Red Grupo de Trabajo D. Brezinski Peticin de Comentarios: En 3227-Q-Tel BCP: 55 T. Killalea Categora: Mejores Prcticas actuales neart.

org Febrero 2002 Directrices para la coleccin de archivo y Prueba Condicin de este Memo Este documento especifica un Internet Mejores Prcticas Actuales de la Comunidad Internet, y solicita debate y sugerencias para Mejoras. La distribucin de este memo es ilimitada. Aviso de Copyright Copyright (C) The Internet Society (2002). Todos los derechos reservados. Resumen Un "incidente de seguridad", tal como se definen en el "Glosario de seguridad de Internet", RFC 2828, es un sistema de seguridad pertinentes en caso de que el sistema La poltica de seguridad es desobedecido o no violada. El propsito de Este documento es proporcionar a los administradores de sistemas con directrices sobre La recopilacin y archivo de las pruebas pertinentes a dicha seguridad Incidente. Si la recopilacin de pruebas se realiza correctamente, es mucho ms til en Aprehender al atacante, y est mucho ms posibilidades de ser Admisible en el caso de un proceso judicial. Tabla de contenidos 1 Introduccin ................................................ .... 2 1,1 Convenciones utilizadas en este documento ........................... 2 2 Principios Rectores durante Prueba Coleccin ................... 3 2,1 Orden de Volatilidad ......................................... 4 2,2 Cosas de evitar ............................................. 4 2,3 privacidad ...................................... 5 2,4 legales ........................................ 5 3 La Coleccin Procedimiento ........................................ 6 3,1 Transparencia ................................................ 6 3,2 Coleccin Pasos ............................................ 6 4 El procedimiento de archivo de ......................................... 7 4,1 Cadena de Custodia ............................................ 7 4,2 El Archivo ............................................... .. 7

5 Herramientas que necesitar ............................................ ... 7 Brezinski & Killalea Mejores Prcticas actuales [Pgina 1] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 6 Referencias ................................................ ...... 8 7 Agradecimientos ................................................ 8 8 Seguridad Consideraciones ......................................... 8 9 de los autores Direcciones .............................................. 9 10 Declaracin Copyright completa ....................................... 10 1 Introduccin Un "incidente de seguridad", tal como se define en [RFC2828] es un pertinente relativo a la seguridad Sistema evento en el que la poltica de seguridad del sistema o es desobedecido De otra violada. El propsito de este documento es proporcionar a los Administradores de sistemas con directrices sobre la recopilacin y archivo De las pruebas pertinentes a este incidente de seguridad. No es nuestra Intencin de insistir en que todos los administradores de sistemas seguir rgidamente Estas directrices cada vez que tienen un incidente de proteccin. Ms bien, Queremos proporcionar orientacin sobre lo que deben hacer si deciden Recoger y proteger informacin relativa a una intrusin. Dicha coleccin representa un esfuerzo considerable por parte de la El administrador del sistema. Se han hecho grandes progresos en los ltimos aos Para acelerar el restablecimiento de la instalacin del sistema operativo y de Facilitar la reversin de un sistema a un 'conocido' estado, de modo que La "opcin fcil" an ms atractivo. Mientras tanto, poco se ha Hacer para facilitar el archivo de los medios de prueba (la difcil Opcin). Adems, el aumento de la capacidad de disco y de memoria y ms Uso generalizado de sigilo y cubrir a su tctica de las pistas por los atacantes Han exacerbado el problema. Si la recopilacin de pruebas se realiza correctamente, es mucho ms til en Aprehender al atacante, y est mucho ms posibilidades de ser Admisible en el caso de un proceso judicial. Debe utilizar estas directrices como base para la formulacin de su Del sitio de obtencin de pruebas, y debe incorporar su Sitio del incidente de los procedimientos de manipulacin en su documentacin. El Directrices, en este documento puede no ser apropiado en todas las Jurisdicciones. Una vez que haya formulado su sitio de la prueba Procedimientos de recoleccin, debera tener la aplicacin de la ley para su Jurisdiccin confirmar que son adecuados.

