Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
Introducción al proceso de adquisición forense de dispositivos móviles ejecutando Android como sistema operativo. Incluye un listado de las técnicas de bypass para la mayoría de las restricciones impuestas por la configuración de seguridad y ejemplos para los distintos tipos de adquisición forense, tanto físicos como lógicos.
Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
Introducción al proceso de adquisición forense de dispositivos móviles ejecutando Android como sistema operativo. Incluye un listado de las técnicas de bypass para la mayoría de las restricciones impuestas por la configuración de seguridad y ejemplos para los distintos tipos de adquisición forense, tanto físicos como lógicos.
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
Esta presentación hace un repaso sobre la seguridad en plataformas android, donde se profundiza en aspectos como: análisis estático de aplicaciones, análisis dinámico, análisis forense, detección de malware, descubrimiento de vulnerabilidades 0-day y desmantelamiento de centros de control de botnets.
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios.
Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables.
La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
Esta presentación hace un repaso sobre la seguridad en plataformas android, donde se profundiza en aspectos como: análisis estático de aplicaciones, análisis dinámico, análisis forense, detección de malware, descubrimiento de vulnerabilidades 0-day y desmantelamiento de centros de control de botnets.
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios.
Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables.
La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Descripción:
Con los cambios actuales en las tecnologías y entornos, es inevitable que muchas organizaciones enfrenten cibercrímenes incluyendo fraudes, amenazas internas, espionaje industrial, phishing, entre otros. Para ayudar a resolver estos tipos de casos, las organizaciones están contratando profesionales con conocimientos de forense digital, y solicitando el apoyo de los agentes de las fuerzas legales en crímenes cibernéticos para reconstruir todo lo sucedido en estos casos.
Objetivos:
Este curso brinda al participantes los conocimientos críticos que un investigador forense digital debe conocer para investigar satisfactoriamente incidentes de computadora. El participante aprenderá la manera en la cual los analistas forenses de computadoras se enfocan en recolectar y analizar datos de sistemas de cómputo, para rastrear la actividad del usuario que podría ser utilizado de manera interna o en un juicio civil o penal. Este curso cubre los pasos fundamentales de la metodología forense de computadoras a profundidad, de esta manera cada participante obtendrá los conocimientos necesarios para trabajar como investigador forense para ayudar a resolver y enfrentarse a crímenes. Además se expondrán las herramientas mas reconocidas para realizar forense de computadoras. La mayoría de herramientas utilizadas en este curso son Open Source o freeware, aunado a un laboratorio forense con máquinas virtuales.
Fedora Security LAB sirve para trabajar en auditorías de seguridad, forenses, rescate de sistemas, y enseñanza de diferentes metodologías para verificar la seguridad en universidades, o en otras organizaciones.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
2. Pedro Sánchez
Consultor especializado en Computer
Forensics, Honeynets, detección
de intrusiones, redes trampa y pen-testing.
He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS
y diversas metodologías de seguridad especialmente en el sector
bancario durante mas de diez años.
También colaboro sobre seguridad, peritaje y análisis forense
informático con diversas organizaciones comerciales y con las
fuerzas de seguridad del estado, especialmente con el Grupo de
Delitos Telemáticos de la Guardia Civil (GDT) y la Brigada de
Investigación Tecnológica de la policía nacional (BIT).
He participado en las jornadas JWID/CWID organizadas por el
ministerio de defensa, en donde obtuve la certificación Nato
Secret, dando conferencias en NATO Cooperative Cyber Defence
Centre of Excellence Tallinn, Estonia
Soy miembro de la Spanish Honeynet Project, fundador
de ConexiónInversa , consultor en Google y Bitdefender y soy
Perito Judicial Informático.
4. Agenda
1.- Iniciando un análisis forense 3.- La memoria
– Comandos – ptfinder
– FTK Imager – Pagefile.sys
– DumpIT – Volatility
– Memorizer – RedLine
– CD Live 4.- Analizando la red
– Clonadoras – Tshark - WireShark
– Integridad – Network Miner
– NetWitness
2.- Analizando datos – Artefactos 5.- El laboratorio Forense
– RegRipper
– WFA
– WRR
– WinprefetchView
– Web Historian
4
5. Un mundo lleno de herramientas
¿Las necesitamos?
