Charla perito informático dragonjar tv
-
Upload
jaime-restrepo -
Category
Documents
-
view
3.278 -
download
5
Transcript of Charla perito informático dragonjar tv
www.securizame.com © Todos los derechos reservados
SbD
Peritaje Informá5co Forense
Lorenzo Mar2nez (@lawwait)
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Agenda
• Conceptos forenses • Distribuciones Live forenses • Un servidor compromeAdo: Linux • Análisis de malware en un Iphone • Buenas prácAcas de análisis forense • AnA-‐forensics
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Whoami • Lorenzo Mar2nez Rodríguez • CEO & Founder www.securizame.com • CISSP, CISA • ANTPJI • Editor de SecurityByDefault • 12 años experiencia profesional en seguridad • Herramientas: Securewin, amispammer, scalparser, brute12unx, tweetme!
• Twi\er: @lawwait, @securizame, @secbydefault • Email: [email protected] • Web: www.securizame.com
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Conceptos forenses • Recolección – Examen – Análisis -‐ Informes • Preservar la evidencia -‐ Integridad • Cadena de custodia • EAquetar && Documentar • Read Only • Imágenes AFF • RAM & Swap Dumps
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Distribuciones Live forenses
• Helix • CAINE • Backtrack Forensics • DEFT • Matriux
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Caso real: Apache + mod_proxy • Indicadores – Excesiva acAvidad Router – Carga de máquina – Ancho de banda ocupado
• Análisis inicial – Iptraf – Tcpdump – Netstat – top
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Caso real: Apache + mod_proxy
-‐ Configuración Apache -‐
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Caso real: Apache + mod_proxy
-‐ Análisis de logs -‐ Lo único esperable
Lo que había
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Errores come5dos • Sysadmin – Mala configuración – Prisas – Cortar/Pegar
• Forense – No aislar el sistema – No (Adquisición, hashing, preservar evidencias, eAquetado, etc,…)
– UAlización de herramientas de sistema – Logs no firmados
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Análisis correcto
• UAlizar herramientas desde unidades Read-‐Only
• Herramientas compiladas estáAcamente • Analizadores de Rootkits/malware para Linux: chkrootkit + rkhunter
• rpm -‐Va • Procesos/conexiones de red ocultas -‐> Unhide
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Caso real: Malware en iPhone Intento de conexión SSH
Reinstalo SSH en el Iphone
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Caso real: Malware en iPhone
-‐ Conclusiones -‐
• Malware eliminado • Punto de entrada detectado • Contramedidas tomadas • Errores aprendidos
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Buenas prác5cas ayuda forense • Comprobación de integridad – AFICK – AIDE – Tripwire
• Logs detallados • Remote syslog • NTP (Network Time Protocol) • Despliegue topología de IDS + IPS • Constante monitorización y noAficación
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
An5-‐forensics
• Cifrado: USBs / Hard Disks • Sandboxing: Virtualización • Tarjeta Wifi externa • MAC aleatoria • Firefox + User Agent Switcher • Free Wireless: Wardriving/Starbucks • VPN a país “sin leyes” • TOR / Proxies anónimos
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
BibliograXa recomendada
h\p://www.securitybydefault.com/2008/09/hackeos-‐menos-‐memorables-‐revisin-‐de-‐un.html
Peritaje Informá5co Forense
© Todos los derechos reservados SbD
Preguntas
Email me: [email protected] Twi\er: @lawwait @securizame @secbydefault