martes, 28 de junio de 2011

Jornadas de Informática Forense en A Coruña III

Y por fin la última entrega de la serie de Jornadas.

Análisis Forense de la Memoria RAM de un sistema:
Chema Alonso Juan Garrido

En principio la charla la daba Chema, aunque luego dijo que probablemente la daría mejor Juan. Estamos convencidos de que ha sido una decisión totalmente fría y calculada y por supuesto sin relación ninguna con que la noche anterior se celebrara el San Juan de Coruña (para los que no seáis de aquí, quizás una de las fiestas más importantes del año, se sale más o menos como en fin de año). Volviendo al tema que nos ocupa, Juan nos contó cómo analizar la RAM, lo que podemos encontrar en ella (por ejemplo contraseñas en claro), lo que hacer con lo que hayamos encontrado, etc.

Análisis Forense de teléfonos Android y tarjeta SIM: Juan Garrido

En esta charla nos ha explicado las alternativas que tenemos para analizar teléfonos Android, y lo increíble que es que en tan poco tiempo ya haya tantas herramientas de forense. Más que nada vimos que el problema básico de Android es que las aplicaciones están mal programadas y no encriptan los datos sensibles.

Análisis Forense de teléfonos iPhone/iPad: Juan Garrido

Siguiendo una estructura parecida a la charla de Android, esta vez se puso en el lugar de los Iphone. Nos enseñó cómo sacar a mano los datos sensibles, y nos mostró un programa que está preparando que hace todo eso de manera automática y que publicará en su blog cuando esté acabado.

El forense de tu iPhone en la nube: Igor Lukic

Igor nos mostró la herramienta de pago Oxigen Forensics Tool con la que cualquiera puede hacer un análisis forense de un sistema Iphone. Impresionante aplicación y la cantidad de datos que muestra, el único problema es que es de pago. Aún así, hay una versión de prueba que puede bajarse cualquiera. Pero recordad: no usar con vuestras novias...

También nos mostró las opciones de Zendal Backup a la hora de hacer backup de nuestros datos.

Análisis Forense de otros móviles: Juan Garrido

En este caso se refirió sobre todo a Windows Mobile, en el que aclaró que es el sistema más difícil de trabajar, más que nada porque todo va a su bola y no está estructurado, los programas guardan las cosas que les apetece. Hizo una demo con un programa que dumpeaba la memoria del teléfono para luego analizarla en el PC.

Los análisis forenses y la compañía Microsoft: José Parada

En esta charla vimos los servicios que ofrece Microsoft en Internet (Skydrive, MSN, Hotmail...) y la política que tiene en cuanto a guardar y borrar datos, recuperación de cuentas, legislación...


Y así acabamos las entregas de unas jornadas en las que he aprendido muchísimo y recomendaría a cualquiera. Quizás alguno de los resúmenes que he escrito sea un poco confuso o corto, pero espero que se publiquen pronto las presentaciones y solucionen eso.

Un saludo!

Jornadas de Informática Forense en A Coruña I
Jornadas de Informática Forense en A Coruña II
Jornadas de Informática Forense en A Coruña III

jueves, 23 de junio de 2011

Jornadas de Informática Forense en A Coruña II

Sigo con el resumen.

Análisis Forenses
- Alejandro Ramos

Hoy Alejandro dio tres charlas sobre análisis forenses en Windows, Linux y de red y memoria RAM en el que iba resolviendo de forma práctica diversos retos. Muy instructivo e interesante, me ha metido unas ganas tremendas de empezar con algún reto forense que encuentre por ahí. Espero que suba las transparencias de las charlas, ya que tengo ganas de releerlas con calma. Aunque por lo que hemos visto hay muchísimas pistas y cosas que mirar, y si realmente no sabes por dónde ir, te puedes pasar muchas horas y días para hacer lo que ha hecho él en cada charla.

Siguiendo la pista a un pederasta en la red Pedro Sánchez

Pedro nos ha contado en este caso la historia de cómo se procede para coger a un pederasta. Ha estado genial ir oyendo cómo va contando la historia y explicando los pasos que va dando el pederasta y cómo avanza la policía junto con él mismo para conseguir atraparlo y demostrar su culpabilidad.

Análisis Forense de Apache: Detectando ataques en logs Miguel Gesteiro

Miguel nos ha enseñado en este caso a analizar los logs de un servidor apache. Para eso utilizó un Servidor Apache que tenía montado la Web Vulnerable Application, y con Scalp iba analizando los logs para comprobar que detectaba los ataques que se le hacían. También hizo lo propio con la herramienta Log Parser de Microsoft.

Helix: Kit de supervivencia para analistas forenses Miguel Gesteiro

En esta charla vimos por encima (ya que el programa tiene muchísimas opciones) cómo manejar Helix, tanto en Windows como sobre el propio Live-CD, y Miguel nos comentó las ventajas y deventajas de dicha suite.

Fin de la segunda entrega, mañana más!

