Download - BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense
![Page 1: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/1.jpg)
Forense%20para%20delincuentes:%20
Cuando%20la%20única%20amenaza%20no%20es
%20el%20antiforense
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014
![Page 2: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/2.jpg)
#vol.py –f echavarro
9865778fas8d78as6798d5as869047624gushfdsiuo897asyt80ry4yiuffdufgyysojhfuisausoifhsdifdsiut0344h02y890dggrpogy980y0893&name=Eduardo%20Chavarro%20Ovalle&password=I%27m%20So r r y&he i s =Consu l to r%20en%20Segur idad%0A I ngen iero%20en%20Te lecomunicac iones%0A&Experiencia=más%20de%2012%20Años§ores=% 0 A D e f e n s a % 2 0 - % 2 0 F i n a n c i e r o % 2 0 -%20Académico0Afo iad&postgraduate=MSc%20en% 2 0 S e g u r i d a d % 2 0 d e % 2 0 l a s % 2 0 T I C 988ay8fayht45htuhf98ayfew89yt3q49hguieryv890dsy9f8-yq89tgh49ghewge9eghu4i23y4oiu3yriuwe76r3467tr4738tyr873qr
![Page 3: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/3.jpg)
#vol.py –f agenda
%01%20Análisis%20digital%20forense
%02%20Espectro%20de%20análisis
%03%20CVE-2014-0160
%04%20Hardware%20para%20robo%20de%20memoria
%04.1%20Kautilya
%05%20El%20olor%20del%20espectro%20radioeléctrico
%05.1%20Wifi%20Pineapple
%06%20Factoría%20Criminal
%07%20Recomendaciones
![Page 4: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/4.jpg)
%01%20Análisis%20digital%20forense Obtener evidencia (digital)
Soportar Investigaciones
! Garantizando un proceso científico
! Aprovechando el desconocimiento tecnológico
! Respetando la cadena de custodia y la confidencialidad
![Page 5: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/5.jpg)
%02%20Espectro%20de%20análisis
![Page 6: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/6.jpg)
%02%20Espectro%20de%20análisis
![Page 7: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/7.jpg)
%03%20CVE-2014-0160
Usage: hbtest.py server [options]
Test for SSL heartbeat vulnerability (CVE-2014-0160)
Options:
-h, --help show this help message and exit
-p PORT, --port=PORT TCP port to test (default: 443)
![Page 8: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/8.jpg)
hbtest.py mai**.co -p 443
![Page 9: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/9.jpg)
hbtest.py -leccionesAprendidas
HTTPS
¿Es necesario evaluar el “inventario” de datos que se almacenan en memoria?, ¿Cómo podemos verificarla en un test de intrusión?
https://www.trustedsec.com/august-2014/chs-hacked-heartbleed-exclusive-trustedsec/
![Page 10: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/10.jpg)
%04%20Hardware%20para%20robo%20de%20memoria ! DMA (Direct memory access)
! FireWire – IEEE 1394
! HID
![Page 11: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/11.jpg)
%04.1%20Kautilya
![Page 12: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/12.jpg)
%05%20El%20olor%20del%20espectro%20radioeléctrico ! Protocolos propietarios -> CIS
! Inventario de recursos, tecnologías y protocolos - Norma
! WiFi – BT – GSM – LAN – WAN – Wireless
![Page 13: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/13.jpg)
%05.1%20Wifi%20Pineapple
Variación de Inyección a simple monitoreo y captura Evaluación, Monitoreo, Control
![Page 14: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/14.jpg)
%06%20Factoría%20Criminal
! Nuevos vectores para “obtener” información.
! ~Complicidad
! Software y Hardware
! HID -> Dump -> Voila
! Captura de tráfico de red
! Subasta o “cyber crime as a service”
![Page 15: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/15.jpg)
%06%20Factoría%20Criminal
McAfee 2013 - Cybercrime Exposed: Cybercrime-as-a-Service
![Page 16: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/16.jpg)
RAM – Scraping: <Memory Forensics> %20T4RGET%20H0me%20D3p0t%20
http://krebsonsecurity.com/2014/09/in-home-depot-breach-investigation-focuses-on-self-checkout-lanes/
! 56 M – Tarjetas Débito y Crédito
! Abril – Septiembre 2014
! ~Complicidad en la instalación del Malware y exfiltración
! Exfiltración haciendo uso de la misma red del proveedor
![Page 17: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/17.jpg)
$$$Gold-traffic: <Network Forensics> tshark%20-i%20ethX%20-w%20/priv.cap
! Controles de seguridad más laxos en la Intranet
! Zona de confort
! ~Complicidad: identificación de tráfico clave, Pivoting
NetSec(user) ~ 1/$$$
![Page 18: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/18.jpg)
%07%20Recomendaciones
! ..T(..ppt5cr4|v|bl1ng.=me..uM.\{...L.f-..Memoria & Red
! No existen controles mínimos – Solo controles
! Memory vulnerability assessment
! Network Forensics – like a ninja
! Norma vs efectividad de los controles
![Page 19: BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no es el antiforense](https://reader034.vdocuments.co/reader034/viewer/2022042813/5481edff5806b5de048b45df/html5/thumbnails/19.jpg)
|..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...| |..l8-.%.A9G.0///||/////...xRC4////| |//WXcdVechavarro.–he.dewxYZrsQRP| |QopJKgh9UV12bcV||W0rsqr//////...|
MSc. Eduardo Chavarro Ovalle
Investigador CSIETE
BSidesCO – Octubre 2014
_.--,-```-. / / '. / ../ ; \ ``\ .``- ' \ ___\/ \ : \ : | | ; . ; ; : / : : `---'. | `--..`; .--,_ | |`. `-- -`, ; '---`"