Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.
Este documento presenta el caso de un posible incidente de seguridad en una empresa en el que se enviaron de forma anónima fotografías comprometedoras de un empleado. Marcos Fuentes, un experto en tecnologías de la información, analiza la evidencia digital recolectada de los equipos de los posibles sospechosos para determinar el origen de las fotografías y resolver el incidente siguiendo principios básicos de análisis forense digital.
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
Diapositivas de la conferencia impartida en el X Fórum AUSAPE 2014 en Zaragoza, durante el mes de Junio de 2014. El vídeo de la sesión está disponible en el siguiente enlace: https://www.youtube.com/watch?v=jTdmPC9Bpk0
Este documento habla sobre los motores de búsqueda. Explica que un motor de búsqueda es un sistema que busca archivos en servidores web usando un "spider". Menciona algunas ventajas y desventajas de usar motores de búsqueda. Luego lista los 10 motores de búsqueda más usados, incluyendo Google, Yahoo, MSN Search y otros. Finalmente, describe algunas herramientas comunes que tienen los motores de búsqueda como encontrar palabras clave y la capacidad de actualizar continuamente su base de datos.
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
El desarrollo de modelos basados en Machine Learning con Python son caros, temporal y computacionalmente hablando. Reducir el tiempo (y la CPU!) invertido en desarrollar un modelo de Machine Learning es importante, especialmente si usamos entornos cloud como AWS.
En esta charla introduciremos cómo funciona a alto un modelo de Machine Learning y las fases por las que pasa para llegar a ser un modelo en producción. Posteriormente, introduciremos GraalVM, la nueva máquina virtual del ecosistema Java que es capaz de ejecutar código en Python y R mejorando considerablemente su rendimiento.
Open source intelligence y la unión de los mundos virtual y físicoZink Security
Este documento describe la inteligencia de fuentes abiertas (OSINT) y cómo la unión del mundo virtual y físico ha cambiado la forma en que se puede obtener y analizar información. Explica que plataformas como redes sociales, blogs y foros ahora contienen una gran cantidad de datos que pueden usarse para investigaciones de OSINT. También presenta algunos casos hipotéticos de cómo la vigilancia digital y el análisis de OSINT podrían usarse para anticipar eventos, investigar delitos y proteger organizaciones.
El documento habla sobre varios temas relacionados con la tecnología, incluyendo: 1) Un nuevo servicio de Apple llamado Apple Music; 2) Un ataque cibernético a la compañía de seguridad Kaspersky; 3) Consejos para prepararse para la actualización de Windows 10. El documento también incluye reseñas de productos como cámaras digitales y portátiles.
Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.
Este documento presenta el caso de un posible incidente de seguridad en una empresa en el que se enviaron de forma anónima fotografías comprometedoras de un empleado. Marcos Fuentes, un experto en tecnologías de la información, analiza la evidencia digital recolectada de los equipos de los posibles sospechosos para determinar el origen de las fotografías y resolver el incidente siguiendo principios básicos de análisis forense digital.
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
Diapositivas de la conferencia impartida en el X Fórum AUSAPE 2014 en Zaragoza, durante el mes de Junio de 2014. El vídeo de la sesión está disponible en el siguiente enlace: https://www.youtube.com/watch?v=jTdmPC9Bpk0
Este documento habla sobre los motores de búsqueda. Explica que un motor de búsqueda es un sistema que busca archivos en servidores web usando un "spider". Menciona algunas ventajas y desventajas de usar motores de búsqueda. Luego lista los 10 motores de búsqueda más usados, incluyendo Google, Yahoo, MSN Search y otros. Finalmente, describe algunas herramientas comunes que tienen los motores de búsqueda como encontrar palabras clave y la capacidad de actualizar continuamente su base de datos.
¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
El desarrollo de modelos basados en Machine Learning con Python son caros, temporal y computacionalmente hablando. Reducir el tiempo (y la CPU!) invertido en desarrollar un modelo de Machine Learning es importante, especialmente si usamos entornos cloud como AWS.
En esta charla introduciremos cómo funciona a alto un modelo de Machine Learning y las fases por las que pasa para llegar a ser un modelo en producción. Posteriormente, introduciremos GraalVM, la nueva máquina virtual del ecosistema Java que es capaz de ejecutar código en Python y R mejorando considerablemente su rendimiento.
