizadas internamente pelo protocolo de envio de mensagens (SMTP).
q
De forma resumida, o protocolo SMTP necessita mandatoriamente dos seguintes campos: 1 mail from: <[email protected]>
1 rcpt to: <[email protected]>
Os campos “mail from:” e “rcpt to:” são utilizados respectivamente para especificar a origem da mensagem e o destinatário. Caso não seja possível entregar a mensagem, a mesma mensagem é retornada para o endereço de origem. É importante lembrar que as diretivas do envelope da mensagem são totalmente independentes do cabeçalho. Sendo assim, é possível ter a diretiva “mail from:” e a diretiva do cabeçalho “From” diferentes. Essa inconsis- tência entre o cabeçalho e o envelope é uma técnica bastante utilizada por fraudadores de modo a forjar a origem das mensagens.
q
Já o cabeçalho da mensagem de e-mail é constituído por um conjunto de informações especificadas na RFC 5322.
Tais diretivas descrevem informações da mensagem, como: data e hora em que a mensagem foi envida, servidores de e-mail intermediários utilizados para enviar a mensagem e seus respectivos horários de recebimento. Por fim, o corpo da mensagem é o conteúdo da men- sagem propriamente dito. Tipicamente em formato texto sem formatação, mas pode conter outros formatos, incluindo HTML, arquivos binários (anexo) e também conteúdo cifrado. Mais informações
podem ser encontradas em: http://www. antispam.br/admin/ porta25/motivacao/
Tra ta me nt o d e I nci de nt es d e S eg ur anç a
Análise de cabeçalho
q
A análise do cabeçalho de e-mail consiste em examinar certas informações presentes nas mensagens em busca de inconsistências. As características de uma mensagem de notificação podem revelar:
1 Mensagens forjadas; 1 IP de origem do remetente;
1 Características do servidor de e-mail; 1 Erros de configuração;
1 Sincronia de tempo.
O entendimento dos cabeçalhos de uma mensagem é uma habilidade demandada para os membros da equipe do CSIRT. O primeiro passo é localizar o cabeçalho de uma mensagem de e-mail. Muitos softwares ocultam parte das diretivas do cabeçalho apresentando apenas algumas informações, tal como: origem, destino, assunto e data, muito embora seja possível visualizar o cabeçalho completo das mensagens alterando o modo de exibição da ferramenta. Mesmo em casos onde são utilizados sistemas de webmail é possível obter essas informa- ções do cabeçalho das mensagens. No Gmail, webmail do Google, por exemplo, é possível obter informações de cabeçalho da mensagem utilizando a opção “Show original” no menu da mensagem, conforme ilustrado nesta figura:
O cabeçalho da mensagem deve ser interpretado no sentido “de baixo para cima”.
q
Na sequência – figura 5.3 –, é exemplificado um cabeçalho de uma mensagem de e-mail arbitrário e a sua respectiva interpretação.
Figura 5.2
Visualizando o cabeçalho no webmail Gmail.
