SlideShare una empresa de Scribd logo

A Case Saved by Network Forensics: Charla "el día no deseado"

Javier Romero
Javier Romero

Comparo las malas prácticas de manejo de crisis mediática/reputacionales, y cómo el network forensics puede revertir a favor de crisis mediáticas/reputacionales bien manejadas. Narro una experiencia real, que sustenta lo anterior, aunque bastante breve, pero 100% de primera mano.

Tecnología
1 de 41
Descargar para leer sin conexión
III Simposio Internacional de Redes y Comunicaciones de Datos El Día No Deseado Javier Romero JaCkSecurity
• Es inevitable • Es telemático • Es Bembos! Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity El día no deseado 2
• Gestión de continuidad de negocios nos dice: – Planifica la gestión de crisis • • • • Fase 1: Gestiona los medios / riesgo Fase 2: Gestiona los medios Fase 3: Retirada Fase 4: Revisa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lecciones aprendidas 3
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Meta 4
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cómo atraer al enjambre? 5
– – – – – – – Poca información Disfraza con un halo aseverativo Un mensaje muchas interpretaciones No ofrezcas ni un ápice de lo técnico No seas profundo para nada No respaldes la denuncia, si puedes niégala Se muy lento, eterniza tu respuesta • Quizás nadie se entere Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Activando el enjambre 6
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 7
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 8
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 9
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 10
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 11
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Una semana después del 1er. comunicado 12
– Responder rápido (si vas a ofrecer investigar, cumple!) – Ser sincero • Ofrecer disculpas (si eres culpable) – Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios • Que ellos saquen el minuto a minuto de ti, y pronto • Se aburrirán, y el enjambre se disolverá Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lección aprendida 13
• La compañía de gestión de medios • Los abogados necesitan información Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Ellos necesitan la miel del panal 14
III Simposio Internacional de Redes y Comunicaciones de Datos • En la red: La red está en todos lados 17:29:28.483854 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 4367 3d3d 0a 17:29:43.504762 IP 192.168.1.201 1, length 21 0x0000: 4500 0029 0000 0x0010: c80e f10b 0800 0x0020: 6447 3979 4367 17:29:58.525749 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 5951 6f3d 0a > x.y.z.1: ICMP echo request, id 2802, seq 4000 4001 bf4c c0a8 01c9 b1ad 0af2 0001 5a47 5673 E..%..@.@..L.... ............ZGVs Cg==. del > x.y.z.1: ICMP echo request, id 2820, seq 4000 4001 bf48 c0a8 01c9 E..)..@.@..H.... 0af9 0b04 0001 6332 566a ............c2Vj 3d3d 0a dG9yCg==. sector > x.y.z.1: ICMP echo request, id 2838, seq 4000 4001 bf4c c0a8 01c9 709b 0b16 0001 6347 4677 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Dónde está mi panal E..%..@.@..L.... ......p.....cGFw YQo=. papa 15
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Demanda: Cache poisoning (12 años atrás) 16
III Simposio Internacional de Redes y Comunicaciones de Datos Gerencia legal Gerencia TI ¿Porcentaje de confiabilidad? Proveedor del servidor III Simposio de Comunicaciones y Redes de Datos JaCkSecurity La pichanguita de TI Testimonios Helpdesk Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 17
• Por el desempate Hackeados Vs. Invictos Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Abogados necesitaban estar 100% seguros 18
• Previsión = Captura – En caso de emergencia • Forense = Inicie análisis Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Pre “visión” forense de la red 19
• Cada caso es un reto (no es un doble-clic) A querty paquetes ñlkjh B III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Romper el vidrio ¿así de fácil? Poder forense Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 20
• Complejidad – Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos – Decodificadores • Varían según RFC, año liberación, singularidades del fabricante. • Más retador – Ciencia forense es un trabajo “artesanal” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Forense de red vs. sistema archivos 21
• El Sistema capturaba – 68 bytes • Una consulta promedio puede tomar – 300bytes (google, facebook) • ¿Un doble clic con 68 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cuál fue el reto? 22
• www.erdp.com – 200.48.33.214 • www.porki.com – 181.44.6.189 III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lo que debió pasar vs. lo que dicen que pasó Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 23
-14 bytes ethernet-header -20 bytes ip-header -08 bytes udp-header -12 bytes dns-header 54 34 26 14 ¿puedo escribir www.erdp.com y su IP con 14 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Matemáticas 24
