Peritaje	  Informá5co	  Forense	                                                             Lorenzo	  Mar2nez	  (@lawwait...
Peritaje	  Informá5co	  Forense	                                                             Agenda	  •          Conceptos...
Peritaje	  Informá5co	  Forense	                                                         Whoami	  	  	     	     	     	  ...
Peritaje	  Informá5co	  Forense	                                                         Whoami	  •  Lorenzo	  Mar2nez	  R...
Peritaje	  Informá5co	  Forense	                                  Conceptos	  forenses	  	  	     	     	     	     	     ...
Peritaje	  Informá5co	  Forense	                                   Conceptos	  forenses	  •          Recolección	  –	  Exa...
Peritaje	  Informá5co	  Forense	                    Distribuciones	  Live	  forenses	  	  	     	     	     	     	     	 ...
Peritaje	  Informá5co	  Forense	                     Distribuciones	  Live	  forenses	  •          Helix	  •          CAIN...
Peritaje	  Informá5co	  Forense	                                                                   Helix	  	  	     	     ...
Peritaje	  Informá5co	  Forense	                                         CAINE/NBCAINE	  	  	     	     	     	     	     ...
Peritaje	  Informá5co	  Forense	                                                                   DEFT	  	  	     	     	...
Peritaje	  Informá5co	  Forense	                                                           Matriux	  	  	     	     	     ...
Peritaje	  Informá5co	  Forense	                                                      Backtrack	  	  	     	     	     	  ...
Peritaje	  Informá5co	  Forense	                                  Lo	  que	  vemos	  en	  TV	  	  	     	     	     	     ...
Peritaje	  Informá5co	  Forense	                                  Lo	  que	  vemos	  en	  TV	  	  	     	     	     	     ...
Peritaje	  Informá5co	  Forense	  	  	     	     	     	     	     	  	  	  	  	  	  	  	  	  ©	  Todos	  los	  derechos	 ...
Peritaje	  Informá5co	  Forense	                           Caso	  real:	  Máquina	  LINUX	  	  	     	     	       	     	...
Peritaje	  Informá5co	  Forense	             Caso	  real:	  Apache	  +	  mod_proxy	  •  Indicadores	             –  Excesi...
Peritaje	  Informá5co	  Forense	             Caso	  real:	  Apache	  +	  mod_proxy	                                  -­‐	 ...
Peritaje	  Informá5co	  Forense	             Caso	  real:	  Apache	  +	  mod_proxy	                                       ...
Peritaje	  Informá5co	  Forense	                                         Errores	  come5dos	  	  	     	     	     	     	...
Peritaje	  Informá5co	  Forense	                                         Errores	  come5dos	  •  Sysadmin	             –  ...
Peritaje	  Informá5co	  Forense	                                         Análisis	  correcto	  •  UAlizar	  herramientas	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  Intento	  de	  conexión	  SSH	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	  	  	     	     	     	     	     	  	  	  	  	  	  	  	  	  ©	  Todos	  los	  derechos	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                    Caso	  real:	  Malware	  en	  iPhone	  	  	     	       	     	     	 ...
Peritaje	  Informá5co	  Forense	                     Caso	  real:	  Malware	  en	  iPhone	                                ...
Peritaje	  Informá5co	  Forense	             Buenas	  prác5cas	  ayuda	  forense	  	  	     	     	     	     	     	  	  ...
Peritaje	  Informá5co	  Forense	             Buenas	  prác5cas	  ayuda	  forense	  •  Comprobación	  de	  integridad	     ...
Peritaje	  Informá5co	  Forense	                                           An5-­‐forensics	  	  	     	     	     	     	 ...
Peritaje	  Informá5co	  Forense	                                            An5-­‐forensics	  •          Cifrado:	  USBs	 ...
Peritaje	  Informá5co	  Forense	                              BibliograXa	  recomendada	  hp://www.securitybydefault.com/2...
Peritaje	  Informá5co	  Forense	                                                     Preguntas	              Email	  me:	 ...