Open source intelligence y la unión de los mundos virtual y físicoZink Security
Este documento describe la inteligencia de fuentes abiertas (OSINT) y cómo la unión del mundo virtual y físico ha cambiado la forma en que se puede obtener y analizar información. Explica que plataformas como redes sociales, blogs y foros ahora contienen una gran cantidad de datos que pueden usarse para investigaciones de OSINT. También presenta algunos casos hipotéticos de cómo la vigilancia digital y el análisis de OSINT podrían usarse para anticipar eventos, investigar delitos y proteger organizaciones.
El documento habla sobre varios temas relacionados con la tecnología, incluyendo: 1) Un nuevo servicio de Apple llamado Apple Music; 2) Un ataque cibernético a la compañía de seguridad Kaspersky; 3) Consejos para prepararse para la actualización de Windows 10. El documento también incluye reseñas de productos como cámaras digitales y portátiles.
El documento habla sobre varios temas relacionados con la tecnología, incluyendo: 1) Un restaurante de comida rápida que está probando incluir teclados bluetooth para que los clientes puedan usar sus dispositivos mientras comen; 2) Un debate sobre si es mejor usar guías de viaje impresas u aplicaciones móviles; 3) Un artículo sobre la actualización a Windows 10 y consejos para prepararse.
Este documento proporciona información sobre sistemas operativos Windows 7 y la administración de archivos e información en una computadora. Explica los componentes básicos de la interfaz gráfica de Windows 7 como el escritorio, iconos y barra de tareas. También describe cómo crear carpetas y archivos, y moverlos entre carpetas usando las funciones de copiar y pegar. Además, introduce el uso de compresores de archivos para empaquetar carpetas y archivos y reducir su tamaño.
El documento resume la historia de Internet y la red mundial, los principales navegadores, riesgos en Internet como robo de datos, virus y contenido inapropiado. También cubre configuración de cuentas de usuario y grupos, uso de buscadores, correo electrónico y mensajería instantánea.
Seguridad de la Información para Periodistas.Gustavo Ibañez
También aplica a otras profesiones, aunque está basado en los comunicadores.
Introducción a las amenazas a las que estamos expuestos, cómo intentar minimizar los riesgos, conocer herramientas que nos permitan ayudarnos a matener nuestas comunicaciones y datos seguros.
Si te gusta dale Like así sigo subiendo material. El próximo: Gestores de contraseñas.
Cualquier consulta que tengas, contactame.
Presentación del CLCERT y datos de seguridad informática para el hogar como parte del Primer Festival de Ingeniería y Ciencias de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.
Mapa conceptuales de proyectos social y productivo.pdfYudetxybethNieto
Los proyectos socio productivos constituyen una variante de formación laboral de incalculable valor formativo, que propician la participación activa, protagónica y participativa de los escolares, de conjunto con miembros de la familia y la comunidad.
El documento habla sobre varios temas relacionados con la tecnología, incluyendo: 1) Un restaurante de comida rápida que está probando incluir teclados bluetooth para que los clientes puedan usar sus dispositivos mientras comen; 2) Un debate sobre si es mejor usar guías de viaje impresas u aplicaciones móviles; 3) Un artículo sobre la actualización a Windows 10 y consejos para prepararse.
Este documento proporciona información sobre sistemas operativos Windows 7 y la administración de archivos e información en una computadora. Explica los componentes básicos de la interfaz gráfica de Windows 7 como el escritorio, iconos y barra de tareas. También describe cómo crear carpetas y archivos, y moverlos entre carpetas usando las funciones de copiar y pegar. Además, introduce el uso de compresores de archivos para empaquetar carpetas y archivos y reducir su tamaño.
El documento resume la historia de Internet y la red mundial, los principales navegadores, riesgos en Internet como robo de datos, virus y contenido inapropiado. También cubre configuración de cuentas de usuario y grupos, uso de buscadores, correo electrónico y mensajería instantánea.
Seguridad de la Información para Periodistas.Gustavo Ibañez
También aplica a otras profesiones, aunque está basado en los comunicadores.
Introducción a las amenazas a las que estamos expuestos, cómo intentar minimizar los riesgos, conocer herramientas que nos permitan ayudarnos a matener nuestas comunicaciones y datos seguros.