19:54:16.603234 IP 207.31.248.3.62826 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 f56a 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 > 207.0.8.4.53: 61386+[|domain] 4011 9c8b cf1f f803 E..:..@.@....... 0026 48e1 efca 0100 .....j.5.&H..... 0377 7777 0465 7264 .........www.erd p.com. 19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46) 0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............ 0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6...... 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 p.com. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Veamos 25
III Simposio Internacional de Redes y Comunicaciones de Datos 19:54:37.129729 IP 207.31.248.3.59399 www.erdp.com. (30) 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 e807 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 0001 > 207.0.8.4.53: 28196+ A? 4011 9c8b cf1f f803 0026 d7ea 6e24 0100 0377 7777 0465 7264 0001 E..:..@.@....... .......5.&..n$.. .........www.erd p.com..... 19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A 200.48.33.214 (46) 0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............ 0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$.. 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 0001 0001 c00c 0001 0001 p.com........... 0x0040: 0000 0e10 0004 c830 21d6 .......0!. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Con toda la captura completa 26
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Historia dentro de la historia 27
Pckt#3 Pckt#2 Data Check sum Data Check sum Data Check sum • Integridad en secuencia de datos (transmitidos) Pckt#1 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksums 28
III Simposio de Comunicaciones y Redes de Datos 0000 0000 0000 0000 0000 JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 10011100 0011 1111 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 29
• IP – Asegura que data permaneció intacta en el viaje – Destino descarta paquete si checksum incorrecto – A nivel de routers • Se verifica en cada salto (router) • Se recalcula de nuevo con el TTL nuevo • UDP – Aún mejor Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksum IP / UDP 30
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 31
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 32
0 8 16 31 Dirección IP fuente (32-bit) Pseudo Dirección IP destino (32-bit) Cabecera UDP Cabecera UDP Data UDP cero protocol (8-bit) Puerto origen (16-bit) Longitud UDP (16-bit) Puerto destino (16-bit) Longitud UDP (16-bit) Checksum (16-bit) III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity UDP Checksum datos Byte de relleno Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 33
• Reproducir consultas, analizar respuestas, comparar checksums – Pero empleando la “evidencia inicial” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity CSI, reconstrucción de los hechos 34
• Para descartar si el testimonio del acusado o del acusador fue real – Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión – Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los campos únicos de la hora e instante del incidente. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Trabajo forense 35
• Aquí algunos de los campos únicos del caso: • IP – – – – – – – – Longitud Cabecera IP Longitud total del paquete IP ID IP Flags Fragment Offset TTL Checksum IP IP origen • A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Campos únicos • DNS – Query Identification Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 36
• La más sólida información posible – No teorías, no conjeturas, no entredichos • Certeza, para una certera defensa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity La información es poder (caso resuelto) 37
• En el día no deseado – – – – Necesita “habilitar” el poder forense de la red Si callas, empeoras las cosas Si te informas mal, empeoras las cosas Si les documentas lo ocurrido con ciencia (lección aprendida) • con disculpa bastará, y tu team de seguridad quedará bien parado • Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Hemos aprendido • No plug-ins • Prepararlo requiere apoyo – Legal / técnico • No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 38
• • • • • • • • • • • ¿Cómo se compone una solución para el día no deseado? ¿Dónde consigo el rr.hh.? ¿Cuál es la dosis adecuada de captura? ¿Cuánto cuesta la solución? ¿Qué es primero, EH o Forense Red? ¿Son los logs útiles? ¿Qué más podría capturar/colectar? ¿Dónde, cómo habilito el poder forense en mi red? ¿Qué requisitos debo tener? ¿Qué poder legal tiene en la cadena de custodia? Nota: IMPORTANTE III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Algunas FAQ de la solución propuesta – No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 39
• Especialistas respondiendo incidentes, 2006 • Hermanados goblamente – Con miembros de FIRST • Creamos – Tecnología propia – Colectores de varios TiB – Capturadores remotos e inalámbricos • Practicamos el reciclaje, de nuestro KB III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity JACKSECURITY – Pentest – Consultoría Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 40
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Contáctenos para visita técnica / comercial 41

