Charla perito informático dragonjar tv

www.securizame.com © Todos los derechos reservados

SbD

Peritaje Informá5co Forense

Lorenzo Mar2nez (@lawwait)


© Todos los derechos reservados SbD

Agenda

•  Conceptos forenses •  Distribuciones Live forenses •  Un servidor compromeAdo: Linux •  Análisis de malware en un Iphone •  Buenas prácAcas de análisis forense •  AnA-‐forensics



Whoami



Whoami •  Lorenzo Mar2nez Rodríguez •  CEO & Founder www.securizame.com •  CISSP, CISA •  ANTPJI •  Editor de SecurityByDefault •  12 años experiencia profesional en seguridad •  Herramientas: Securewin, amispammer, scalparser, brute12unx, tweetme!

•  Twi\er: @lawwait, @securizame, @secbydefault •  Email: [email protected] •  Web: www.securizame.com



Conceptos forenses



Conceptos forenses •  Recolección – Examen – Análisis -‐ Informes •  Preservar la evidencia -‐ Integridad •  Cadena de custodia •  EAquetar && Documentar •  Read Only •  Imágenes AFF •  RAM & Swap Dumps



Distribuciones Live forenses



Distribuciones Live forenses

•  Helix •  CAINE •  Backtrack Forensics •  DEFT •  Matriux



Helix



CAINE/NBCAINE



DEFT



Matriux



Backtrack



Lo que vemos en TV



Caso real: Máquina LINUX



Caso real: Apache + mod_proxy •  Indicadores – Excesiva acAvidad Router – Carga de máquina – Ancho de banda ocupado

•  Análisis inicial –  Iptraf – Tcpdump – Netstat –  top



Caso real: Apache + mod_proxy

-‐ Configuración Apache -‐



Caso real: Apache + mod_proxy

-‐ Análisis de logs -‐ Lo único esperable

Lo que había



Errores come5dos



Errores come5dos •  Sysadmin – Mala configuración –  Prisas –  Cortar/Pegar

•  Forense – No aislar el sistema – No (Adquisición, hashing, preservar evidencias, eAquetado, etc,…)

– UAlización de herramientas de sistema –  Logs no firmados



Análisis correcto

•  UAlizar herramientas desde unidades Read-‐Only

•  Herramientas compiladas estáAcamente •  Analizadores de Rootkits/malware para Linux: chkrootkit + rkhunter

•  rpm -‐Va •  Procesos/conexiones de red ocultas -‐> Unhide



Caso real: Malware en iPhone



Caso real: Malware en iPhone Intento de conexión SSH

Reinstalo SSH en el Iphone




-‐ Conclusiones -‐

•  Malware eliminado •  Punto de entrada detectado •  Contramedidas tomadas •  Errores aprendidos



Buenas prác5cas ayuda forense



Buenas prác5cas ayuda forense •  Comprobación de integridad – AFICK – AIDE –  Tripwire

•  Logs detallados •  Remote syslog •  NTP (Network Time Protocol) •  Despliegue topología de IDS + IPS •  Constante monitorización y noAficación



An5-‐forensics



An5-‐forensics

•  Cifrado: USBs / Hard Disks •  Sandboxing: Virtualización •  Tarjeta Wifi externa •  MAC aleatoria •  Firefox + User Agent Switcher •  Free Wireless: Wardriving/Starbucks •  VPN a país “sin leyes” •  TOR / Proxies anónimos



BibliograXa recomendada

h\p://www.securitybydefault.com/2008/09/hackeos-‐menos-‐memorables-‐revisin-‐de-‐un.html



Preguntas

Email me: [email protected] Twi\er: @lawwait @securizame @secbydefault

Charla perito informático dragonjar tv

Documents

Transcript of Charla perito informático dragonjar tv