Jornadas de Informática Forense en A Coruña I
Jornadas de Informática Forense en A Coruña II
Jornadas de Informática Forense en A Coruña III

miércoles, 22 de junio de 2011

Jornadas de Informática Forense en A Coruña I

Actualizado: Tenéis los enlaces de las presentaciones en el blog de Chema Alonso
http://www.elladodelmal.com/2011/07/presentaciones-del-curso-de-verano-de.html

He tenido la suerte de poder asistir a estas Jornadas que organiza Informática 64 en la Facultad de Informática de A Coruña.

La verdad las ponencias están resultando incluso más interesantes de lo que yo esperaba, y están enseñándome muchas cosas. Iré haciendo un resumen de las ponencias, más que nada porque los apuntes en papel que voy cogiendo soy muy propenso a perderlos, y el blog pues malo será que se me escape.

Cumplimiento Legal de un Análisis Forense: Juan Luis García Rambla

Juan nos ha contado en esta charla cómo debemos hacer para cumplir bien con un análisis forense y nos ha comentado cómo andan los diferentes países en cuanto a normativas. No sólo a nivel teórico (leyes, notarios, etc.), si no también a nivel práctico cómo evitar las cafradas de novato (modificar sin querer el equipo a analizar, conseguir una prueba que se invalidará por invasión de la privacidad, seguir el RFC 3227 que en España no podemos aplicar ese modus operandi...).

Además me ha parecido muy importante el punto en que cuando se tiene que ir a juicio por alguno de estos temas, hay que ser extremadamente cuidadoso ya que un mal trabajo no solo puede hacer que pierdas el caso, si no que también puede caerte un puro criminal por ejemplo porque el juez interpreta que has falsificado algo deliberadamente.

Todo lo que iba explicando iba acompañado de casos prácticos y experiencias personales suyas, lo que me pareció extremadamente interesante.

Antiforensics: Juan Luis Garcia Rambla

Aquí Juan nos ha enseñado utilidades para ocultar ficheros y directorios de diferentes maneras, para limpiar los temporales, archivos de paginación, etc. (Evidence Remover) y luego también una utilidad bastante interesante como es el DECAF, que es más que nada para tocar los huevos al forense. Es una aplicación que según detecta una aplicación forense (COFEE, Forensics ToolKit, Helios) puedes configurar varias acciones. En la demo que hizo solo bloqueaba la sesión, pero se puede hacer que también borre los archivos que nosotros queramos (con varias pasadas) y realmente podemos configurarlo para que haga cualquier cosa.

También nos ha hablado de la recuperación de datos borrados, me pareció increíble que puedan recuperarse archivos borrados con hasta 5 pasadas, e incluso con 7, en este último caso dependiendo de la suerte que se tenga, con lo cual yo daría unas cuantas pasadas más por si acaso.

Referido a la ocultación de datos nos ha hablado de Slacker, y lo que me resultó completamente nuevo, el ADS de NTFS. Para ocultar un archivo y ejecutarlo en un sistema NTFS haríamos:

type calc.exe >archivo.txt:calculadora.exe
start ./archivo.txt:calculadora.exe


Para encontrar estos archivos ocultos usaríamos LADS.

Realización de Time-Line en Sistemas Operativos Windows Juan Luis García Rambla

En esta charla pudimos ver la importancia del timeline que puede ser vital como prueba. Nos mostró cómo podemos extraer el MFT de una partición NTFS con el Forensics Toolkit, para ser posteriormente columnada con el Analyze MFT y poder ser vista en Excel(ajustar la vista de los datos en Excel fue lo más complicado del proceso, los hackers no entienden de Excel jaja).

Pudiendo ver la tabla de archivos veremos fecha de creación, modificación, etc. e incluso fechas que el sistema operativo no lee y sólo están de referencia en la tabla MFT, que podremos usar para luego cotejarlas con las otras y ver si está todo correcto. Con la herramienta TimeStomp podremos modificar todo lo que queramos y desquiciar al forense.

Buscando información: Logs y eventos en Sistemas Windows Juan Luis García

Pues eso, cómo van los logs en windows, directivas para auditar, logs erróneos y correctos... Importantísimo saber del tema para evitar un tremendo gasto innecesario de espacio y de tiempo guardando logs inútiles, más luego lo que tardaremos en analizarlos.

Caso de Estudio: Análisis Forense en un entorno de Malware Pedro Sánchez

Famoso por el vídeo en el que monta un cerdo o sucedáneo que no di encontrado por la red pero que siempre pone en sus charlas, vimos con él lo relacionado con el Malware. Hizo también una demo con Volatility en la que analizaba un dumpeo de la memoria RAM para encontrar un "bicho". Comentó Chema Alonso que subirían las presentaciones y las demos, pondré un enlace cuando estén.

¡Mañana más!

Jornadas de Informática Forense en A Coruña I
Jornadas de Informática Forense en A Coruña II
Jornadas de Informática Forense en A Coruña III