• Cuando hacemos una pericial tenemos que disponer de un conjunto de
recursos que garanticen la evidencia a través de una o varias pruebas.
• Pretende resolver:
– La investigación del fraude digital
– Dar respuesta forense a incidentes corporativos
– La gestión y el análisis informático-forense de grandes volúmenes de datos electrónicos
para litigios, negociaciones o arbitrajes
– La elaboración y defensa de periciales y contra periciales como expertos independientes
– La prevención y la gestión informático-forense de riesgos corporativos y
gubernamentales en entornos digitales
• Las herramientas son un instrumento de ayuda, nunca la solución a
nuestra investigación.
7. El misterioso caso de winreg
Los pasos- Adquisición y clonado
• nc -L -p 7777 >datos_listener.txt
– Tras establecer el listener en la maquina remota, podemos pasarle información a través
de la red desde la maquina sospechosa de haber sido comprometida:
• Código:
– tlist.exe -c |nc <ip_remota> 7777 -w 5
tlist.exe -t |nc <ip_remota> 7777 -w 5
tlist.exe -s |nc <ip_remota> 7777 -w 5
netstat -naob |nc <ip_remota> 7777 -w 5
– tcpvcon -can |nc <ip_remota> 7777 -w 5
• Fecha y hora actual del sistema:
– Código: ((date /t) & (time /t)) >%DIR%SystemTime.txt
• Uptime de la maquina:
– (systeminfo | find “Boot Time”) >%DIR%uptime.txt
– ipconfig /all >%DIR%ipconfigNICs.txt
netstat -rn >%DIR%TablaEnrutamiento.txt
nbtstat -c >%DIR%CacheNombresNetbios.txt
• Arbol de procesos en ejecución (SysInternals):
– pslist -t >%DIR%ArbolProcesos.txt
• Descubrir DLLs maliciosas cargadas por procesos en ejecución, por ejemplo un keylogger:
– listdlls >%DIR%DLLs.txt
– handle -a >%DIR%handles.txt
7
8. El misterioso caso de winreg
Los pasos- Adquisición y clonado
• Volcados por fallo configurando el SO para crear un volcado de memoria
completa de Windows (también conocida como pantalla azul o kernel
panic)
• Volcado LiveKD por uso de herramientas
• Utilización de ficheros de paginación o hiberfil.sys. Este archivo se puede
analizar y descomprimidos para obtener la imagen de memoria.
• MoonSols DumpIt es una fusión de win32dd y win64dd en un
ejecutable, no hay opciones se le pide al usuario final. Sólo un doble clic
sobre el ejecutable es suficiente para generar una copia de la memoria
física en el directorio actual. DumpIt es la utilidad perfecta para desplegar
en una llave USB para una rápida operación de respuesta a
incidentes. Rápido, pequeño y portátil.
8
11. El misterioso caso de winreg
Los pasos- CLONADO
• Consiste en la copia exacta ‘bit a bit’ de un disco, incluyendo errores o
sectores defectuosos.
• Existen múltiples formas y herramientas
– Por software
• DD
• Live CD
• OSForensics
• EnCase
– Por Hardware
• Clonadoras
11
15. El misterioso caso de winreg
Los pasos- CLONADORES DE DISCO
• Clonadores por harware
• Rapidez, eficacia, sencillez, no intrusivo
• El coste de estas herramientas es muy alto de base (hasta 20.000€)
15
20. Análisis de datos
Artefactos de Windows
• Son los diferentes ficheros, cadenas de registro, rutas de acceso y
configuraciones que pueden determinar la actividad de un malware o de
un usuario malicioso, así como las evidencias necesarias para una prueba.
20
21. Análisis de datos
Artefactos de Windows
• El editor del registro no muestra solo la estructura local, existen varias
claves y subclaves que están almacenadas sobre ficheros en el disco duro.
Estos ficheros son llamados 'hives'.
• El sistema a estos ficheros 'los mima' estableciendo copias de seguridad
para su posterior utilización en caso de que el sistema falle en el inicio del
sistema operativo.Las claves del registro que se asocian a los 'hives' son
HKLM y HKU.
