Criminalistica
Páginas: 25 (6004 palabras)
Publicado: 4 de abril de 2010
Análisis Criminalístico Forense con OSS
Luis Guillermo Castañeda Estañol KasperskyLab Chief Research Officer Hypersec Consulting UK Eduardo Ruiz Duarte KasperskyLab Security Consultant Hypersec Consulting UK
Index
• ¿Me “hackearon” ahora que? -Búsqueda de evidencia. -Búsqueda de patrones. -Recopilación de información.
• Forensics over fisical memory. -Análisis Forense de memoria físicaen sistemas IA32 (win32/linux/bsd). -Consejos prácticos -W0000AAAHHH mira lo que dejaste.
Index
•
Forensics Datarecovery -Conceptos básicos de filesystems y memoria (NTFS/FAT(x)/ext2/ext3/ufs2) -Conceptos avanzados de agrupación de información y tablas a nivel de kernel. -Restaurando la información -Emitiendo un veredicto -Consejos Prácticos
Index
• Post-Hack Pentesting -Que es elpentesting? -Como se realiza -Ejemplos. Forensics Network Discovery -Implementación de soluciones para: – Honeypots – Poisoners – Sniffers – Seekers – NIDS/PIDS Conclusiones
•
•
¿Me “hackearon”, ahora que?
¿Me “hackearon”, ahora que?
• Busqueda de evidencia: Normalmente los sistemas por su naturaleza, incluso Windows logean TODO lo que se hace, (conexiones, accesos, peticiones, etc,etc), algunos de ellos de una forma mucho mejor que otros, pero todo deja logs, un perpetrador lógicamente va a buscar la forma de asegurar su acceso a un sistema “intervenido”, es por ello que instalara un backdoor (de su creacion o publico), para no tener que hacer TODO el procedimiento de explotación, borrado de logs y demas. Ahora bien donde un perpetrador de un incidente dejaria semejantesutilerias y como actuan estas?
Tomando evidencia
Windows al igual que linux tiene ciertos “sistemas” de seguridad y logeo de accesos a todas sus aplicaciones, es posible logear si una aplicación genero errores, si una aplicación fue derribada, si una aplicación, servicio o usuario intento perpetrar un ilicito y demas. Los primeros pasos de nuestra búsqueda de evidencia serán: -Verificarservicios que se encuentran corriendo en la maquina y que están registrados. -Verificar el registro. -No confiar en una sola solución antivirus. -No confiar en lo que veamos como logs, porque el perpetrador los pudo haber alterado (zapping). -No pensar que nuestro “penetrador” es mas listo que nosotros. -Verificar procesos corriendo y las firmas de los mismos. -Analizar detenidamente los logs con los quecontamos.
Tomando evidencia
-Si nosotros fuimos precavidos realizamos las siguientes tareas después de actualizar nuestro sistema y parchar (si ya se que son MUCHOS parches): -Tomar una lista de las firmas de los archivos del sistema y mantenerlo actualizado. -Tomar un snapshot o de menos un screenshot de los servicios que utilizamos y aplicaciones que tenemos corriendo y mantenerloactualizado. -Tomar una lista de los usuarios que frecuentan que son frecuentes en nuestros sistemas. -Auditar los passwords de los usuarios. -Scanear periódicamente con nuestra solución antivirus y antimalware. -Pensar que NO soy seguro, solo hay una cosa segura en la vida… -Pensar que soy un target para cualquier usuario de internet o de mi red local. -No confiamos en solo un punto de vista. -Pensar quela paranoia es buena :)
Busqueda de patrones
Si no realizamos ninguna de estas tareas, el análisis forense será aun mas difícil porque contamos con poca información, pero como siempre TODO es posible. • Búsqueda de patrones: Siempre es común que las maquinas de producción sean constantemente vigiladas por nosotros, sabemos que les duele, si se rompe tal o tal que hacer y demás, sabemos queservicios necesitamos para subsistir y sabemos también con que usuarios contamos, porque no buscar diferencias?. Buscar patrones es una excelente forma de encontrar que es lo diferente en un sistema perpetrado.
Recompilando informacion
Recompilar información de un sistema perpetrado es una tarea ardua, difícil y tediosa, comencemos a analizarlo por sistema: -Windows -Chequear el sistema de...