Si te gusta dale Like así sigo subiendo material. El próximo: Gestores de contraseñas.
Cualquier consulta que tengas, contactame.
Presentación del CLCERT y datos de seguridad informática para el hogar como parte del Primer Festival de Ingeniería y Ciencias de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.
Similar a #CONPilar18: Piénsatelo dos veces antes de meterla (6)
Mapa conceptuales de proyectos social y productivo.pdfYudetxybethNieto
Los proyectos socio productivos constituyen una variante de formación laboral de incalculable valor formativo, que propician la participación activa, protagónica y participativa de los escolares, de conjunto con miembros de la familia y la comunidad.
4. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
5. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Sabemos…?
¿Sabemos qué ocurre cuando conectamos un dispositivo USB?
¿Sabemos cómo interactúa nuestra información con él?
¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello?
Pruebas efectuadas bajo Windows 7 y bajo Windows 10
Análisis realizado con pequeñas utilidades, sin instalar nada
Bajo varios supuestos:
Dispositivo USB conectado
Dispositivo USB conectado y explorado
Dispositivo USB conectado y reparado
Dispositivo USB conectado y un fichero abierto
6. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
Herramientas utilizadas
Máquinas virtuales de Microsoft https://developer.Microsoft/en-us/Microsoft-edge/tolos/vms
FTK Imager https://accessdata.com/product-download/ftk-imager-lite-versión-3.1.1
Strings https://docs.microsoft.com/en-us/sysinternals/downloads/strings
Registry Explorer https://ericzimmerman.github.io/
ParseRacWMI https://phx4n6.wordpress.com/2014/01/10/
LECmd https://ericzimmerman.github.io/
LogFileParser https://github.com/jschicht/LogFileParser
Thumbcache Viewer https://thumbcacheviewer.github.io/
BrowsingHistoryView https://www.nirsoft.net/utils/browsing_history_view.html
PECmd https://ericzimmerman.github.io/
Eventvwr, (Visor de eventos)
10. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registro de Windows:
• El Registro de Windows es una base de datos, jerárquica y
centralizada, que contiene información y configuraciones del
sistema y del usuario para equipos con Windows. Estas
configuraciones pueden ser desde el fondo del escritorio del
usuario hasta la configuración de la zona horaria para el Sistema
(El corazón de Windows)
WindowsSystem32configSOFTWARE
WindowsSystem32configSYSTEM
13. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registro de Windows:
• El registro tiene un grupo de archivos auxiliares que contienen
copias de seguridad de sus datos
WindowsSystem32configSOFTWARE.LOG1
WindowsSystem32configSYSTEM.LOG1
16. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registros SetupAPI:
• Cuando un dispositivo USB se conecta por primera vez a un
sistema Windows, el administrador de PnP consulta el dispositivo
para determinar la información sobre el dispositivo, para
descubrir qué controladores cargar para ese dispositivo
• El administrador Plug and Play (PnP) y el SetupAPI registran
información sobre eventos de instalación
Windowsinfsetupapi.dev.log
Windowsinfsetupapi.ev3
19. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Registros de eventos:
• Archivo que contiene información sobre todas las actividades
• Los registros de eventos son generados por los mecanismos de
auditoría y están integrados en el sistema operativo Windows
• Registran información importante sobre software y hardware
• Información cronológica
WindowsSystem32winevtLogsMicrosoft-Windows-
DriverFrameworks-UserMode%4Operational.evtx
WindowsSystem32winevtLogsSystem.evtx
22. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Eventos de rastreo, (Event Trace Log):
• Seguimiento de eventos para aplicaciones
• Registradores automáticos asociados al visualizador de eventos
• Controladores que inician y detienen. Los controladores son
aplicaciones
• Registro de seguimiento de eventos, (.etl), almacena los mensajes
de rastreo generados durante las sesiones
WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog-
System.etl
24. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Proveedor de contexto WDI:
• Windows Diagnostic Infrastructure, (WDI)
• Registradores automáticos que están se inician
automáticamente
• Se escribe una selección de eventos en las sesiones
• Copias de seguridad de sesiones anteriores de Windows
WindowsSystem32wdiLogFilesWdiContextLog.etl.002
26. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Boot Circular Kernel Context Logger:
• Fichero de rastreo de inicio
• Se crea cada vez que un perfil inicia sesión por primera vez
• Parte de la Infraestructura de diagnóstico de Windows, (WDI)
WindowsSystem32wdiLogFilesBootCKCL.etl
30. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Repositorio CIM:
• Tipos de datos y objetos de datos.
