Todos los derechos reservados

SbD

Buenas prcticas forenses:Casos reales en IOS y Linux

Lorenzo Martnez R. (@lawwait)

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

[root@localhost ~]# whoami 13 aos experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informtico Forense ANCITE (www.ancite.es) CISSP, CISA Editor de www.SecurityByDefault.com Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: lorenzo@securizame.com

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Conceptos Forenses

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Conceptos Forenses

Preservar la evidencia - Integridad Cadena de custodia Etiquetar && Documentar Volatilidad: de mayor a menor RAM & Swap Dumps Read Only Imgenes AFF

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Distribuciones Live Forenses

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Distribuciones Live Forenses

Helix CAINE Kali Linux DEFT Matriux

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Helix

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

CAINE/NBCAINE

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

DEFT

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Matriux

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Kali Linux

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Santoku(Santoku

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Lo que vemos en TV

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Lo que vemos en TV

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Sistema LINUX

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Sistema LINUX Indicadores Excesiva actividad Router Carga de mquina Ancho de banda ocupado

Anlisis inicial iptraf tcpdump netstat top

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Apache + mod_proxy- Configuracin Apache -

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Apache + mod_proxy- Anlisis de logs -

Lo nico esperable

Lo que haba

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Errores cometidos

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Sysadmin Mala configuracin Prisas Cortar/Pegar

Forense No aislar el sistema No (Adquisicin, hashing, preservar evidencias,

etiquetado, etc,) Utilizacin de herramientas de sistema Logs no firmados

Errores cometidos

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Anlisis correcto Utilizar herramientas desde unidades Read-

Only Herramientas compiladas estticamente Analizadores de Rootkits/malware para Linux:

chkrootkit + rkhunter rpm -Va Procesos/conexiones de red ocultas -> Unhide

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhoneIntento de conexin SSH

Reinstalo SSH en el Iphone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Caso real: Malware en iPhone- Conclusiones -

Malware eliminado Punto de entrada detectado Contramedidas tomadas Errores aprendidos

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Buenas prcticas ayuda forense Comprobacin de integridad AFICK AIDE Tripwire

Logs detallados Remote syslog NTP (Network Time Protocol) Despliegue topologa de IDS + IPS Constante monitorizacin y notificacin

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Anti-forensics

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Anti-forensics Cifrado: USBs / Hard Disks Sandboxing: Virtualizacin Tarjeta Wifi externa MAC aleatoria Firefox + User Agent Switcher Free Wireless: Wardriving/Starbucks VPN a pas sin leyes TOR / Proxies annimos

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Bibliografa recomendada

http://bit.ly/1eN3fzo

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

The Big FAIL

Buenas prcticas forenses: Casos reales en IOS y Linux

Todos los derechos reservados

Email me: lorenzo@securizame.comTwitter: @lawwait @securizame @secbydefault