1,1 Convenciones utilizadas en este documento Las palabras clave "REQUERIDO", "DEBE", "NO DEBE", "DEBERA", "NO", Y "MAYO", en este documento se han de interpretar como se describe en "clave Palabras para su uso en RFC para Indicar Niveles de Exigencia "[RFC2119]. Brezinski & Killalea Mejores Prcticas actuales [Pgina 2] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 2 Principios Rectores durante Prueba Coleccin -- Respetar a su sitio la poltica de seguridad y comprometer a la Manejo apropiado de incidentes y aplicacin de la ley personal. -- Captura de una imagen lo ms exacta del sistema como sea posible. -- Mantenga notas detalladas. Estas deben incluir fechas y horas. Si Posible generar una transcripcin automtica. (Por ejemplo, En Unix Sistemas de la 'script' puede ser usado, sin embargo la salida Archivo que genera no se deben a los medios de comunicacin que es parte de la De pruebas). Notas e impresos de salida debe ser firmado y fechado. -- Nota la diferencia entre el sistema y el reloj UTC. Para cada Fecha y hora previstas, indicar si el tiempo UTC o local se utiliza. -- Est preparado para testificar (quizs aos ms tarde), que expone todos los Acciones que tom y en qu momento. Notas detalladas se Vital. -- Minimizar los cambios a los datos en que se van a coleccionar. Esto es No se limita a los cambios en los contenidos, as que debera evitar la actualizacin de archivo Los tiempos de acceso o directorio. -- Eliminar las vas externas para el cambio. -- Cuando nos enfrentamos a una eleccin entre la reunin y el anlisis Que debe hacer primero la recogida y el anlisis posterior. -- Aunque no es necesario que dijera, sus procedimientos deben ser Aplicable. Como en cualquier aspecto de la respuesta a un incidente La poltica, los procedimientos deben ser probados para garantizar la viabilidad, Especialmente en una crisis. Si es posible, los procedimientos deben ser Automatizadas, por razones de velocidad y precisin. Ser metdico.

-- Por cada dispositivo, de adoptar un criterio que debe ser aprobado Se ajusta a las directrices establecidas en el procedimiento de su coleccin. Speed ser con frecuencia de manera crtica, donde hay una serie de Dispositivos que requieren examen puede ser apropiado para difundir El trabajo entre su equipo para recoger las pruebas en paralelo. Sin embargo en un nico sistema dado de recogida debe hacerse paso A paso. -- Proceda de la voltil a la menos voltil (vase la Orden Volatilidad de abajo). Brezinski & Killalea Mejores Prcticas actuales [Pgina 3] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 -- Usted debera hacer un poco de nivel de la copia del sistema de medios de comunicacin. Si Deseo de hacer el anlisis forense debe hacer una copia a nivel de bits Su copia de las pruebas para ese fin, como su anlisis Casi seguro que modificar los tiempos de acceso de archivo. Evite hacer En las pruebas forenses copia. 2,1 Orden de Volatilidad Cuando la recoleccin de pruebas que debe proceder de la inestabilidad a la Menos voltiles. Aqu tiene un ejemplo de orden de la volatilidad de un tpico Sistema. -- Registros, cach -- Tabla de enrutamiento, cach arp, el proceso de mesa, ncleo de las estadsticas, Memoria -- Temporal de los sistemas de archivos -- Disco -- Registro y supervisin remota de datos que es de inters para el Sistema en cuestin -- Configuracin fsica, la topologa de la red -- Los medios de comunicacin de archivo 2,2 Cosas de evitar Es demasiado fcil destruir las pruebas, sin embargo inadvertidamente.

-- No cierre hasta que haya concluido la recopilacin de pruebas. Muchas pruebas se pueden perder y el atacante puede haber alterado el Inicio / apagado scripts / servicios para destruir las pruebas. -- No confes en los programas en el sistema. Ejecute sus pruebas Recopilacin de los programas de los medios de comunicacin debidamente protegidos (vase A continuacin). -- No ejecute programas que modifiquen el tiempo de acceso de todos los archivos de El sistema (por ejemplo, 'tar' o 'xcopy'). Brezinski & Killalea Mejores Prcticas actuales [Pgina 4] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 -- Al retirar las vas externas para el cambio en cuenta que simplemente Desconectar o filtrado de la red puede desencadenar "Muerto interruptores" que detectan cuando estn fuera de la red y Borrar pruebas. 2,3 privacidad -- Respetar la intimidad normas y directrices de su empresa y Su jurisdiccin legal. En particular, asegrese de que no Con la informacin recogida a lo largo de las pruebas que est buscando Est disponible para cualquier persona a la que normalmente no tienen acceso A esta informacin. Esto incluye el acceso a los archivos de registro (que Puede revelar patrones de comportamiento de los usuarios), as como los datos personales Archivos. -- No inmiscuirse en la vida privada de personas sin un fuerte Justificacin. En particular, no recopilan informacin de Zonas que normalmente no tienen acceso a la razn (como Expediente personal tiendas) a menos que usted tenga una indicacin suficiente Que hay un incidente real. -- Asegrese de que tiene el respaldo de su empresa establecida Procedimientos en la toma de los pasos que hacer para reunir las pruebas de un Incidente. 2,4 legales La prueba debe ser

