esto va de wireless
TRANSCRIPT
* [ #about…]
- e-crime intelligence analyst
- Fraud researcher
- Crazy drummer
- Dragonjar, Flu, Security By Default…Marc
Rivero
ANTPJI 2013
* [ #Incident responseVS
forensic analyst…]
ANTPJI 2013
Respuesta ante incidentes:• Planificar y preparar• Detección del incidente• Contención de la respuesta• Recuperación
Análisis forense• Análisis (post-mortem)
* [ #Análisis forense…]
Análisis forense:Es el proceso de identificar, preservar, analizar y presentar la evidencia digital en una forma que sea legalmente aceptable
Principio de Locard:
Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto
ANTPJI 2013
* [ #Análisis forense…]
Fases de un análisis forense:• Identificar la evidencia (verificación)• Obtener la evidencia• Análisis y evaluación de la evidencia• Presentación y almacenamiento de la evidencia.
ANTPJI 2013
* [ #Tipos de evidencias…]
ANTPJI 2013
• Testigo humano
• Tráfico de red• Bases de datos
• Periféricos
• Aplicaciones
• TODO!!!
* [ #Empieza la historia…]
ANTPJI 2013
Sucesos:• Sistemas vulnerados• Robo de información
Presuntamente un Insider a colaborado
* [ #Empieza la historia…]
ANTPJI 2013
Hay que ponerse en situación:• Reunión• Explicar situación• Partes implicadas
Es una de las partes mas importantes.
* [ #Ataques Wireless…]
ANTPJI 2013
Escaneo de redes con airodump-ng• La cantidad de redes que existen• Nombre• Cifrado• Canal
* [ #Ataques Wireless…]
ANTPJI 2013
Liberad a Wifi RevolutionDisponible en Google PlayAh… y es GRATISGratis, siempre es bueno
* [ #Imagen del sistema…]
ANTPJI 2013
Sistema en “vivo”• FTK• Uso de DD y Netcat
Sistema apagado• Extraer disco duro• Usar un duplicador• Cuidado con montar los discos en un Linux• Montar siempre en Read Only• Los LIVE CD forenses se montan así por defecto
* [ #Estudio de la RAM…]
ANTPJI 2013
Análisis del dumpcon volatility
Conexiones hacia otra máquina interna
* [ #Network analysis…]
ANTPJI 2013
RADIUS con Windows ServerSe puede hacer el forense con prácticas habituales
* [ #Revisar la red…]
ANTPJI 2013
Análisis de la red en buscade ataques
Se ven pruebas del tipoAsociación al punto de acceso
* [ #Conclusiones…]
ANTPJI 2013
• Toca hacer el informe con las pruebas encontradas….. (QUE DIVERTIDO eh ¬_¬)• Con el TAP en la red, se consigue capturar evidencias de fuga de información de
un usuario en concreto• Con el DNS pasivo en el segmento de red, se consiguen capturar peticiones
concretas a páginas de intercambios de archivos.• El uso de herramientas para descubrir redes, permite encontrar un punto de
acceso no autorizado sin cifrado, con acceso a la red interna.
Un analista puede engañar, las evidencias en un informe, no
Es importante documentar todo el proceso ya que…