Upcoming SlideShare
Loading in …5
×

Charla perito informático dragonjar tv

4,211 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,211
On SlideShare
0
From Embeds
0
Number of Embeds
2,888
Actions
Shares
0
Downloads
72
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Charla perito informático dragonjar tv

  1. 1. Peritaje  Informá5co  Forense   Lorenzo  Mar2nez  (@lawwait)   SbD                              www.securizame.com                                      ©  Todos  los  derechos  reservados  
  2. 2. Peritaje  Informá5co  Forense   Agenda  •  Conceptos  forenses  •  Distribuciones  Live  forenses  •  Un  servidor  compromeAdo:  Linux  •  Análisis  de  malware  en  un  Iphone  •  Buenas  prácAcas  de  análisis  forense  •  AnA-­‐forensics                                ©  Todos  los  derechos  reservados   SbD
  3. 3. Peritaje  Informá5co  Forense   Whoami                                ©  Todos  los  derechos  reservados   SbD
  4. 4. Peritaje  Informá5co  Forense   Whoami  •  Lorenzo  Mar2nez  Rodríguez  •  CEO  &  Founder  www.securizame.com  •  CISSP,  CISA  •  ANTPJI  •  Editor  de  SecurityByDefault  •  12  años  experiencia  profesional  en  seguridad  •  Herramientas:  Securewin,  amispammer,  scalparser,   brute12unx,  tweetme!  •  Twier:  @lawwait,  @securizame,  @secbydefault  •  Email:  lorenzo@securizame.com  •  Web:    www.securizame.com                                ©  Todos  los  derechos  reservados   SbD
  5. 5. Peritaje  Informá5co  Forense   Conceptos  forenses                                ©  Todos  los  derechos  reservados   SbD
  6. 6. Peritaje  Informá5co  Forense   Conceptos  forenses  •  Recolección  –  Examen  –  Análisis  -­‐  Informes  •  Preservar  la  evidencia  -­‐  Integridad  •  Cadena  de  custodia  •  EAquetar  &&  Documentar  •  Read  Only  •  Imágenes  AFF  •  RAM  &  Swap  Dumps                                ©  Todos  los  derechos  reservados   SbD
  7. 7. Peritaje  Informá5co  Forense   Distribuciones  Live  forenses                                ©  Todos  los  derechos  reservados   SbD
  8. 8. Peritaje  Informá5co  Forense   Distribuciones  Live  forenses  •  Helix  •  CAINE  •  Backtrack  Forensics  •  DEFT  •  Matriux                                  ©  Todos  los  derechos  reservados   SbD
  9. 9. Peritaje  Informá5co  Forense   Helix                                ©  Todos  los  derechos  reservados   SbD
  10. 10. Peritaje  Informá5co  Forense   CAINE/NBCAINE                                ©  Todos  los  derechos  reservados   SbD
  11. 11. Peritaje  Informá5co  Forense   DEFT                                ©  Todos  los  derechos  reservados   SbD
  12. 12. Peritaje  Informá5co  Forense   Matriux                                ©  Todos  los  derechos  reservados   SbD
  13. 13. Peritaje  Informá5co  Forense   Backtrack                                ©  Todos  los  derechos  reservados   SbD
  14. 14. Peritaje  Informá5co  Forense   Lo  que  vemos  en  TV                                ©  Todos  los  derechos  reservados   SbD
  15. 15. Peritaje  Informá5co  Forense   Lo  que  vemos  en  TV                                ©  Todos  los  derechos  reservados   SbD
  16. 16. Peritaje  Informá5co  Forense                                ©  Todos  los  derechos  reservados   SbD
  17. 17. Peritaje  Informá5co  Forense   Caso  real:  Máquina  LINUX                                ©  Todos  los  derechos  reservados   SbD
  18. 18. Peritaje  Informá5co  Forense   Caso  real:  Apache  +  mod_proxy  •  Indicadores   –  Excesiva  acAvidad  Router   –  Carga  de  máquina   –  Ancho  de  banda  ocupado  •  Análisis  inicial   –  Iptraf   –  Tcpdump   –  Netstat   –  top                                ©  Todos  los  derechos  reservados   SbD
  19. 19. Peritaje  Informá5co  Forense   Caso  real:  Apache  +  mod_proxy   -­‐  Configuración  Apache  -­‐                                ©  Todos  los  derechos  reservados   SbD