-- Admisibles: Debe ajustarse a ciertas normas jurdicas antes de que Se pueden poner ante un tribunal. -- Autntico: Debe ser posible empate positivamente a la prueba Material de los hechos. -- Completa: Debe cuentan toda la historia y no slo una Perspectiva particular. -- Fiabilidad: Debe haber nada acerca de la forma en que la prueba fue Posteriormente recogidos y manipulados que arroja dudas acerca de su Autenticidad y veracidad. -- Believable: Debera ser fcilmente comprensible y creble Por un tribunal. Brezinski & Killalea Mejores Prcticas actuales [Pgina 5] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 3 El procedimiento de recogida Su coleccin procedimientos deben ser lo ms detallado posible. Como es En el caso de su estado general de los procedimientos de Manejo de Incidentes, deben Ser inequvocos, y debe reducir al mnimo la cantidad de la toma de decisiones Necesarios durante el proceso de recoleccin. 3,1 Transparencia Los mtodos utilizados para recopilar pruebas deben ser transparentes y Reproducible. Usted debe estar preparado para reproducir con precisin el Mtodos que utiliz, y han probado los mtodos independientes Expertos. 3,2 Coleccin Pasos -- Dnde estn las pruebas? Lista de lo que son los sistemas que participan en la Incidente y de la que se recogern las pruebas. -- Establecer lo que es probable que sea pertinente y admisible. Cuando En la duda abstente de recoleccin demasiado ms que no Suficiente. -- Para cada sistema, obtener la correspondiente orden de la volatilidad.

-- Eliminar las vas externas para el cambio. -- A raz de la orden de la volatilidad, recoger las pruebas con Herramientas tal como se describe en la Seccin 5. -- Registro de la medida de que el sistema de reloj de la deriva. -- Pregunta qu otra cosa pueden ser las pruebas a medida que se trabaja a travs de la Coleccin pasos. -- Documento cada paso. -- No se olvide de las personas involucradas. Tomar notas de que fue all Y lo que se hace, lo que observ y la forma en que Reaccionado. Cuando sea posible se deben tomar en cuenta la generacin de comprobacin y Criptogrficamente la firma recogidas las pruebas, ya que esto puede hacer Ms fcil de mantener una fuerte cadena de pruebas. Al hacerlo, usted debe No alterar las pruebas. Brezinski & Killalea Mejores Prcticas actuales [Pgina 6] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 4 El procedimiento de archivo Las pruebas deben ser estrictamente garantizados. Adems, la Cadena de Custodia Debe estar claramente documentado. 4,1 Cadena de Custodia Usted debe ser capaz de describir claramente la manera en la se encontraron pruebas, Cmo se maneja y todo lo que sucedi a l. Los siguientes deben ser documentadas -- Dnde, cundo y por quin fue descubierto y las pruebas Recogidos. -- Dnde, cundo y por quin fue manejado o las pruebas de examen. -- Quin tiene la custodia de las pruebas, durante qu perodo. Cmo se Que almacenan. -- Cuando las pruebas cambiado custodia, el momento y la forma en que el Transferencia ocurrir (incluir nmeros de envo, etc.)

