esto va de wireless
TRANSCRIPT
* [# 802.1X Esto va de Wireless...]
Marc Rivero (@seifreed)
ANTPJI 2013
* [ #about…]
- e-crime intelligence analyst
- Fraud researcher
- Crazy drummer
- Dragonjar, Flu, Security By Default…Marc
Rivero
ANTPJI 2013
* [ #índice…]
• Analista forense VS IR• Análisis forense• Historia • Conclusiones
ANTPJI 2013
* [ #Antes de nada…]
ANTPJI 2013
* [ #Incident responseVS
forensic analyst…]
ANTPJI 2013
Respuesta ante incidentes:• Planificar y preparar• Detección del incidente• Contención de la respuesta• Recuperación
Análisis forense• Análisis (post-mortem)
* [ #Incident response…]
ANTPJI 2013
* [ #Análisis forense…]
Análisis forense:Es el proceso de identificar, preservar, analizar y presentar la evidencia digital en una forma que sea legalmente aceptable
Principio de Locard:
Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto
ANTPJI 2013
* [ #Análisis forense…]
Fases de un análisis forense:• Identificar la evidencia (verificación)• Obtener la evidencia• Análisis y evaluación de la evidencia• Presentación y almacenamiento de la evidencia.
ANTPJI 2013
* [ #Tipos de evidencias…]
ANTPJI 2013
• Testigo humano
• Tráfico de red• Bases de datos
• Periféricos
• Aplicaciones
• TODO!!!
* [ #Empieza la historia…]
ANTPJI 2013
¿Todo el mundo esperando la llamada?
* [ #Laboratorio Forense…]
ANTPJI 2013
Como debería de ser
* [ #Analista forense/IR…]
ANTPJI 2013
* [ #Laboratorio forense…]
ANTPJI 2013
* [ #Empieza la historia…]
ANTPJI 2013
Sucesos:• Sistemas vulnerados• Robo de información
Presuntamente un Insider a colaborado
* [ #Empieza la historia…]
ANTPJI 2013
Hay que ponerse en situación:• Reunión• Explicar situación• Partes implicadas
Es una de las partes mas importantes.
* [ #Reuniones…]
ANTPJI 2013
• Reunión con los diferentes departamentos
* [ #Ámbito…]
ANTPJI 2013
* [ #Reuniones…]
ANTPJI 2013
Es una cuestión de tiempo y dinero
* [ #Herramientas…]
ANTPJI 2013
* [ #Forense en Wireless…]
ANTPJI 2013
* [ #Forense en Wireless…]
ANTPJI 2013
* [ #Forense en Wireless…]
ANTPJI 2013
PERO SI VA POR EL AIRE!!!!!
* [ #Forense en Wireless…]
ANTPJI 2013
2,4 GHz5 Ghz
Antena Yagi
Enlace Wireless
* [ #Forense en Wireless…]
ANTPJI 2013
Tipos de ataques• DDoS • Fake AP• Ataque a los usuarios
* [ #Ataques Wireless…]
ANTPJI 2013
Escaneo de redes con airodump-ng• La cantidad de redes que existen• Nombre• Cifrado• Canal
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
* [ #Ataques Wireless…]
ANTPJI 2013
Liberad a Wifi RevolutionDisponible en Google PlayAh… y es GRATISGratis, siempre es bueno
* [ #Analizar los logs…]
ANTPJI 2013
* [ #Revisar la red…]
ANTPJI 2013
* [ #Imagen del sistema…]
ANTPJI 2013
Sistema en “vivo”• FTK• Uso de DD y Netcat
Sistema apagado• Extraer disco duro• Usar un duplicador• Cuidado con montar los discos en un Linux• Montar siempre en Read Only• Los LIVE CD forenses se montan así por defecto
* [ #Estudio de la RAM…]
ANTPJI 2013
Análisis del dumpcon volatility
Conexiones hacia otra máquina interna
* [ #Network analysis…]
ANTPJI 2013
Passive DNS:Estudio de las peticiones
* [ #Network analysis…]
ANTPJI 2013
Listado de Acces Points
Regla de snort
* [ #Network analysis…]
ANTPJI 2013
RADIUS con Windows ServerSe puede hacer el forense con prácticas habituales
* [ #Revisar la red…]
ANTPJI 2013
Análisis de la red en buscade ataques
Se ven pruebas del tipoAsociación al punto de acceso
* [ #Network analysis…]
ANTPJI 2013
RADIUS con HotSpot de fabricante
* [ #Conclusiones…]
ANTPJI 2013
• Toca hacer el informe con las pruebas encontradas….. (QUE DIVERTIDO eh ¬_¬)• Con el TAP en la red, se consigue capturar evidencias de fuga de información de
un usuario en concreto• Con el DNS pasivo en el segmento de red, se consiguen capturar peticiones
concretas a páginas de intercambios de archivos.• El uso de herramientas para descubrir redes, permite encontrar un punto de
acceso no autorizado sin cifrado, con acceso a la red interna.
Un analista puede engañar, las evidencias en un informe, no
Es importante documentar todo el proceso ya que…
* [Q/A]