Recomendados

Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Daily routine
Daily routineDaily routine
Daily routineLISSMON
 
Hoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcHoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcmartasanchezales
 
моя группа
моя группамоя группа
моя группаbratvet
 
Presentación del blog
Presentación del blogPresentación del blog
Presentación del blogfranciscomarin99
 
Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Tamara Raposo Injerto
 

Recomendados

Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Daily routine
Daily routineDaily routine
Daily routineLISSMON
 
Hoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcHoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcmartasanchezales
 
моя группа
моя группамоя группа
моя группаbratvet
 
Presentación del blog
Presentación del blogPresentación del blog
Presentación del blogfranciscomarin99
 
Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Tamara Raposo Injerto
 
Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3Universidad Nacional Abierta. Centro Local Zulia
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Jack Daniel Cáceres Meza
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration TestingAlonso Caballero
 
Ejercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianEjercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianMarian Del Olmo Ortiz
 
Internet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWONInternet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWONJosé Ignacio "Nacho" Redondo
 
MUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataMUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataFajar Nugroho
 
Rubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaRubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaLaura Rubio Gómez
 
Soluciones ejercicios informática.
Soluciones ejercicios informática.Soluciones ejercicios informática.
Soluciones ejercicios informática.LPunteros
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Benjamin Tapia
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Revista
RevistaRevista
RevistaFelipe Londoño Vega
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redessterben gonzalez
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesjnievess
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesJean Carlos
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3Cesar Alonso Morgado
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones dianaDianavillanueva05
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdfHacking Bolivia
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 

Más contenido relacionado

Similar a A Case Saved by Network Forensics: Charla "el día no deseado"

Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Jack Daniel Cáceres Meza
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration TestingAlonso Caballero
 
Ejercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianEjercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianMarian Del Olmo Ortiz
 
MUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataMUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataFajar Nugroho
 
Rubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaRubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaLaura Rubio Gómez
 
Soluciones ejercicios informática.
Soluciones ejercicios informática.Soluciones ejercicios informática.
Soluciones ejercicios informática.LPunteros
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Benjamin Tapia
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesjnievess
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesJean Carlos
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3Cesar Alonso Morgado
 

Similar a A Case Saved by Network Forensics: Charla "el día no deseado" (20)

Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration Testing
 
Ejercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianEjercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marian
 
Internet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWONInternet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWON
 
MUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataMUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y Suricata
 
Rubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaRubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informática
 
Soluciones ejercicios informática.
Soluciones ejercicios informática.Soluciones ejercicios informática.
Soluciones ejercicios informática.
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
 
Revista
RevistaRevista
Revista
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones diana
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdf
 

Último

Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxdoloresolmosantiago
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaEdwinGarca59
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfJosAndrRosarioVzquez
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónUniversidad de Sonora
 
Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosYOMIRAVILLARREAL1
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxVICTORMANUELBEASAGUI
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...dramosbrise1403
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx221112876
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024NicolleAndrade7
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).jcaballerosamayoa
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónAntonia Yamilet Perez Palomares
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...axelv9257
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8antoniopalmieriluna
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaJadeVilcscordova
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxdulcemonterroza
 

Último (20)

Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de Datos
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 

A Case Saved by Network Forensics: Charla "el día no deseado"

