SlideShare uma empresa Scribd logo

Autopsia de Una Intrusión

Transferir como PPT, PDF
Chema Alonso
Chema Alonso

El documento presenta una introducción al análisis forense. Explica brevemente qué es el análisis forense, su panorama actual y algunas herramientas como HoneyWeb y ULISES para la detección de malware. Luego analiza dos casos forenses: el caso de Carlos sobre evidencia digital encontrada en su domicilio y un caso de phishing bancario donde se explica el proceso de intrusión paso a paso. Finalmente concluye resumiendo los puntos principales cubiertos en la presentación.

TecnologiaNegócios
1 de 30
Name of presentation Autopsia de una intrusión Company name Salamanca, 8 de Julio 2009 o m o t.c g sp lo .b sa ver n o ni e xi n co
c:>whoami Pedro Sánchez Cordero * Soy un apasionado de las técnicas forense * He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad. * Soy miembro del capítulo Español de la Honeynet Project (http://www.honeynet.org/) * He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense * Escribo en el blog de conexioninversa (cuando puedo) * Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros
ATCA A.I.E., es una agrupación de interés económico con los siguientes socios: 31 % 13 % om 31 % t.c spo og bl sa. er nv o ni xi co ne 25 %
>6.000 Empleados (Escritorio Windows) > 192 Servidores en producción Centro primario y secundario a más de 300km 31 % Certificación en CMMI Nivel 5 (Solo dos empresas en E España) Certificación de Seguridad SGSI en ISO 2700113 % (Única en E España cuyo alcance es toda la empresa) om 31 % t.c og spo Certificaciones: CISCO (3), MCSA(3), MCSE (6), CISM (1), bl sa. er xi o ni nv OCP (3)CHFI (3) e con
Agenda: 1.- Análisis forense 2.- Análisis Forense in Depth – Dos casos: • Forensic inHouse – AUTOPSY CASE: “El caso de Carlos” • Live of dead – AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual” 3.- Herramientas para análisis forense 4.- Conclusiones om t.c po gs b lo a. rs n ve ni io n ex co
Name of presentation Autopsia de una intrusión Company name 1.- Análisis Forense o m o t.c g sp lo .b sa ver n o ni e xi n co
• 1.- Análisis forense • ¿que es? • “ Obtención y análisis de datos empleando • métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ” • – Dan Farmer y Wietse Venema, 1999 o o t.c sp og . bl r sa n ve ni io n ex co m
• 1.- Análisis forense Se buscan respuestas basadas en evidencias En una crisis informática o una intrusión se buscan respuestas a las preguntas: – ¿quien fue? – ¿como? – ¿cuando fue? – ¿porque? • Aquí entra en juego el analista forense o o t.c sp og . bl r sa n ve ni io n ex co m
• 1.- Análisis forense • La información se puede buscar en equipos encendidos: – Memoria – Red – Ficheros y procesos – Datos y programas • O..apagados – Discos y dispositivos • O en logs – Cortafuegos, IDS's, etc. o o t.c sp og . bl r sa n ve ni io n ex co m
• 1.- Análisis forense – La forma de obtener los datos: Adquisición de evidencias Obtención de imágenes de las evidencias Análisis inicial Creación y análisis de la línea de tiempo Análisis específico y recuperación de datos Análisis de datos y cadenas Generación del informe o o t.c sp og . bl r sa n ve ni io n ex co m
• 1.- Análisis forense – Panorama Actual o o t.c sp og . bl r sa n ve ni io n ex co m
• 1.- Análisis forense – Panorama Actual o o t.c sp og . bl r sa n ve ni io n ex co m
1.- Análisis forense Panorama Actual 16.000 Ataques al mes a las web's Casi el 100% de Ip's provienen de Rusia y China El 2% de Ataques de denegación de servicio El 80% Ataques de troyanos en clientes (un 4% es phising) El el 18% restante ataques de SQL Inyection, RFID, etc. Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's) JUNIO: 12 Análisis forenses Las fugas de información están a la orden del día Empleados descontentos, Administradores...etc o gs po t.c Gerentes que desconfían de los admins o bl sa. er nv o ni xi ne co m
1.- Panorama actual Lo que se ve...es muy distinto En este ultimo año hemos detectado un alto número de web's infectadas om t.c spo l og a .b ers i nv i on n ex co
Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Un caso: Forensics inHouse AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” o m o t.c g sp lo .b sa ver n o ni e xi n co