Ca pí tu lo 5 - A sp ec to s o pe ra ci on ai s d a r es po st a a i nc id en te s 1 Return-Path: <[email protected]> 2 X-Original-To: [email protected] 3 Delivered-To: [email protected]
4 Received: from mail.esr.rnp.br (mail.esr.rnp.br [10.10.10.10]) 5 (using TLSv1 with cipher AECDH-AES256-SHA (256/256 bits)) 6 (No client certificate requested)
7 by intra.esr.rnp.br (Postfix) with ESMTPS id 9CCF04CEB46
8 for <[email protected]>; Fri, 4 Oct 2013 16:47:56 -0300 (BRT) 9 Received: by mail.esr.rnp.br (Postfix)
10 id 5F71941AB1D; Fri, 4 Oct 2013 16:47:56 -0300 (BRT) 11 Delivered-To: [email protected]
12 Received: from rota5.anonnet.net (rota4.anonnet.net [10.1.1.1]) 13 (using TLSv1 with cipher DHE-DSS-AES256-SHA (256/256 bits)) 14 (No client certificate requested)
15 by mail.esr.rnp.br (Postfix) with ESMTPS id 52EB441AA74 16 for <[email protected]>; Fri, 4 Oct 2013 16:47:56 -0300 (BRT) 17 Received: from [10.10.2.1] (port=17213 helo=SXXXNIP005)
18 by sh.anonnet.net with esmtpa (Exim 4.80) 19 (envelope-from <[email protected]>)
20 id 1VSB6d-0048UJ-Kv
21 for [email protected]; Fri, 04 Oct 2013 16:32:07 -0300
22 Return-Receipt-To: “Reportador de incidentes :: anon DATACENTER” <[email protected]> 23 User-Agent: KMail/4.8.5 (Linux/3.2.0-54-generic; KDE/4.8.5; x86_64; ; )
24 MessageId: 4234xDfAF
25 Message-Id: <201312011813.rB1ID7V3020559> 26 Date: Fri, 04 Oct 2013 16:32:00 -0300 27 Subject: comprometimento de sistemas 28 From: [email protected]
q
Os diferentes campos do cabeçalho permitem observar alguns identificadores básicos que podem facilmente revelar detalhes do e-mail recebido, tal como:
1 Linha 2: To/X-Original-To: endereço de destino: endereço de e-mail de destino da mensagem;
1 Linha 23: User-Agent: software utilizado: descreve a identificação do software utili- zado para compor e submeter a mensagem de e-mail ao servidor;
1 Linha 26: Date: horário de envio: data e horário em que o e-mail foi enviado, ou seja, no momento em que foi recebido pelo respectivo servidor de envio;
1 Linha 28: From: endereço de origem: endereço de e-mail do remetente. Essa infor- mação é inserida pelo próprio remetente e não existe nenhuma espécie de verificação. Sendo assim, pode-se concluir que a mensagem foi enviada pelo endereço “[email protected]” através do servidor “sh.anonnet.net”, que utiliza o software “Exim versão 4.80” para envio de e-mail. Também é possível identificar que a mensagem foi escrita no Sistema Operacional Linux e usando o software “Kmail” para composição da mensagem. Posteriormente, a men- sagem foi encaminhada para o servidor “mail.esr.rnp.br”, que repassou para o servidor de e-mail “intra.esr.rnp.br” até chegar ao seu destino final.
A análise de informações do cabeçalho em sistemas e webmail é muito semelhante. Em alguns sistemas de webmail é possível observar o campo “X-Originating-IP” presente no cabeçalho da mensagem. Esse campo identifica o endereço IP utilizado para compor a men- sagem, ou seja, o endereço IP do computador que autenticou no webmail.
Figura 5.3
cabeçalho de e-mail.
Tra ta me nt o d e I nci de nt es d e S eg ur anç a
De fato, a análise do cabeçalho de mensagens de e-mail exige atenção; no entanto, existem algumas ferramentas que podem facilitar essa tarefa. Existem serviços online que permitem analisar o cabeçalho de e-mail de forma automatizada. Boa parte das ferramentas online identificam os principais campos do cabeçalho e permitem que conclusões sejam tomadas pelo analista. Um exemplo é o serviço Message Header Analyzer: https://toolbox.google- apps.com/apps/messageheader/
A título de ilustração, o mesmo cabeçalho apresentado na figura 5.3 foi analisado no referido serviço online. Como resultado, obteve-se a seguinte análise:
A análise dessas informações podem revelar indícios de que uma mensagem foi forjada. Observando campos, tal como IP de origem, servidores de e-mail utilizados para envio de mensagens, reverso dos IPs e demais fatores são essenciais para identificar irregularidades.
Figura 5.4
Ferramenta online para análise de cabeçalho de e-mail.
Ca pí tu lo 5 - A sp ec to s o pe ra ci on ai s d a r es po st a a i nc id en te s