  20. 20. Peritaje  Informá5co  Forense   Caso  real:  Apache  +  mod_proxy   -­‐  Análisis  de  logs  -­‐  Lo  único  esperable    Lo  que  había                                ©  Todos  los  derechos  reservados   SbD
  21. 21. Peritaje  Informá5co  Forense   Errores  come5dos                                ©  Todos  los  derechos  reservados   SbD
  22. 22. Peritaje  Informá5co  Forense   Errores  come5dos  •  Sysadmin   –  Mala  configuración   –  Prisas   –  Cortar/Pegar  •  Forense   –  No  aislar  el  sistema   –  No  (Adquisición,  hashing,  preservar  evidencias,   eAquetado,  etc,…)   –  UAlización  de  herramientas  de  sistema   –  Logs  no  firmados                                ©  Todos  los  derechos  reservados   SbD
  23. 23. Peritaje  Informá5co  Forense   Análisis  correcto  •  UAlizar  herramientas  desde  unidades  Read-­‐ Only  •  Herramientas  compiladas  estáAcamente  •  Analizadores  de  Rootkits/malware  para  Linux:   chkrootkit  +  rkhunter  •  rpm  -­‐Va  •  Procesos/conexiones  de  red  ocultas  -­‐>  Unhide                                ©  Todos  los  derechos  reservados   SbD
  24. 24. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  25. 25. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone  Intento  de  conexión  SSH  Reinstalo  SSH  en  el  Iphone                                ©  Todos  los  derechos  reservados   SbD
  26. 26. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  27. 27. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  28. 28. Peritaje  Informá5co  Forense                                ©  Todos  los  derechos  reservados   SbD
  29. 29. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  30. 30. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  31. 31. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  32. 32. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  33. 33. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  34. 34. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone                                ©  Todos  los  derechos  reservados   SbD
  35. 35. Peritaje  Informá5co  Forense   Caso  real:  Malware  en  iPhone   -­‐  Conclusiones  -­‐  •  Malware  eliminado    •  Punto  de  entrada  detectado  •  Contramedidas  tomadas  •  Errores  aprendidos                                  ©  Todos  los  derechos  reservados   SbD
  36. 36. Peritaje  Informá5co  Forense   Buenas  prác5cas  ayuda  forense                                ©  Todos  los  derechos  reservados   SbD
  37. 37. Peritaje  Informá5co  Forense   Buenas  prác5cas  ayuda  forense  •  Comprobación  de  integridad   –  AFICK   –  AIDE   –  Tripwire  •  Logs  detallados  •  Remote  syslog  •  NTP  (Network  Time  Protocol)  •  Despliegue  topología  de  IDS  +  IPS  •  Constante  monitorización  y  noAficación                                ©  Todos  los  derechos  reservados   SbD
  38. 38. Peritaje  Informá5co  Forense   An5-­‐forensics                                ©  Todos  los  derechos  reservados   SbD
  39. 39. Peritaje  Informá5co  Forense   An5-­‐forensics  •  Cifrado:  USBs  /  Hard  Disks  •  Sandboxing:  Virtualización    •  Tarjeta  Wifi  externa    •  MAC  aleatoria  •  Firefox  +  User  Agent  Switcher  •  Free  Wireless:  Wardriving/Starbucks  •  VPN  a  país  “sin  leyes”  •  TOR  /  Proxies  anónimos                                ©  Todos  los  derechos  reservados   SbD
  40. 40. Peritaje  Informá5co  Forense   BibliograXa  recomendada  hp://www.securitybydefault.com/2008/09/hackeos-­‐menos-­‐memorables-­‐revisin-­‐de-­‐un.html                                ©  Todos  los  derechos  reservados   SbD
  41. 41. Peritaje  Informá5co  Forense   Preguntas   Email  me:  lorenzo@securizame.com   Twier:  @lawwait  @securizame  @secbydefault                                ©  Todos  los  derechos  reservados   SbD

×