8dot8_2013_pres_lm_1.pdf
TRANSCRIPT
-
Todos los derechos reservados
SbD
Buenas prcticas forenses:Casos reales en IOS y Linux
Lorenzo Martnez R. (@lawwait)
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
[root@localhost ~]# whoami 13 aos experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informtico Forense ANCITE (www.ancite.es) CISSP, CISA Editor de www.SecurityByDefault.com Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: [email protected]
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Conceptos Forenses
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Conceptos Forenses
Preservar la evidencia - Integridad Cadena de custodia Etiquetar && Documentar Volatilidad: de mayor a menor RAM & Swap Dumps Read Only Imgenes AFF
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Distribuciones Live Forenses
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Distribuciones Live Forenses
Helix CAINE Kali Linux DEFT Matriux
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Helix
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
CAINE/NBCAINE
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
DEFT
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Matriux
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Kali Linux
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Santoku(Santoku
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Lo que vemos en TV
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Lo que vemos en TV
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Sistema LINUX
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Sistema LINUX Indicadores Excesiva actividad Router Carga de mquina Ancho de banda ocupado
Anlisis inicial iptraf tcpdump netstat top
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Apache + mod_proxy- Configuracin Apache -
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Apache + mod_proxy- Anlisis de logs -
Lo nico esperable
Lo que haba
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Errores cometidos
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Sysadmin Mala configuracin Prisas Cortar/Pegar
Forense No aislar el sistema No (Adquisicin, hashing, preservar evidencias,
etiquetado, etc,) Utilizacin de herramientas de sistema Logs no firmados
Errores cometidos
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anlisis correcto Utilizar herramientas desde unidades Read-
Only Herramientas compiladas estticamente Analizadores de Rootkits/malware para Linux:
chkrootkit + rkhunter rpm -Va Procesos/conexiones de red ocultas -> Unhide
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhoneIntento de conexin SSH
Reinstalo SSH en el Iphone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone- Conclusiones -
Malware eliminado Punto de entrada detectado Contramedidas tomadas Errores aprendidos
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Buenas prcticas ayuda forense Comprobacin de integridad AFICK AIDE Tripwire
Logs detallados Remote syslog NTP (Network Time Protocol) Despliegue topologa de IDS + IPS Constante monitorizacin y notificacin
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anti-forensics
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anti-forensics Cifrado: USBs / Hard Disks Sandboxing: Virtualizacin Tarjeta Wifi externa MAC aleatoria Firefox + User Agent Switcher Free Wireless: Wardriving/Starbucks VPN a pas sin leyes TOR / Proxies annimos
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Bibliografa recomendada
http://bit.ly/1eN3fzo
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
The Big FAIL
-
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Email me: [email protected]: @lawwait @securizame @secbydefault