4,2 Dnde y cmo Archivo Si es posible de uso comn los medios de comunicacin (en lugar de alguna oscura de almacenamiento Los medios de comunicacin) deberan ser utilizados para el archivo. Acceso a la prueba debera ser muy limitado, y debe ser Claramente documentados. Debe ser posible detectar no autorizado Acceso. 5 Herramientas que necesitar Usted debe tener los programas que usted necesita hacer acopio de pruebas y Forense en medios de slo lectura (por ejemplo, un CD). Usted debe tener preparado Tal un conjunto de herramientas para cada uno de los sistemas operativos que usted maneja Antes de tener que utilizarlo. Su conjunto de herramientas deben incluir lo siguiente: -- Un programa de examen de los procesos (por ejemplo, 'ps'). -- Programas para el examen de estado del sistema (por ejemplo, 'showrev', 'Ifconfig', 'netstat', 'arp'). -- Un programa para hacer poco a poco las copias (por ejemplo, 'dd', 'SafeBack'). Brezinski & Killalea Mejores Prcticas actuales [Pgina 7] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 -- Programas para la generacin y firmas de comprobacin (por ejemplo, "Sha1sum", un checksum habilitado 'dd', 'SafeBack', 'pgp'). -- Programas para la generacin de imgenes bsico y para examinarlas (Por ejemplo, 'gcore', 'gdb'). -- Scripts para automatizar la recopilacin de pruebas (por ejemplo, The Coroner's Instrumental [FAR1999]). Los programas en su conjunto de herramientas debe ser enlazado, y No debera requerir el uso de cualquier bibliotecas distintas de las de la Medios de slo lectura. An as, desde el moderno rootkits pueden ser instalados A travs de mdulos cargables del ncleo, usted debera considerar la posibilidad de que sus herramientas Podra no ser dndole una imagen completa del sistema.

Usted debe estar preparado para dar testimonio de la autenticidad y fiabilidad De las herramientas que utilice. 6 Referencias [FAR1999] Farmer, D., y W Venema, "Computer Anlisis Forense Clase folletos ", http://www.fish.com/forensics/ [RFC2119] Bradner, S., "Palabras clave para su uso en RFC para Indicar Niveles de exigencia ", BCP 14, RFC 2119, marzo de 1997. [RFC2196] Fraser, B., "Sitio Manual de Seguridad", FYI 8 2196, De septiembre de 1997. [RFC2350] Brownlee, N. y E. Guttman, "Expectativas para el ordenador Respuesta a Incidentes de Seguridad ", FYI 8, RFC 2350, junio de 1998. [RFC2828] Shirey, R., "Glosario de seguridad de Internet", FYI 36, RFC 2828, de mayo de 2000. 7 Agradecimientos Agradecemos las observaciones constructivas recibidas de los Harald Alvestrand, Byron Collie, Barbara Y. Fraser, Gordon Lennox, Andrew Rees, Steve Romig y Floyd corto. 8 Consideraciones de Seguridad Este documento discuses cuestiones de seguridad. Brezinski & Killalea Mejores Prcticas actuales [Pgina 8] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 9 de los autores Direcciones Dominique Brezinski In-Q-Tel 1000 Wilson Blvd., Ste. 2900 Arlington, VA 22209 EE.UU. EMail: dbrezinski@In-Q-Tel.org Tom Killalea Lisi / n na Bro / n Ser / al A / tha na Muice

Co Mhaigh Eo IRLANDA Telfono: +1 206 266-2196 EMail: tomk@neart.org

Brezinski & Killalea Mejores Prcticas actuales [Pgina 9] RFC 3227 Prueba de archivo y coleccin de Febrero de 2002 10. Completo declaracin de los derechos de autor Copyright (C) The Internet Society (2002). Todos los derechos reservados. Este documento y sus traducciones puede ser copiado y facilitado a Otros, y las obras derivadas que comentar o de otra manera explicarlo O asistencia para su ejecucin podrn ser preparados, copiados, publicados Y distribuido, en su totalidad o en parte, sin restriccin de ningn Tipo, siempre que el aviso de copyright anterior y este prrafo son Incluido en todas esas copias y trabajos derivados. Sin embargo, este Documento en s no puede ser modificado de ninguna manera, como mediante la eliminacin de La nota de copyright o referencias a la Sociedad Internet o de otros Organizaciones de Internet, excepto cuando sea necesario con el fin de El desarrollo de estndares de Internet, en cuyo caso los procedimientos para Define los derechos de autor en el proceso de normalizacin de Internet debe ser Seguida, o segn sea necesario traducirla a otros idiomas distintos Ingls. Los limitados permisos concedidos anteriormente son perpetuos y no se Revocados por la Internet Society ni sus sucesores o cesionarios. Este documento y la informacin contenida en este documento se proporciona en un "TAL CUAL" y LA INTERNET Y LA SOCIEDAD DE INGENIERA DE INTERNET Grupo de tareas de renuncia a toda garanta, expresa o implcita, incluyendo Pero no limitado a ninguna garanta de que el uso de la informacin En este documento no vulnere cualquier derecho o cualquier garanta implcita de Comerciabilidad o aptitud para un propsito en particular.