Upload
jhon-doe
View
223
Download
0
Embed Size (px)
Citation preview
Todos los derechos reservados
SbD
Buenas prcticas forenses:Casos reales en IOS y Linux
Lorenzo Martnez R. (@lawwait)
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
[root@localhost ~]# whoami 13 aos experiencia profesional en seguridad Integradores -> Fabricantes -> Empresario && formador CTO && Founder www.securizame.com Perito Informtico Forense ANCITE (www.ancite.es) CISSP, CISA Editor de www.SecurityByDefault.com Herramientas: Securewin, amispammer, scalparser Twitter: @lawwait, @securizame, @secbydefault Email: [email protected]
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Conceptos Forenses
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Conceptos Forenses
Preservar la evidencia - Integridad Cadena de custodia Etiquetar && Documentar Volatilidad: de mayor a menor RAM & Swap Dumps Read Only Imgenes AFF
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Distribuciones Live Forenses
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Distribuciones Live Forenses
Helix CAINE Kali Linux DEFT Matriux
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Helix
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
CAINE/NBCAINE
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
DEFT
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Matriux
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Kali Linux
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Santoku(Santoku
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Lo que vemos en TV
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Lo que vemos en TV
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Sistema LINUX
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Sistema LINUX Indicadores Excesiva actividad Router Carga de mquina Ancho de banda ocupado
Anlisis inicial iptraf tcpdump netstat top
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Apache + mod_proxy- Configuracin Apache -
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Apache + mod_proxy- Anlisis de logs -
Lo nico esperable
Lo que haba
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Errores cometidos
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Sysadmin Mala configuracin Prisas Cortar/Pegar
Forense No aislar el sistema No (Adquisicin, hashing, preservar evidencias,
etiquetado, etc,) Utilizacin de herramientas de sistema Logs no firmados
Errores cometidos
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anlisis correcto Utilizar herramientas desde unidades Read-
Only Herramientas compiladas estticamente Analizadores de Rootkits/malware para Linux:
chkrootkit + rkhunter rpm -Va Procesos/conexiones de red ocultas -> Unhide
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhoneIntento de conexin SSH
Reinstalo SSH en el Iphone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Caso real: Malware en iPhone- Conclusiones -
Malware eliminado Punto de entrada detectado Contramedidas tomadas Errores aprendidos
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Buenas prcticas ayuda forense Comprobacin de integridad AFICK AIDE Tripwire
Logs detallados Remote syslog NTP (Network Time Protocol) Despliegue topologa de IDS + IPS Constante monitorizacin y notificacin
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anti-forensics
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Anti-forensics Cifrado: USBs / Hard Disks Sandboxing: Virtualizacin Tarjeta Wifi externa MAC aleatoria Firefox + User Agent Switcher Free Wireless: Wardriving/Starbucks VPN a pas sin leyes TOR / Proxies annimos
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Bibliografa recomendada
http://bit.ly/1eN3fzo
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
The Big FAIL
Buenas prcticas forenses: Casos reales en IOS y Linux
Todos los derechos reservados
Email me: [email protected]: @lawwait @securizame @secbydefault