esto va de wireless

47
* [# 802.1X Esto va de Wireless...] Marc Rivero (@seifreed) ANTPJI 2013

Upload: marc-rivero

Post on 25-Jul-2015

919 views

Category:

Technology


0 download

TRANSCRIPT

* [# 802.1X Esto va de Wireless...]

Marc Rivero (@seifreed)

ANTPJI 2013

* [ #about…]

- e-crime intelligence analyst

- Fraud researcher

- Crazy drummer

- Dragonjar, Flu, Security By Default…Marc

Rivero

ANTPJI 2013

* [ #índice…]

• Analista forense VS IR• Análisis forense• Historia • Conclusiones

ANTPJI 2013

* [ #Antes de nada…]

ANTPJI 2013

* [ #Incident responseVS

forensic analyst…]

ANTPJI 2013

Respuesta ante incidentes:• Planificar y preparar• Detección del incidente• Contención de la respuesta• Recuperación

Análisis forense• Análisis (post-mortem)

* [ #Incident response…]

ANTPJI 2013

* [ #Análisis forense…]

Análisis forense:Es el proceso de identificar, preservar, analizar y presentar la evidencia digital en una forma que sea legalmente aceptable

Principio de Locard:

Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto

ANTPJI 2013

* [ #Análisis forense…]

Fases de un análisis forense:• Identificar la evidencia (verificación)• Obtener la evidencia• Análisis y evaluación de la evidencia• Presentación y almacenamiento de la evidencia.

ANTPJI 2013

* [ #Tipos de evidencias…]

ANTPJI 2013

• Testigo humano

• Tráfico de red• Bases de datos

• Periféricos

• Aplicaciones

• TODO!!!

* [ #Empieza la historia…]

ANTPJI 2013

¿Todo el mundo esperando la llamada?

* [ #Laboratorio Forense…]

ANTPJI 2013

Como debería de ser

* [ #Analista forense/IR…]

ANTPJI 2013

* [ #Laboratorio forense…]

ANTPJI 2013

* [ #Empieza la historia…]

ANTPJI 2013

Sucesos:• Sistemas vulnerados• Robo de información

Presuntamente un Insider a colaborado

* [ #Empieza la historia…]

ANTPJI 2013

Hay que ponerse en situación:• Reunión• Explicar situación• Partes implicadas

Es una de las partes mas importantes.

* [ #Reuniones…]

ANTPJI 2013

• Reunión con los diferentes departamentos

* [ #Ámbito…]

ANTPJI 2013

* [ #Reuniones…]

ANTPJI 2013

Es una cuestión de tiempo y dinero

* [ #Herramientas…]

ANTPJI 2013

* [ #Forense en Wireless…]

ANTPJI 2013

* [ #Forense en Wireless…]

ANTPJI 2013

* [ #Forense en Wireless…]

ANTPJI 2013

PERO SI VA POR EL AIRE!!!!!

* [ #Forense en Wireless…]

ANTPJI 2013

2,4 GHz5 Ghz

Antena Yagi

Enlace Wireless

* [ #Forense en Wireless…]

ANTPJI 2013

Tipos de ataques• DDoS • Fake AP• Ataque a los usuarios

* [ #Ataques Wireless…]

ANTPJI 2013

Escaneo de redes con airodump-ng• La cantidad de redes que existen• Nombre• Cifrado• Canal

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

* [ #Ataques Wireless…]

ANTPJI 2013

Liberad a Wifi RevolutionDisponible en Google PlayAh… y es GRATISGratis, siempre es bueno

* [ #Analizar los logs…]

ANTPJI 2013

* [ #Revisar la red…]

ANTPJI 2013

* [ #Imagen del sistema…]

ANTPJI 2013

Sistema en “vivo”• FTK• Uso de DD y Netcat

Sistema apagado• Extraer disco duro• Usar un duplicador• Cuidado con montar los discos en un Linux• Montar siempre en Read Only• Los LIVE CD forenses se montan así por defecto

* [ #Estudio de la RAM…]

ANTPJI 2013

Análisis del dumpcon volatility

Conexiones hacia otra máquina interna

* [ #Network analysis…]

ANTPJI 2013

Passive DNS:Estudio de las peticiones

* [ #Network analysis…]

ANTPJI 2013

Listado de Acces Points

Regla de snort

* [ #Network analysis…]

ANTPJI 2013

RADIUS con Windows ServerSe puede hacer el forense con prácticas habituales

* [ #Revisar la red…]

ANTPJI 2013

Análisis de la red en buscade ataques

Se ven pruebas del tipoAsociación al punto de acceso

* [ #Network analysis…]

ANTPJI 2013

RADIUS con HotSpot de fabricante

* [ #Conclusiones…]

ANTPJI 2013

• Toca hacer el informe con las pruebas encontradas….. (QUE DIVERTIDO eh ¬_¬)• Con el TAP en la red, se consigue capturar evidencias de fuga de información de

un usuario en concreto• Con el DNS pasivo en el segmento de red, se consiguen capturar peticiones

concretas a páginas de intercambios de archivos.• El uso de herramientas para descubrir redes, permite encontrar un punto de

acceso no autorizado sin cifrado, con acceso a la red interna.

Un analista puede engañar, las evidencias en un informe, no

Es importante documentar todo el proceso ya que…

* [Q/A]

* [ Gracias!! ]

[email protected] @seifreed