• Este archivo parece ser un repositorio CIM, asociado con WMI
• Se almacenan las definiciones de recursos gestionados
• Se almacena información de configuración y gestión de
diferentes recursos.
WindowsSystem32wbemReporitoryOBJECTS.DATA
32. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivo de paginación:
• Técnica de administración de memoria que funciona como un
almacenamiento secundario para la memoria de Windows
• Almacena marcas de memoria
• Usado cuando lo demanda la memoria física
• Fichero de sistema y oculto
• Nunca puede ser leído ni accedido por un usuario
pagefile.sys
34. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Monitor de confiabilidad de Windows:
• Herramienta de diagnóstico que registra los cambios existentes
en un Sistema
• Instalación de software, (cualquier acción sobre ellos)
• Instalación de controladores
• Información muy complicada de eliminar
ProgramDataMicrosoftRACStateDataRacWmiEventData.dat
ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
47. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Accesos directos:
• Se genera en el Sistema cuando se abre un fichero o directorio
• Un archivo LNK es un acceso directo, o un “enlace simbólico”,
utilizado por Windows como referencia a un archivo original
• Contiene el tipo de destino de acceso directo, la ubicación y el
nombre de archivo, así como el programa que abre el archivo
UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
50. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivos de registro:
• Archivo de registro principal del sistema de ficheros NTFS
• Contiene registros de todas las transacciones, (acciones), para
garantizar la integridad de los datos
• Contiene metadatos y atributos que describen un fichero o
directorio
$LogFile
54. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Vistas en miniatura:
• Base de datos centralizada de imágenes de tamaño reducido
• Creado por el Sistema cuando se utiliza la vista en miniatura
• No se actualiza cuando desaparecen las imágenes
• Se incluyen en él los medios extraíbles
• Se incluyen los datos de volúmenes cifrados
UsersIEUserAppDataLocalMicrosftWindowsExplorerthumbca
che*
56. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Archivos de registro de navegación:
• Es el equivalente al fichero ‘Index.dat’
• Base de datos ESE, (Extensible Storage Engine)
• Información sobre caché, historial, ficheros descargados, …
• Incluso navegando InPrivate
• Y usada por varias aplicaciones de Windows, (Búsqueda en el
escritorio de Windows, Windows Mail, Live Messenger, …)
UsersIEUserAppDataWindowsWebCacheV01.log
UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
61. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
“Listas de salto”, (JumpList):
• Colección de archivos LNK almacenados por las aplicaciones
• Barra de tareas de acceso rápido a los archivos de una aplicación
• Proporciona a los usuarios una indicación gráfica de los elementos
recientes a los que accede cada aplicación
• Se crea cuando se abre un fichero
• Registran el mismo tipo de datos que los ficheros LNK
UsersIEUserAppDataRoamingMicrosoftWindowsRecentAuto
maticDestinations5f7b5f1e01b83767.automaticDestinations-ms
63. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
¿Dónde mirar?
Prefetch:
• Windows crea un archivo de búsqueda previa cuando una
aplicación se ejecuta por primera vez.
• Se usa para acelerar la carga de aplicaciones.
• Datos valiosos sobre el historial de aplicaciones de un usuario en
un Sistema
WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
75. @CONPilarZgz www.conpilar.es
Let’s tweet !! #CONPilar18#CONPilar18
Conclusiones
• Conectar un dispositivo USB, a nivel de evidencias, equivale a
conectarlo y explorarlo
• La información que dejamos atrás se puede extraer incluso de
dispositivos USB conectados, que se encuentran cifrados
• No existen, a día de hoy, herramientas anti-forenses capaces de
eliminar todo este rastro de dispositivos externos.
• ¿A nuevas versiones de Windows, más artefactos para jugar?
• Piénsatelo dos veces antes de conectar un dispositivo USB
• Cuenta hasta 10 antes de abrir un fichero en un dispositivo USB