• 2.- Análisis Forense in Depth » AUTOPSY CASE: “El caso de Carlos” Carlos tiene pendiente una condena por exhibicionismo y acoso sexual en el trabajo. Algunas denunciantes interpusieron una demanda por lo penal dado que fueron grabadas y fotografiadas sin consentimiento. Muchas de esas fotos están ahora en Internet La Guardia Civil tras un registro en el domicilio de Carlos se incauto una gran cantidad de material digital CD's y Pendrives con alto contenido pedofilo y sexual. om po t.c Entre ellos teléfonos móviles como un motorola y un nokia n95 s l og a .b e rs i nv on on exi Se obtuvieron evidencias de llamadas, agendas e imágenes c
• DEMO om t.c spo l og a .b ers i nv i on n ex co
Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Segundo Caso: Live of dead AUTOPSY CASE: “Mi web tiene un 'bujerito' asersual” o m o t.c g sp lo .b sa ver n o ni e xi n co
• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •Autopsia del ataque: •PASO 1: 2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña 4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo 1 1.- El cliente 4 3 hace 'click' en un 2 vinculo sobre un .c om falso correo t spo a .b l og 3.- El cliente e rs introduce los i nv on datos y pulsa el exi con botón enviar
• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 2: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (dni) e recibe la página intenta hacer una 4 con sus datos y trasferencia om un campo más en automatica t.c spo el que le piden el l og .b DNI nv ers a 4.- El cliente 1.- El servidor legitimo valida i on introduce los el nombre de usuario y exi con datos y pulsa el contraseña y muestra la botón enviar posición global y se la envía al cliente
• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 3: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (token) y recibe la página realiza una 4 con sus datos y transferencia om un campo más la automaticamente t.c spo solicitud de su l og .b token nv ers a 4.- El cliente 1.- Dado que este cliente es i on introduce los VIP y dispone Token de un exi con datos y pulsa el solo uso le solicita el uso del botón enviar mismo
• 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •¿COMO SE RESOLVIO? •- Identificar al atacante en base a: ● Ip's de origen ● Firma (hash) de la página de inicio y comparandola con la vuelta ● Establecimiento de un captcha para detener el automatismo •Paralelamente ● Se desarrollo lo que hoy es una honeynet basada en web ● Se activa... ● Dependiendo de los usuarios introducidos po t.c om ● Del nivel de ataque (Bd de ataques) s og rs a .b l ● Por geolocalización e nv ex i on i ● Por IA (versiones,idiomas,ips..etc..) n co
Name of presentation Autopsia de una intrusión Company name 3.- Herramientas “tool and kit” o m o t.c g sp lo .b sa ver n o ni e xi n co
• 3.- Herramientas •HoneyWeb •Detector de Malware - ULISES ● * El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación. ● * Identificación de las actividades que realiza el malware sobre el ordenador del usuario. ● * Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas ● * Supongamos que han insertado código malicioso para troyanizar a los usuarios. ● * Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows ● * Utiliza las Api's VIX de VMWARE .c om ● * No necesita VMWARE Server en Linux t po .b l og s ● * Es OpenSource y disponible (pronto) en codeplex a ers i nv i on n ex co
3.- ULISES Sistema Windows Consola de Administración 1.- Envía los comandos para las páginas a visitar Sistema virtualizado Control del navegador 4.- Empieza la comunicación 2.- Activa el rootkit 3.- Visita el website om gs po t.c Internet explorer Rootkit o bl a. ers i nv on co n ex i vigia.exe mirilla.exe
• DEMO om t.c spo l og a .b ers i nv i on n ex co
Otras herramientas Ver blog: conexioninversa.blogspot.com
Name of presentation Autopsia de una intrusión Company name 4.- Conclusiones o m o t.c g sp lo .b sa ver n o ni e xi n co
4. Conclusiones ● Todo contacto deja rastro ● El malo tiene prisa y generalmente 'no limpia' las pruebas ● Las empresas afectadas disponen de poco tiempo de investigar. La producción manda ● Gran volumen de casos sobre fraude interno ● Los clientes del sector financiero viven íntimamente con troyanos ● Las fuerzas del estado están cada vez mas preparadas ● Las leyes cada vez son mas fuertes ● La Judicatura tiene grandes vacíos legales ante la ley. Otros todavía no entienden la parte técnica. (Sabemos que están en ello) om t.c po .b l og s ● La profesión de analista forense requiere mucha especialización, sa i nv er conocer herramientas y disponer de una fuerte base legal on exi con
Por lo tanto...si los troyanos te comen y las intrusiones te molestan... Name of presentation Piensa en 'Forense' Conoce a tu enemigo Aprende de el. Company name Gracias... o m o t.c g sp lo .b sa ver n o ni e xi n co