21
22. Análisis de datos
Artefactos de Windows
¡¡ Mama quiero ser perito!!
http://conexioninversa.blogspot.com.es/2008/10/cosas-de-casa.html
22
33. Análisis de datos
VOLATILITY
• Detalles de la imagen (fecha, hora, número de CPU)
• Los procesos en ejecución
• Proceso de SID y variables de entorno
• Conexiones de red
• DLLs cargados para cada proceso
• Los objetos del kernel / (archivos, claves, exclusiones mutuas)
• Los módulos del kernel
• Volcado de cualquier proceso, DLL o módulo en el disco
• Mapeo físicas a las direcciones virtuales
• Memoria direccionable para cada proceso
• Mapas de memoria para cada proceso
• Extraer muestras ejecutables
• Historias de comandos (cmd.exe) y datos de consola de entrada / salida
• PE información de versión
• Las tablas del sistema de llamada
• Secciones del Registro
• Volcado LM / NTLM hashes y secretos LSA
• Ayudar al usuario y exploración shimcache
• Analizar en busca de patrones de bytes, expresiones regulares o cadenas en la memoria
• Analizar tiempos del núcleo y funciones de devolución de llamada
• Informe sobre los servicios de Windows
33
44. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense
• Un laboratorio se compone de:
– Personas
– Ubicación física segura
– Dispositivos y medios de extracción
– Dispositivos de explotación
– Dispositivos de aseguramiento de la prueba
– Procedimientos que regulan la actuación del laboratorio
– Procedimientos normativos
44
45. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense
• Director de laboratorio
• Director Técnico
• Personal especializado (de 2 a 5 personas)
• Coordinación con notario especializado en delitos telemáticos
• Apoyo jurídico técnico referente a la probática del laboratorio.
• Formación:
• Especialistas en seguridad
• Capacidad investigadora
• Resolutivos en tiempo
• Formación académica en técnicas forenses
• Con conocimientos en pericias judiciales
• ¿Certificaciones?
45
46. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Ubicación física
• Edificio seguro o zonas estancas con vigilancia
• Vigilancias física:
– Guardia de seguridad
– Registro de entradas y salidas
– Entrada al recinto de alta seguridad por personal autorizado
– Cámaras de video vigilancia
– Volumetricos
– Circuitos de aire frio/calientee
– S3
– Control externo
• Le afecta la misma norma que un CPD
46
47. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Dispositivos
• Segregación de entornos
– Entorno de test
– Entorno de producción
• El entorno de test no es valido para la prueba pericial, salvo que contenga
las mismas medidas que el de producción
• Elementos homologados y procedimentados
– Clonadoras
– Dispositivos de almacenamiento
– Dispositivos de extracción
– Generación y almacenamiento seguro de huellas
– Tercero de confianza
47
48. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Procedimientos
• Segregación de entornos
– Entorno de test
– Entorno de producción
• Política de entrada y salida del laboratorio
• Gestión de personal o usuarios
• Gestión de la seguridad física
• Gestión de la seguridad lógica
• Política de mesas limpias
• Política de gestión de dispositivos y dispositivos de backup.
• Política de obtención de información y almacenamiento seguro
– Recuperación local de datos
– Recuperación remota de datos
– Aseguramiento de la información en transito
• Política de cadena de custodia
• Política de gestión de custodios
• Gestión de incidencias del laboratorio
– Aviso a proveedores
– Recuperación local de datos
– Recuperación remota de datos
• Continuidad de negocio
48
49. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Normativo
• Debe de ser seguro e incluido dentro del alcance de un SGSI.
• Le afecta la LOPD intensamente
Amenazas
Humanas Naturaleza
No
Intencionales
intencionales
Internas Externas
49
50. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Infraestructura
• Preferiblemente:
– Zona cero
– Clonadoras
• De discos
• De discos de alta capacidad
• De dispositivos móviles
– Almacenamiento de huellas en caja cerrada
– Posibilidad de software con tercero de confianza
– Software homologado
– Hardware homologado
– Entorno de extracción con vitalización
– Registros de salidas en entornos estancos
– Infraestructura segura de transporte hasta el juzgado o cliente.
50
51. Un mundo lleno de herramientas
¿Las necesitamos?
El laboratorio forense – Ciclo de vida
51