En España, existen varios colectivos de seguridad a los cuales podemos acudir si necesitamos ayuda tecnica para analizar el servidor comprometido. Que yo sepa contamos con el esCERT-UPC (
http://escert.upc.es∞) y con IRIS-CERT (Iris-CERT), el primero cubre todo el estado Español, mientras que el segundo es de ambito academico. Los cuales nos pueden proporcionar ayuda tecnica y legal sobre el tema, pero en caso de realizar una denuncia contra el pirata, podemos comunicarselo a estos organismos o directamente a la Guardia Civil (
http://www.guardiacivil.org∞), los cuales tiene un grupo de guardias civiles para estos casos, GDI (Grupo Delincuencia Informatica).
El esCERT-UPC ofrece un interesante abanico de posibilidades, que van desde el analisis, recomendaciones, formacion y asistencia a emergencias informaticas, ademas de seminarios sobre el tema a los encargados de seguridad. Para cualquier duda estan disponibles las 24 horas del dia, siempre y cuando nos hayamos regristrado (solo para los responsables de seguridad de las empresas), que por cierto es gratis. Ademas todo queda bajo secreto profesional por los expertos del esCERT-UPC.
En caso de necesitar ayuda tecnica debido a que hemos sido atacados por un pirata, deberemos rellenar un formulario, el cual es opcional, pero es recomandable para una mejor actuacion del esCERT-UPC. Este formulario esta disponible en su website, y contempla los siguientes puntos:
- Nombre/s de la maquina/s comprometida/s.
- Arquitectura, sistema operativo indicando versiones y revisiones de las maquinas comprometidas.
- Donde se han aplicado parches de seguridad. Si se han aplicado antes o despues de la intrusion.
- Usuarios comprometidos.
- Otras maquinas afectadas por la intrusion, si tienen o no tienen constancia de los hechos.
- Si se ha contactado con otras partes, la informacion de contacto.
- Si se autoriza o no a esCERT-UPC a suministrar parte de la informacion a terceras partes que colaboren en la resolucion del incidente (por ejemplo, direccion electronica, telefono, etc...).
- Los estractos apropiados de logs (incluyendo fechas).
- Indicar que tipo de ayuda se desea de esCERT-UPC.
Para ponernos en contacto con el esCERT-UPC, podemos dirigirnos a su website o bien a la siguiente direccion:
Direccion:---esCERT-UPC---c/ Gran Capita
Modul D6
08071 Barcelona
Cataluña. SPAIN.
Telefono:
+34-3-4015795
+34-3-4016984
Fax: +34-3-4017055
E-Mail: cert@escert.upc.es
Los CERT's se pueden encontrar en muchos paises, ademas de ofrecer estos servicios tambien disponen de listas de correo donde avisan sobre nuevos peligros que van surgiendo, por lo que es recomendable regristrarse. Por otro lado en su website mantienen una gran cantidad de programas y documentos de seguridad que nos pueden ser muy utiles.
En caso de tener que ponernos en contacto con el GDI (Grupo Delincuencia Informatica), necesitaran nuestros log's y deberan analizar la maquina, que puede ser confiscada como prueba. Ademas en caso de tener que monotorizar al pirata, instalaran un programa en nuestro servidor el cual les permitira monotorizar al pirata (sniffer). Decir que ultimamente el GDI esta dando fuerte y para nada ahi que despreciar el uso del GDI en caso de apuros. EL GDI se reune con otras fuerzas policiales de otros paises como son Francia, Inglaterra, Alemania y los EE.UU. para comentar nuevas tecnicas para pillar a los piratas, por lo que no ahi que cometer el error de subestimarlos. Para ponermos en contacto, podemos hacerlo de diversas formas:
Guardia Civil: http://www.guardiacivil.org
Direccion General:
consulta@guardiacivil.org∞
Grupos de Delincuencia Informatica:
gc.uco@mad.servicom.es∞
gc.uco@recol.es∞
Servicio de Policia Judicial:
gc03@recol.es∞
Pues estos son los "profesionales" que debemos recurrir en ultimo caso y que aconsejo no despreciarlos. Ya que aunque ellos mismos admiten que no son expertos, tienen sus nociones basicas e incluso elevadas sobre el tema, ademas de contar con la ayuda de profesionales del sector.