bsidesco - echavarro, forense para delincuentes: cuando la única amenaza no es el antiforense
DESCRIPTION
Presentación BSidesCO 2014. Forense para delincuentes: Cuando la única amenaza no es el antiforense.TRANSCRIPT
Forense%20para%20delincuentes:%20
Cuando%20la%20única%20amenaza%20no%20es
%20el%20antiforense
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014
#vol.py –f echavarro
9865778fas8d78as6798d5as869047624gushfdsiuo897asyt80ry4yiuffdufgyysojhfuisausoifhsdifdsiut0344h02y890dggrpogy980y0893&name=Eduardo%20Chavarro%20Ovalle&password=I%27m%20So r r y&he i s =Consu l to r%20en%20Segur idad%0A I ngen iero%20en%20Te lecomunicac iones%0A&Experiencia=más%20de%2012%20Años§ores=% 0 A D e f e n s a % 2 0 - % 2 0 F i n a n c i e r o % 2 0 -%20Académico0Afo iad&postgraduate=MSc%20en% 2 0 S e g u r i d a d % 2 0 d e % 2 0 l a s % 2 0 T I C 988ay8fayht45htuhf98ayfew89yt3q49hguieryv890dsy9f8-yq89tgh49ghewge9eghu4i23y4oiu3yriuwe76r3467tr4738tyr873qr
#vol.py –f agenda
%01%20Análisis%20digital%20forense
%02%20Espectro%20de%20análisis
%03%20CVE-2014-0160
%04%20Hardware%20para%20robo%20de%20memoria
%04.1%20Kautilya
%05%20El%20olor%20del%20espectro%20radioeléctrico
%05.1%20Wifi%20Pineapple
%06%20Factoría%20Criminal
%07%20Recomendaciones
%01%20Análisis%20digital%20forense Obtener evidencia (digital)
Soportar Investigaciones
! Garantizando un proceso científico
! Aprovechando el desconocimiento tecnológico
! Respetando la cadena de custodia y la confidencialidad
%02%20Espectro%20de%20análisis
%02%20Espectro%20de%20análisis
%03%20CVE-2014-0160
Usage: hbtest.py server [options]
Test for SSL heartbeat vulnerability (CVE-2014-0160)
Options:
-h, --help show this help message and exit
-p PORT, --port=PORT TCP port to test (default: 443)
hbtest.py mai**.co -p 443
hbtest.py -leccionesAprendidas
HTTPS
¿Es necesario evaluar el “inventario” de datos que se almacenan en memoria?, ¿Cómo podemos verificarla en un test de intrusión?
https://www.trustedsec.com/august-2014/chs-hacked-heartbleed-exclusive-trustedsec/
%04%20Hardware%20para%20robo%20de%20memoria ! DMA (Direct memory access)
! FireWire – IEEE 1394
! HID
%04.1%20Kautilya
%05%20El%20olor%20del%20espectro%20radioeléctrico ! Protocolos propietarios -> CIS
! Inventario de recursos, tecnologías y protocolos - Norma
! WiFi – BT – GSM – LAN – WAN – Wireless
%05.1%20Wifi%20Pineapple
Variación de Inyección a simple monitoreo y captura Evaluación, Monitoreo, Control
%06%20Factoría%20Criminal
! Nuevos vectores para “obtener” información.
! ~Complicidad
! Software y Hardware
! HID -> Dump -> Voila
! Captura de tráfico de red
! Subasta o “cyber crime as a service”
%06%20Factoría%20Criminal
McAfee 2013 - Cybercrime Exposed: Cybercrime-as-a-Service
RAM – Scraping: <Memory Forensics> %20T4RGET%20H0me%20D3p0t%20
http://krebsonsecurity.com/2014/09/in-home-depot-breach-investigation-focuses-on-self-checkout-lanes/
! 56 M – Tarjetas Débito y Crédito
! Abril – Septiembre 2014
! ~Complicidad en la instalación del Malware y exfiltración
! Exfiltración haciendo uso de la misma red del proveedor
$$$Gold-traffic: <Network Forensics> tshark%20-i%20ethX%20-w%20/priv.cap
! Controles de seguridad más laxos en la Intranet
! Zona de confort
! ~Complicidad: identificación de tráfico clave, Pivoting
NetSec(user) ~ 1/$$$
%07%20Recomendaciones
! ..T(..ppt5cr4|v|bl1ng.=me..uM.\{...L.f-..Memoria & Red
! No existen controles mínimos – Solo controles
! Memory vulnerability assessment
! Network Forensics – like a ninja
! Norma vs efectividad de los controles
|..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...| |..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...|
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014
_.--,-```-. / / '. / ../ ; \ ``\ .``- ' \ ___\/ \ : \ : | | ; . ; ; : / : : `---'. | `--..`; .--,_ | |`. `-- -`, ; '---`"