Luis Guillermo Castañeda Estañol KasperskyLab Chief Research Officer Hypersec Consulting UK Eduardo Ruiz Duarte KasperskyLab Security Consultant Hypersec Consulting UK
Index
• ¿Me “hackearon” ahora que? -Búsqueda de evidencia. -Búsqueda de patrones. -Recopilación de información.
• Forensics over fisical memory. -Análisis Forense de memoria físicaen sistemas IA32 (win32/linux/bsd). -Consejos prácticos -W0000AAAHHH mira lo que dejaste.
Index
•
Forensics Datarecovery -Conceptos básicos de filesystems y memoria (NTFS/FAT(x)/ext2/ext3/ufs2) -Conceptos avanzados de agrupación de información y tablas a nivel de kernel. -Restaurando la información -Emitiendo un veredicto -Consejos Prácticos
Index
• Post-Hack Pentesting -Que es elpentesting? -Como se realiza -Ejemplos. Forensics Network Discovery -Implementación de soluciones para: – Honeypots – Poisoners – Sniffers – Seekers – NIDS/PIDS Conclusiones
•
•
¿Me “hackearon”, ahora que?
¿Me “hackearon”, ahora que?
• Busqueda de evidencia: Normalmente los sistemas por su naturaleza, incluso Windows logean TODO lo que se hace, (conexiones, accesos, peticiones, etc,etc), algunos de ellos de una forma mucho mejor que otros, pero todo deja logs, un perpetrador lógicamente va a buscar la forma de asegurar su acceso a un sistema “intervenido”, es por ello que instalara un backdoor (de su creacion o publico), para no tener que hacer TODO el procedimiento de explotación, borrado de logs y demas. Ahora bien donde un perpetrador de un incidente dejaria semejantesutilerias y como actuan estas?
Tomando evidencia
Windows al igual que linux tiene ciertos “sistemas” de seguridad y logeo de accesos a todas sus aplicaciones, es posible logear si una aplicación genero errores, si una aplicación fue derribada, si una aplicación, servicio o usuario intento perpetrar un ilicito y demas. Los primeros pasos de nuestra búsqueda de evidencia serán: -Verificarservicios que se encuentran corriendo en la maquina y que están registrados. -Verificar el registro. -No confiar en una sola solución antivirus. -No confiar en lo que veamos como logs, porque el perpetrador los pudo haber alterado (zapping). -No pensar que nuestro “penetrador” es mas listo que nosotros. -Verificar procesos corriendo y las firmas de los mismos. -Analizar detenidamente los logs con los quecontamos.
Tomando evidencia
-Si nosotros fuimos precavidos realizamos las siguientes tareas después de actualizar nuestro sistema y parchar (si ya se que son MUCHOS parches): -Tomar una lista de las firmas de los archivos del sistema y mantenerlo actualizado. -Tomar un snapshot o de menos un screenshot de los servicios que utilizamos y aplicaciones que tenemos corriendo y mantenerloactualizado. -Tomar una lista de los usuarios que frecuentan que son frecuentes en nuestros sistemas. -Auditar los passwords de los usuarios. -Scanear periódicamente con nuestra solución antivirus y antimalware. -Pensar que NO soy seguro, solo hay una cosa segura en la vida… -Pensar que soy un target para cualquier usuario de internet o de mi red local. -No confiamos en solo un punto de vista. -Pensar quela paranoia es buena :)
Busqueda de patrones
Si no realizamos ninguna de estas tareas, el análisis forense será aun mas difícil porque contamos con poca información, pero como siempre TODO es posible. • Búsqueda de patrones: Siempre es común que las maquinas de producción sean constantemente vigiladas por nosotros, sabemos que les duele, si se rompe tal o tal que hacer y demás, sabemos queservicios necesitamos para subsistir y sabemos también con que usuarios contamos, porque no buscar diferencias?. Buscar patrones es una excelente forma de encontrar que es lo diferente en un sistema perpetrado.
Recompilando informacion
Recompilar información de un sistema perpetrado es una tarea ardua, difícil y tediosa, comencemos a analizarlo por sistema: -Windows -Chequear el sistema de...
Leer documento completo
Regístrate para leer el documento completo.