miércoles, 22 de junio de 2011

Jornadas de Informática Forense en A Coruña I

Actualizado: Tenéis los enlaces de las presentaciones en el blog de Chema Alonso
http://www.elladodelmal.com/2011/07/presentaciones-del-curso-de-verano-de.html

He tenido la suerte de poder asistir a estas Jornadas que organiza Informática 64 en la Facultad de Informática de A Coruña.

La verdad las ponencias están resultando incluso más interesantes de lo que yo esperaba, y están enseñándome muchas cosas. Iré haciendo un resumen de las ponencias, más que nada porque los apuntes en papel que voy cogiendo soy muy propenso a perderlos, y el blog pues malo será que se me escape.

Cumplimiento Legal de un Análisis Forense: Juan Luis García Rambla

Juan nos ha contado en esta charla cómo debemos hacer para cumplir bien con un análisis forense y nos ha comentado cómo andan los diferentes países en cuanto a normativas. No sólo a nivel teórico (leyes, notarios, etc.), si no también a nivel práctico cómo evitar las cafradas de novato (modificar sin querer el equipo a analizar, conseguir una prueba que se invalidará por invasión de la privacidad, seguir el RFC 3227 que en España no podemos aplicar ese modus operandi...).

Además me ha parecido muy importante el punto en que cuando se tiene que ir a juicio por alguno de estos temas, hay que ser extremadamente cuidadoso ya que un mal trabajo no solo puede hacer que pierdas el caso, si no que también puede caerte un puro criminal por ejemplo porque el juez interpreta que has falsificado algo deliberadamente.

Todo lo que iba explicando iba acompañado de casos prácticos y experiencias personales suyas, lo que me pareció extremadamente interesante.

Antiforensics: Juan Luis Garcia Rambla

Aquí Juan nos ha enseñado utilidades para ocultar ficheros y directorios de diferentes maneras, para limpiar los temporales, archivos de paginación, etc. (Evidence Remover) y luego también una utilidad bastante interesante como es el DECAF, que es más que nada para tocar los huevos al forense. Es una aplicación que según detecta una aplicación forense (COFEE, Forensics ToolKit, Helios) puedes configurar varias acciones. En la demo que hizo solo bloqueaba la sesión, pero se puede hacer que también borre los archivos que nosotros queramos (con varias pasadas) y realmente podemos configurarlo para que haga cualquier cosa.

También nos ha hablado de la recuperación de datos borrados, me pareció increíble que puedan recuperarse archivos borrados con hasta 5 pasadas, e incluso con 7, en este último caso dependiendo de la suerte que se tenga, con lo cual yo daría unas cuantas pasadas más por si acaso.

Referido a la ocultación de datos nos ha hablado de Slacker, y lo que me resultó completamente nuevo, el ADS de NTFS. Para ocultar un archivo y ejecutarlo en un sistema NTFS haríamos:

type calc.exe >archivo.txt:calculadora.exe
start ./archivo.txt:calculadora.exe


Para encontrar estos archivos ocultos usaríamos LADS.

Realización de Time-Line en Sistemas Operativos Windows Juan Luis García Rambla

En esta charla pudimos ver la importancia del timeline que puede ser vital como prueba. Nos mostró cómo podemos extraer el MFT de una partición NTFS con el Forensics Toolkit, para ser posteriormente columnada con el Analyze MFT y poder ser vista en Excel(ajustar la vista de los datos en Excel fue lo más complicado del proceso, los hackers no entienden de Excel jaja).

Pudiendo ver la tabla de archivos veremos fecha de creación, modificación, etc. e incluso fechas que el sistema operativo no lee y sólo están de referencia en la tabla MFT, que podremos usar para luego cotejarlas con las otras y ver si está todo correcto. Con la herramienta TimeStomp podremos modificar todo lo que queramos y desquiciar al forense.

Buscando información: Logs y eventos en Sistemas Windows Juan Luis García

Pues eso, cómo van los logs en windows, directivas para auditar, logs erróneos y correctos... Importantísimo saber del tema para evitar un tremendo gasto innecesario de espacio y de tiempo guardando logs inútiles, más luego lo que tardaremos en analizarlos.

Caso de Estudio: Análisis Forense en un entorno de Malware Pedro Sánchez

Famoso por el vídeo en el que monta un cerdo o sucedáneo que no di encontrado por la red pero que siempre pone en sus charlas, vimos con él lo relacionado con el Malware. Hizo también una demo con Volatility en la que analizaba un dumpeo de la memoria RAM para encontrar un "bicho". Comentó Chema Alonso que subirían las presentaciones y las demos, pondré un enlace cuando estén.

¡Mañana más!

Jornadas de Informática Forense en A Coruña I
Jornadas de Informática Forense en A Coruña II
Jornadas de Informática Forense en A Coruña III

No hay comentarios:

Publicar un comentario