  • 1. III Simposio Internacional de Redes y Comunicaciones de Datos El Día No Deseado Javier Romero JaCkSecurity
  • 2. • Es inevitable • Es telemático • Es Bembos! Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity El día no deseado 2
  • 3. • Gestión de continuidad de negocios nos dice: – Planifica la gestión de crisis • • • • Fase 1: Gestiona los medios / riesgo Fase 2: Gestiona los medios Fase 3: Retirada Fase 4: Revisa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lecciones aprendidas 3
  • 4. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Meta 4
  • 5. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cómo atraer al enjambre? 5
  • 6. – – – – – – – Poca información Disfraza con un halo aseverativo Un mensaje muchas interpretaciones No ofrezcas ni un ápice de lo técnico No seas profundo para nada No respaldes la denuncia, si puedes niégala Se muy lento, eterniza tu respuesta • Quizás nadie se entere Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Activando el enjambre 6
  • 7. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 7
  • 8. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 8
  • 9. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 9
  • 10. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 10
  • 11. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 11
  • 12. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Una semana después del 1er. comunicado 12
  • 13. – Responder rápido (si vas a ofrecer investigar, cumple!) – Ser sincero • Ofrecer disculpas (si eres culpable) – Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios • Que ellos saquen el minuto a minuto de ti, y pronto • Se aburrirán, y el enjambre se disolverá Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lección aprendida 13
  • 14. • La compañía de gestión de medios • Los abogados necesitan información Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Ellos necesitan la miel del panal 14
  • 15. III Simposio Internacional de Redes y Comunicaciones de Datos • En la red: La red está en todos lados 17:29:28.483854 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 4367 3d3d 0a 17:29:43.504762 IP 192.168.1.201 1, length 21 0x0000: 4500 0029 0000 0x0010: c80e f10b 0800 0x0020: 6447 3979 4367 17:29:58.525749 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 5951 6f3d 0a > x.y.z.1: ICMP echo request, id 2802, seq 4000 4001 bf4c c0a8 01c9 b1ad 0af2 0001 5a47 5673 E..%..@.@..L.... ............ZGVs Cg==. del > x.y.z.1: ICMP echo request, id 2820, seq 4000 4001 bf48 c0a8 01c9 E..)..@.@..H.... 0af9 0b04 0001 6332 566a ............c2Vj 3d3d 0a dG9yCg==. sector > x.y.z.1: ICMP echo request, id 2838, seq 4000 4001 bf4c c0a8 01c9 709b 0b16 0001 6347 4677 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Dónde está mi panal E..%..@.@..L.... ......p.....cGFw YQo=. papa 15
  • 16. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Demanda: Cache poisoning (12 años atrás) 16
  • 17. III Simposio Internacional de Redes y Comunicaciones de Datos Gerencia legal Gerencia TI ¿Porcentaje de confiabilidad? Proveedor del servidor III Simposio de Comunicaciones y Redes de Datos JaCkSecurity La pichanguita de TI Testimonios Helpdesk Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 17
  • 18. • Por el desempate Hackeados Vs. Invictos Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Abogados necesitaban estar 100% seguros 18
  • 19. • Previsión = Captura – En caso de emergencia • Forense = Inicie análisis Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Pre “visión” forense de la red 19
  • 20. • Cada caso es un reto (no es un doble-clic) A querty paquetes ñlkjh B III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Romper el vidrio ¿así de fácil? Poder forense Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 20
  • 21. • Complejidad – Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos – Decodificadores • Varían según RFC, año liberación, singularidades del fabricante. • Más retador – Ciencia forense es un trabajo “artesanal” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Forense de red vs. sistema archivos 21
  • 22. • El Sistema capturaba – 68 bytes • Una consulta promedio puede tomar – 300bytes (google, facebook) • ¿Un doble clic con 68 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cuál fue el reto? 22
  • 23. • www.erdp.com – 200.48.33.214 • www.porki.com – 181.44.6.189 III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lo que debió pasar vs. lo que dicen que pasó Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 23
  • 24. -14 bytes ethernet-header -20 bytes ip-header -08 bytes udp-header -12 bytes dns-header 54 34 26 14 ¿puedo escribir www.erdp.com y su IP con 14 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Matemáticas 24
