Forense%20para%20delincuentes:%20

Cuando%20la%20única%20amenaza%20no%20es

%20el%20antiforense

MSc. Eduardo Chavarro Ovalle

Investigador CSIETE

BSidesCO – Octubre 2014

#vol.py –f echavarro

9865778fas8d78as6798d5as869047624gushfdsiuo897asyt80ry4yiuffdufgyysojhfuisausoifhsdifdsiut0344h02y890dggrpogy980y0893&name=Eduardo%20Chavarro%20Ovalle&password=I%27m%20So r r y&he i s =Consu l to r%20en%20Segur idad%0A I ngen iero%20en%20Te lecomunicac iones%0A&Experiencia=más%20de%2012%20Años&sectores=% 0 A D e f e n s a % 2 0 - % 2 0 F i n a n c i e r o % 2 0 -%20Académico0Afo iad&postgraduate=MSc%20en% 2 0 S e g u r i d a d % 2 0 d e % 2 0 l a s % 2 0 T I C 988ay8fayht45htuhf98ayfew89yt3q49hguieryv890dsy9f8-yq89tgh49ghewge9eghu4i23y4oiu3yriuwe76r3467tr4738tyr873qr

#vol.py –f agenda

%01%20Análisis%20digital%20forense

%02%20Espectro%20de%20análisis

%03%20CVE-2014-0160

%04%20Hardware%20para%20robo%20de%20memoria

%04.1%20Kautilya

%05%20El%20olor%20del%20espectro%20radioeléctrico

%05.1%20Wifi%20Pineapple

%06%20Factoría%20Criminal

%07%20Recomendaciones

%01%20Análisis%20digital%20forense Obtener evidencia (digital)

Soportar Investigaciones

!  Garantizando un proceso científico

!  Aprovechando el desconocimiento tecnológico

!  Respetando la cadena de custodia y la confidencialidad

%02%20Espectro%20de%20análisis

%02%20Espectro%20de%20análisis

%03%20CVE-2014-0160

Usage: hbtest.py server [options]

Test for SSL heartbeat vulnerability (CVE-2014-0160)

Options:

-h, --help show this help message and exit

-p PORT, --port=PORT TCP port to test (default: 443)

hbtest.py mai**.co -p 443

hbtest.py -leccionesAprendidas

HTTPS

¿Es necesario evaluar el “inventario” de datos que se almacenan en memoria?, ¿Cómo podemos verificarla en un test de intrusión?

https://www.trustedsec.com/august-2014/chs-hacked-heartbleed-exclusive-trustedsec/

%04%20Hardware%20para%20robo%20de%20memoria !  DMA (Direct memory access)

!  FireWire – IEEE 1394

!  HID

%04.1%20Kautilya

%05%20El%20olor%20del%20espectro%20radioeléctrico !  Protocolos propietarios -> CIS

!  Inventario de recursos, tecnologías y protocolos - Norma

!  WiFi – BT – GSM – LAN – WAN – Wireless

%05.1%20Wifi%20Pineapple

Variación de Inyección a simple monitoreo y captura Evaluación, Monitoreo, Control

%06%20Factoría%20Criminal

!  Nuevos vectores para “obtener” información.

!  ~Complicidad

!  Software y Hardware

!  HID -> Dump -> Voila

!  Captura de tráfico de red

!  Subasta o “cyber crime as a service”

%06%20Factoría%20Criminal

McAfee 2013 - Cybercrime Exposed: Cybercrime-as-a-Service

RAM – Scraping: <Memory Forensics> %20T4RGET%20H0me%20D3p0t%20

http://krebsonsecurity.com/2014/09/in-home-depot-breach-investigation-focuses-on-self-checkout-lanes/

!  56 M – Tarjetas Débito y Crédito

!  Abril – Septiembre 2014

!  ~Complicidad en la instalación del Malware y exfiltración

!  Exfiltración haciendo uso de la misma red del proveedor

$$$Gold-traffic: <Network Forensics> tshark%20-i%20ethX%20-w%20/priv.cap

!  Controles de seguridad más laxos en la Intranet

!  Zona de confort

!  ~Complicidad: identificación de tráfico clave, Pivoting

NetSec(user) ~ 1/$$$

%07%20Recomendaciones

!  ..T(..ppt5cr4|v|bl1ng.=me..uM.\{...L.f-..Memoria & Red

!  No existen controles mínimos – Solo controles

!  Memory vulnerability assessment

!  Network Forensics – like a ninja

!  Norma vs efectividad de los controles

|..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...| |..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...|

MSc. Eduardo Chavarro Ovalle

Investigador CSIETE

BSidesCO – Octubre 2014

_.--,-```-. / / '. / ../ ; \ ``\ .``- ' \ ___\/ \ : \ : | | ; . ; ; : / : : `---'. | `--..`; .--,_ | |`. `-- -`, ; '---`"