SlideShare une entreprise Scribd logo

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de almacenamiento remoto

Internet Security Auditors
Internet Security Auditors

Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.

Internet
1  sur  51
Télécharger pour lire hors ligne
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88 Análisis Forense en Servicios de Almacenamiento Remoto
@localhost # whoami Alexandre Rodríguez Domoslawsky CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM e-mail: arodriguez@isecauditors.com Analista de seguridad  Hacking ético  Análisis forense  Incidentes de seguridad Análisis Forense en Servicios de Almacenamiento Remoto
Objetivos de la presentación • Analizar las principales tecnologías de almacenamiento remoto – ¿Que información se almacena localmente? • Credenciales • Ficheros de configuración • Arquitectura del servicio (servidores tiempo, back-end, front –end) • Cifrado, ofuscado, texto plano • Cuando se desinstala el servicio, ¿que información sigue residiendo localmente? – ¿Qué sucede en la transferencia y sincronización de archivos? • Conexiones cifradas • ¿Cómo se sincronizan los archivos? • Credenciales Análisis Forense en Servicios de Almacenamiento Remoto
Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Necesidad • Cada vez requerimos mas espacio Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Necesidad • Estamos mas interconectados Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Servicios • A mayor demanda, mayor oferta https://www.preceden.com/timelines/47418-evolution-of-cloud-storage Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Vulnerabilidades Software – Confidencialidad – Disponibilidad – Integridad Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Empleo por parte de los usuarios – Privacidad – Fugas de información Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Nuevos desafíos – Distribución de Malware – RAT – Ofuscación Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Desafíos para el análisis forense • Tecnología que ves – Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?) • Aspectos legales del reversing – Cifrado de las comunicaciones • Como se sincroniza – Sólo parte de la solución • Data Carving • Diferentes modos de acceso Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Desafíos para el análisis forense • .. Y que no ves – “There’s no cloud, is someone else’s computer” Análisis Forense en Servicios de Almacenamiento Remoto
Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Servicios de Almacenamiento - Entorno • Entorno – Windows 7 32 bits – Firefox – Virtual Box – DropBox Windows – Google Drive Windows • Cuentas de correo – evidenciaelectronica2015@Gmail.com – evidenciaelectronica2015@Hotmail.com – Usuario del sistema con contraseña Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Forense – Metodología 1. Backup del registro original de Windows 2. Backup del sistema de ficheros original 3. Instalación del servicio remoto 4. Monitorización del sistema de ficheros durante la instalación o Archivos temporales o Logs 5. Identificación de las modificaciones del registro de Windows o Nuevos valores en claves existentes (NTUser) o Nuevas claves 6. Identificación de las modificaciones del sistema de ficheros o Archivos de configuración locales 7. Ejecución del servicio o Data carving o Comunicaciones o RAM Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Forense – Herramientas  Registro  RegShot, Registry Explorer, Reg App, Regedit  Sistema de ficheros  Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager  Cifrado  Dropbox Magnetic Forensics, OpenSSL  Comunicaciones  Wireshark, netstat  RAM  IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – ¿Qué es? • Todo empezó en 2008 • Muy popular, 400 millones • Multiplataforma y diferentes accesos • Cuentas free (2GB-16gB) y profesionales (1TB-5TB) • Delta Encoding (ahorro de ancho de banda) • Transferencia segura (SSL y AES-256) • PRISM Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Instalación • La instalación se realiza bajo el profile del usuario y carpeta de programas – C:usersaroddomDropbox – C:Program FilesDropbox • C:UsersaroddomAppDataLocalDropbox – Carpeta de configuración del servicio • C:UsersaroddomAppDataRoamingDropbox – Proceso de instalación y transferencia de ficheros Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • C:UsersaroddomAppDataRoamingDropboxinstallerl – 562e408d : archivo cifrado • C:ProgramDataDropboxUpdateLog – Cifrado, mismo que .dbx Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • Archivos Prefetch – C:WindowsPrefetchDropbox.exe-B2C17CD4.pf – C:WindowsPrefetchDropbox.exe-F5354AA9.pf – C:WindowsPrefetchDropboxclient_3.10.8..exe-DD1118F8.pf – C:WindowsPrefetchDropboxcrashhandler.exe-62E2DC11.pf – C:WindowsPrefetchDropboxinstaller.exe-7CFC3536.pf – C:WindowsPrefetchDropboxupdate.exe-3D36B2FC.pf – C:WindowsPrefetchDropboxupdate.exe-661A090C.pf – C:WindowsPrefetchDropboxupdateondemand.exe-D912AE5B.pf  Actualización  Aspecto visual  Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • Claves de Registro – 884 nuevos valores y 391 nuevas claves – HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData – HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallDropbox – HKLMSOFTWAREDropbox – HKLMSOFTWAREDropboxUpdateUpdateClientState – HKLMSOFTWAREMicrosoftCurrentVersionExplorerShellIconOverlayIdentifier sDropBoxExt[1 .. 8]  Ruta de instalación  Fecha de instalación  Versión del software  Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Configuración local • C:UsersaroddomAppDataLocalDropbox – Host y Host.dbx, Carpeta local ofuscada en base64 • QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:UseraroddomDropbox – Cifrados, Instance_db || Instance1 • instance.dbx • deleted.dbx • Filecache.dbx • Sigstore.dbx Análisis Forense en Servicios de Almacenamiento Remoto Ficheros locales Hora local de modificación, borrado y creación Ficheros borrados