  • 25. 19:54:16.603234 IP 207.31.248.3.62826 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 f56a 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 > 207.0.8.4.53: 61386+[|domain] 4011 9c8b cf1f f803 E..:..@.@....... 0026 48e1 efca 0100 .....j.5.&H..... 0377 7777 0465 7264 .........www.erd p.com. 19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46) 0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............ 0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6...... 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 p.com. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Veamos 25
  • 26. III Simposio Internacional de Redes y Comunicaciones de Datos 19:54:37.129729 IP 207.31.248.3.59399 www.erdp.com. (30) 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 e807 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 0001 > 207.0.8.4.53: 28196+ A? 4011 9c8b cf1f f803 0026 d7ea 6e24 0100 0377 7777 0465 7264 0001 E..:..@.@....... .......5.&..n$.. .........www.erd p.com..... 19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A 200.48.33.214 (46) 0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............ 0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$.. 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 0001 0001 c00c 0001 0001 p.com........... 0x0040: 0000 0e10 0004 c830 21d6 .......0!. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Con toda la captura completa 26
  • 27. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Historia dentro de la historia 27
  • 28. Pckt#3 Pckt#2 Data Check sum Data Check sum Data Check sum • Integridad en secuencia de datos (transmitidos) Pckt#1 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksums 28
  • 29. III Simposio de Comunicaciones y Redes de Datos 0000 0000 0000 0000 0000 JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 10011100 0011 1111 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 29
  • 30. • IP – Asegura que data permaneció intacta en el viaje – Destino descarta paquete si checksum incorrecto – A nivel de routers • Se verifica en cada salto (router) • Se recalcula de nuevo con el TTL nuevo • UDP – Aún mejor Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksum IP / UDP 30
  • 31. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 31
  • 32. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 32
  • 33. 0 8 16 31 Dirección IP fuente (32-bit) Pseudo Dirección IP destino (32-bit) Cabecera UDP Cabecera UDP Data UDP cero protocol (8-bit) Puerto origen (16-bit) Longitud UDP (16-bit) Puerto destino (16-bit) Longitud UDP (16-bit) Checksum (16-bit) III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity UDP Checksum datos Byte de relleno Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 33
  • 34. • Reproducir consultas, analizar respuestas, comparar checksums – Pero empleando la “evidencia inicial” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity CSI, reconstrucción de los hechos 34
  • 35. • Para descartar si el testimonio del acusado o del acusador fue real – Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión – Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los campos únicos de la hora e instante del incidente. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Trabajo forense 35
  • 36. • Aquí algunos de los campos únicos del caso: • IP – – – – – – – – Longitud Cabecera IP Longitud total del paquete IP ID IP Flags Fragment Offset TTL Checksum IP IP origen • A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Campos únicos • DNS – Query Identification Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 36
  • 37. • La más sólida información posible – No teorías, no conjeturas, no entredichos • Certeza, para una certera defensa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity La información es poder (caso resuelto) 37
  • 38. • En el día no deseado – – – – Necesita “habilitar” el poder forense de la red Si callas, empeoras las cosas Si te informas mal, empeoras las cosas Si les documentas lo ocurrido con ciencia (lección aprendida) • con disculpa bastará, y tu team de seguridad quedará bien parado • Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Hemos aprendido • No plug-ins • Prepararlo requiere apoyo – Legal / técnico • No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 38
  • 39. • • • • • • • • • • • ¿Cómo se compone una solución para el día no deseado? ¿Dónde consigo el rr.hh.? ¿Cuál es la dosis adecuada de captura? ¿Cuánto cuesta la solución? ¿Qué es primero, EH o Forense Red? ¿Son los logs útiles? ¿Qué más podría capturar/colectar? ¿Dónde, cómo habilito el poder forense en mi red? ¿Qué requisitos debo tener? ¿Qué poder legal tiene en la cadena de custodia? Nota: IMPORTANTE III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Algunas FAQ de la solución propuesta – No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 39
  • 40. • Especialistas respondiendo incidentes, 2006 • Hermanados goblamente – Con miembros de FIRST • Creamos – Tecnología propia – Colectores de varios TiB – Capturadores remotos e inalámbricos • Practicamos el reciclaje, de nuestro KB III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity JACKSECURITY – Pentest – Consultoría Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 40
  • 41. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Contáctenos para visita técnica / comercial 41