Recomendados

Auto cad 2009 avanzado
Auto cad 2009 avanzadoAuto cad 2009 avanzado
Auto cad 2009 avanzadojfjf2013
 
Linea desarrollo social
Linea desarrollo socialLinea desarrollo social
Linea desarrollo socialMunicipio de Titiribi-Antioquia
 
Introducción a Symfony2
Introducción a Symfony2Introducción a Symfony2
Introducción a Symfony2aferrandini
 
Historia de malware
Historia de malwareHistoria de malware
Historia de malwareEduardo Sanchez Piña
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
Viviendo En La Jungla
Viviendo En La JunglaViviendo En La Jungla
Viviendo En La JunglaChema Alonso
 
Evolución del malware
Evolución del malwareEvolución del malware
Evolución del malwareEventos Creativos
 
Malware: Historia y Clasificación
Malware: Historia y ClasificaciónMalware: Historia y Clasificación
Malware: Historia y ClasificaciónUniversidad Simon Bolivar
 

Recomendados

Auto cad 2009 avanzado
Auto cad 2009 avanzadoAuto cad 2009 avanzado
Auto cad 2009 avanzadojfjf2013
 
Linea desarrollo social
Linea desarrollo socialLinea desarrollo social
Linea desarrollo socialMunicipio de Titiribi-Antioquia
 
Introducción a Symfony2
Introducción a Symfony2Introducción a Symfony2
Introducción a Symfony2aferrandini
 
Historia de malware
Historia de malwareHistoria de malware
Historia de malwareEduardo Sanchez Piña
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
Viviendo En La Jungla
Viviendo En La JunglaViviendo En La Jungla
Viviendo En La JunglaChema Alonso
 
Evolución del malware
Evolución del malwareEvolución del malware
Evolución del malwareEventos Creativos
 
Malware: Historia y Clasificación
Malware: Historia y ClasificaciónMalware: Historia y Clasificación
Malware: Historia y ClasificaciónUniversidad Simon Bolivar
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1Chema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang BotnetChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 

Mais conteúdo relacionado

Mais de Chema Alonso

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 

Mais de Chema Alonso (20)

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 

Último

AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 

Último (20)

AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 

Autopsia de Una Intrusión

  • 1. Name of presentation Autopsia de una intrusión Company name Salamanca, 8 de Julio 2009 o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 2. c:>whoami Pedro Sánchez Cordero * Soy un apasionado de las técnicas forense * He trabajado en empresas como consultor de seguridad informática especializado en métodos forense, redes trampa, detección de intrusiones, desarrollo de normas ISO 27001 y metodologías sobre arquitecturas de seguridad. * Soy miembro del capítulo Español de la Honeynet Project (http://www.honeynet.org/) * He publicado diversas herramientas y scripts de seguridad en ForensicFocus orientadas al analisis forense * Escribo en el blog de conexioninversa (cuando puedo) * Actualmente desarrollo mi labor como responsable de seguridad en Asociación técnica de Cajas de Ahorros
  • 3. ATCA A.I.E., es una agrupación de interés económico con los siguientes socios: 31 % 13 % om 31 % t.c spo og bl sa. er nv o ni xi co ne 25 %
  • 4. >6.000 Empleados (Escritorio Windows) > 192 Servidores en producción Centro primario y secundario a más de 300km 31 % Certificación en CMMI Nivel 5 (Solo dos empresas en E España) Certificación de Seguridad SGSI en ISO 2700113 % (Única en E España cuyo alcance es toda la empresa) om 31 % t.c og spo Certificaciones: CISCO (3), MCSA(3), MCSE (6), CISM (1), bl sa. er xi o ni nv OCP (3)CHFI (3) e con
  • 5. Agenda: 1.- Análisis forense 2.- Análisis Forense in Depth – Dos casos: • Forensic inHouse – AUTOPSY CASE: “El caso de Carlos” • Live of dead – AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual” 3.- Herramientas para análisis forense 4.- Conclusiones om t.c po gs b lo a. rs n ve ni io n ex co
  • 6. Name of presentation Autopsia de una intrusión Company name 1.- Análisis Forense o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 7. • 1.- Análisis forense • ¿que es? • “ Obtención y análisis de datos empleando • métodos que distorsionen lo menos posible la información con el objetivo de reconstruir todos los datos y/o los eventos qué ocurrieron sobre un sistema en el pasado ” • – Dan Farmer y Wietse Venema, 1999 o o t.c sp og . bl r sa n ve ni io n ex co m
  • 8. • 1.- Análisis forense Se buscan respuestas basadas en evidencias En una crisis informática o una intrusión se buscan respuestas a las preguntas: – ¿quien fue? – ¿como? – ¿cuando fue? – ¿porque? • Aquí entra en juego el analista forense o o t.c sp og . bl r sa n ve ni io n ex co m
  • 9. • 1.- Análisis forense • La información se puede buscar en equipos encendidos: – Memoria – Red – Ficheros y procesos – Datos y programas • O..apagados – Discos y dispositivos • O en logs – Cortafuegos, IDS's, etc. o o t.c sp og . bl r sa n ve ni io n ex co m
  • 10. • 1.- Análisis forense – La forma de obtener los datos: Adquisición de evidencias Obtención de imágenes de las evidencias Análisis inicial Creación y análisis de la línea de tiempo Análisis específico y recuperación de datos Análisis de datos y cadenas Generación del informe o o t.c sp og . bl r sa n ve ni io n ex co m
  • 11. • 1.- Análisis forense – Panorama Actual o o t.c sp og . bl r sa n ve ni io n ex co m
  • 12. • 1.- Análisis forense – Panorama Actual o o t.c sp og . bl r sa n ve ni io n ex co m
  • 13. 1.- Análisis forense Panorama Actual 16.000 Ataques al mes a las web's Casi el 100% de Ip's provienen de Rusia y China El 2% de Ataques de denegación de servicio El 80% Ataques de troyanos en clientes (un 4% es phising) El el 18% restante ataques de SQL Inyection, RFID, etc. Los casos forenses se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's) JUNIO: 12 Análisis forenses Las fugas de información están a la orden del día Empleados descontentos, Administradores...etc o gs po t.c Gerentes que desconfían de los admins o bl sa. er nv o ni xi ne co m
  • 14. 1.- Panorama actual Lo que se ve...es muy distinto En este ultimo año hemos detectado un alto número de web's infectadas om t.c spo l og a .b ers i nv i on n ex co
  • 15. Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Un caso: Forensics inHouse AUTOPSY CASE: “Yo no hice esa transferencia de 3.000 Euros” o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 16. • 2.- Análisis Forense in Depth » AUTOPSY CASE: “El caso de Carlos” Carlos tiene pendiente una condena por exhibicionismo y acoso sexual en el trabajo. Algunas denunciantes interpusieron una demanda por lo penal dado que fueron grabadas y fotografiadas sin consentimiento. Muchas de esas fotos están ahora en Internet La Guardia Civil tras un registro en el domicilio de Carlos se incauto una gran cantidad de material digital CD's y Pendrives con alto contenido pedofilo y sexual. om po t.c Entre ellos teléfonos móviles como un motorola y un nokia n95 s l og a .b e rs i nv on on exi Se obtuvieron evidencias de llamadas, agendas e imágenes c
