Presentación BSidesCO 2014. Forense para delincuentes: Cuando la única amenaza no es el antiforense.

1. Forense%20para
%20delincuentes:%20
Cuando%20la%20única
%20amenaza%20no%20es
%20el%20antiforense
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014

2. #vol.py –f echavarro
9865778fas8d78as6798d5as869047624gushfdsiuo897asyt80ry4yiu
ffdufgyysojhfuisausoifhsdifdsiut0344h02y890dggrpogy980y0893
&name=Eduardo%20Chavarro%20Ovalle&password=I%27m
%20Sorry&heis=Cons u l tor%20en%20Seguridad
%0AIngeniero%20en%20Telecomuni cac iones
%0A&Experiencia=más%20de%2012%20Años&sectores=
% 0 A D e f e n s a % 2 0 - % 2 0 F i n a n c i e r o % 2 0 -
%20Académico0Afoiad&postgraduate=MSc%20en
% 2 0 S e g u r i d a d % 2 0 d e % 2 0 l a s % 2 0 T I C
988ay8fayht45htuhf98ayfew89yt3q49hguieryv890dsy9f8-
yq89tgh49ghewge9eghu4i23y4oiu3yriuwe76r3467tr4738tyr873qr

3. #vol.py –f agenda
%01%20Análisis%20digital%20forense
%02%20Espectro%20de%20análisis
%03%20CVE-2014-0160
%04%20Hardware%20para%20robo%20de%20memoria
%04.1%20Kautilya
%05%20El%20olor%20del%20espectro%20radioeléctrico
%05.1%20Wifi%20Pineapple
%06%20Factoría%20Criminal
%07%20Recomendaciones

4. %01%20Análisis%20digital
%20forense
Obtener evidencia (digital)
Soportar Investigaciones
! Garantizando un proceso
científico
! Aprovechando el
desconocimiento tecnológico
! Respetando la cadena de
custodia y la confidencialidad

5. %02%20Espectro%20de%20análisis

6. %02%20Espectro%20de%20análisis

7. %03%20CVE-2014-0160
Usage: hbtest.py server [options]
Test for SSL heartbeat vulnerability (CVE-2014-0160)
Options:
-h, --help show this help message and exit
-p PORT, --port=PORT TCP port to test (default: 443)

8. hbtest.py mai**.co -p 443

9. https://www.trustedsec.com/august-2014/chs-hacked-heartbleed-exclusive-trustedsec/
hbtest.py -leccionesAprendidas
HTTPS
¿Es necesario evaluar el “inventario” de datos que se almacenan
en memoria?, ¿Cómo podemos verificarla en un test de intrusión?

10. %04%20Hardware%20para%20robo
%20de%20memoria
! DMA (Direct memory access)
! FireWire – IEEE 1394
! HID

11. %04.1%20Kautilya

12. %05%20El%20olor%20del
%20espectro%20radioeléctrico
! Protocolos propietarios -> CIS
! Inventario de recursos, tecnologías y protocolos - Norma
! WiFi – BT – GSM – LAN – WAN – Wireless

13. %05.1%20Wifi%20Pineapple
Variación de Inyección a simple monitoreo y captura
Evaluación, Monitoreo, Control

14. %06%20Factoría%20Criminal
! Nuevos vectores para “obtener”
información.
! ~Complicidad
! Software y Hardware
! HID -> Dump -> Voila
! Captura de tráfico de red
! Subasta o “cyber crime as a
service”

15. McAfee 2013 - Cybercrime Exposed: Cybercrime-as-a-Service
%06%20Factoría%20Criminal

16. http://krebsonsecurity.com/2014/09/in-home-depot-breach-investigation-focuses-on-self-checkout-lanes/
RAM – Scraping: <Memory Forensics>
%20T4RGET%20H0me%20D3p0t%20
! 56 M – Tarjetas Débito y Crédito
! Abril – Septiembre 2014
! ~Complicidad en la instalación
del Malware y exfiltración
! Exfiltración haciendo uso de la
misma red del proveedor

17. $$$Gold-traffic: <Network Forensics>
tshark%20-i%20ethX%20-w%20/priv.cap
! Controles de seguridad más
laxos en la Intranet
! Zona de confort
! ~Complicidad: identificación de
tráfico clave, Pivoting
NetSec(user) ~ 1/$$$

18. %07%20Recomendaciones
! ..T(..ppt5cr4|v|bl1ng.=me..uM.{...L.f-..Memoria & Red
! No existen controles mínimos – Solo controles
! Memory vulnerability assessment
! Network Forensics – like a ninja
! Norma vs efectividad de los controles

19. |..l8-.%.A9G.0///||/////...xRC4////|
|//WXcdVechavarro.–he.dewxYZrsQRP|
|QopJKgh9UV12bcV||W0rsqr//////...|
|..l8-.%.A9G.0///||/////...xRC4////|
|//WXcdVechavarro.–he.dewxYZrsQRP|
|QopJKgh9UV12bcV||W0rsqr//////...|
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014
_.--,-```-.
/ / '.
/ ../ ;
`` .``- '
___/ :
: |
| ; .
; ; :
/ : :
`---'. |
`--..`;
.--,_
| |`.
`-- -`, ;
'---`"