  • 17. • DEMO om t.c spo l og a .b ers i nv i on n ex co
  • 18. Autopsia de una intrusión Name of presentation 2.- Análisis Forense in Depth Company name Segundo Caso: Live of dead AUTOPSY CASE: “Mi web tiene un 'bujerito' asersual” o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 19. • 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •Autopsia del ataque: •PASO 1: 2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña 4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo 1 1.- El cliente 4 3 hace 'click' en un 2 vinculo sobre un .c om falso correo t spo a .b l og 3.- El cliente e rs introduce los i nv on datos y pulsa el exi con botón enviar
  • 20. • 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 2: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (dni) e recibe la página intenta hacer una 4 con sus datos y trasferencia om un campo más en automatica t.c spo el que le piden el l og .b DNI nv ers a 4.- El cliente 1.- El servidor legitimo valida i on introduce los el nombre de usuario y exi con datos y pulsa el contraseña y muestra la botón enviar posición global y se la envía al cliente
  • 21. • 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •PASO 3: 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 1 2 5 5.- El malo envia el 3.- El cliente nuevo valor (token) y recibe la página realiza una 4 con sus datos y transferencia om un campo más la automaticamente t.c spo solicitud de su l og .b token nv ers a 4.- El cliente 1.- Dado que este cliente es i on introduce los VIP y dispone Token de un exi con datos y pulsa el solo uso le solicita el uso del botón enviar mismo
  • 22. • 2.- Análisis Forense in Depth » AUTOPSY CASE: “Mi web tiene un 'bujerito' sersual •¿COMO SE RESOLVIO? •- Identificar al atacante en base a: ● Ip's de origen ● Firma (hash) de la página de inicio y comparandola con la vuelta ● Establecimiento de un captcha para detener el automatismo •Paralelamente ● Se desarrollo lo que hoy es una honeynet basada en web ● Se activa... ● Dependiendo de los usuarios introducidos po t.c om ● Del nivel de ataque (Bd de ataques) s og rs a .b l ● Por geolocalización e nv ex i on i ● Por IA (versiones,idiomas,ips..etc..) n co
  • 23. Name of presentation Autopsia de una intrusión Company name 3.- Herramientas “tool and kit” o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 24. • 3.- Herramientas •HoneyWeb •Detector de Malware - ULISES ● * El objeto de este programa tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación. ● * Identificación de las actividades que realiza el malware sobre el ordenador del usuario. ● * Suponiendo que nuestras Webs o con las que nos intercambiamos información han sido vulneradas ● * Supongamos que han insertado código malicioso para troyanizar a los usuarios. ● * Basado en Capture HPC, pero con algunas mejoras a nivel del capturador y mensajeria hacia Windows ● * Utiliza las Api's VIX de VMWARE .c om ● * No necesita VMWARE Server en Linux t po .b l og s ● * Es OpenSource y disponible (pronto) en codeplex a ers i nv i on n ex co
  • 25. 3.- ULISES Sistema Windows Consola de Administración 1.- Envía los comandos para las páginas a visitar Sistema virtualizado Control del navegador 4.- Empieza la comunicación 2.- Activa el rootkit 3.- Visita el website om gs po t.c Internet explorer Rootkit o bl a. ers i nv on co n ex i vigia.exe mirilla.exe
  • 26. • DEMO om t.c spo l og a .b ers i nv i on n ex co
  • 28. Name of presentation Autopsia de una intrusión Company name 4.- Conclusiones o m o t.c g sp lo .b sa ver n o ni e xi n co
  • 29. 4. Conclusiones ● Todo contacto deja rastro ● El malo tiene prisa y generalmente 'no limpia' las pruebas ● Las empresas afectadas disponen de poco tiempo de investigar. La producción manda ● Gran volumen de casos sobre fraude interno ● Los clientes del sector financiero viven íntimamente con troyanos ● Las fuerzas del estado están cada vez mas preparadas ● Las leyes cada vez son mas fuertes ● La Judicatura tiene grandes vacíos legales ante la ley. Otros todavía no entienden la parte técnica. (Sabemos que están en ello) om t.c po .b l og s ● La profesión de analista forense requiere mucha especialización, sa i nv er conocer herramientas y disponer de una fuerte base legal on exi con
  • 30. Por lo tanto...si los troyanos te comen y las intrusiones te molestan... Name of presentation Piensa en 'Forense' Conoce a tu enemigo Aprende de el. Company name Gracias... o m o t.c g sp lo .b sa ver n o ni e xi n co