Dropbox – Servicio Online • Archivos borrados – Guardados por un máximo de 30 días (wipe local) – Archivos locales, son equivalentes a cualquier otro fichero Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Conexiones de red • Conexiones cifradas – Servidores archivo configuración • C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent – Todas las conexiones SSL • 80, 443 Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Servicio Online • Conexiones establecidas – Navegadores y hora – Sistema operativo y nombre de equipo Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Authenticate • Mail Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Value / secure / expires Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • pwd / user • .dbx • Updated /deleted Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Es posible obtener – Dirección de correo – Servidores NTP – Listado de ficheros creados / borrados – Direcciones de red locales – Rutas de carpetas locales Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Servicio Online • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • password / pwd • mail • .dbx  Usuario Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Desinstalación • Información que permanece – NtuserDropbox (valores borrados) – Archivos prefetch – Ficheros locales sincronizados (carve) – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive - ¿Qué es? • 2012 • 500 millones de usuarios, @gmail.com • Cuentas free (15gB) y profesionales (hasta 30TB) • Microsoft y Apple • SSL, pero no por defecto Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Instalación • La instalación se realiza en la carpeta de programas – C:Program FilesGoogleDrive – C:UsersaroddomGoogle Drive • C:UsersaroddomAppDataLocalGoogleDrive – Carpeta de configuración del servicio Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Proceso de Instalación • Archivos Prefetch – C:WindowsPrefetchGoogleDrive_sync_1.25.523.2491.C456FGHexe.pf – C:WindowsPrefetchGoogleUpdate.exe-12AG5F28.pf  Actualización  Aspecto visual  Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Proceso de Instalación • Claves de Registro – 896 nuevos valores y 577 nuevas claves – HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData – HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallGoogleDrive – HKLMSOFTWAREGoogleDrive – NTUSERSOFTWAREClassesGoogleDrive – NTUSERSOFTWAREGoogleDrive  Ruta de instalación  Fecha de instalación  Versión del software  Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • C:UsersaroddomAppDataLocalGoogleDrive – Sync_config.db, SQLITE3 Versión del cliente instalado Email Path Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • C:UsersaroddomAppDataLocalGoogleDrive – Snapshot.db, SQLITE3 – cloud_entry & Local_entry Ficheros (Timestamp, size, url) Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Después de borrar ficheros – Snapshot.db, SQLITE3 – cloud_entry & local_entry  Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Archivos temporales – C:UsersaroddomAppDataGoogleDriveTempDataHttpCache  Email de usuario • 6cc-RunAsync-_OnLogin-3-hkegge Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Registro de actividad – sync_log.log – Ficheros sincronizados o Strings : Create / delete / modify Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Conexiones de red • Conexiones cifradas (información sensible) y no cifradas – Servidores archivo configuración • C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent – Puertos en uso • 443, 522 ( alive y time stamp) Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Servicio Online • Archivos borrados – Fichero, pre-visualización y timestamp Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Servicio Online • Time line – Dispositivo – Usuario – Timestamp de los archivos – Cuenta compartida Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Análisis de RAM • Cliente googledrive_sync – Strings de búsqueda • User / password / mail • Path • Direcciones de red  Paths locales Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Análisis de RAM • Servicio online – Strings de búsqueda • Value / secure / expires • Mail / user / password Usuario Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Desinstalación • Información que permanece – NtuserGoogleDrive (valores borrados) – Archivos prefetch – Ficheros de configuración borrados (carve) – Ficheros locales permanecen • Sync_log, .. – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto
Conclusiones • Información que permanece en los sistemas locales • Aproximación local similar a cualquier análisis forense tradicional – Importa la memoria volátil – Reversing y de-ofuscación • Nivel de seguridad incrementado desde las versiones iniciales Análisis Forense en Servicios de Almacenamiento Remoto
Siguientes pasos • Sincronización entre múltiples dispositivos en red local LAN-sync (Dropbox). • Investigación acerca de dispositivos móviles y sistemas de ficheros menos empleados • Arquitectura de la nube Análisis Forense en Servicios de Almacenamiento Remoto
Referencias  Cloud Storage Forensics, 2013, Mattia Epiffani  Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.  https://www.magnetforensics.com/free-tool-dropbox-decryptor/  Cloud Storage Forensics, 2011, Darren Quick et al  The Challenges in Cloud Computing Forensics, 2010, George Grispos et al  http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html  Looking inside the (Drop) box Dhiru Kholia et al Análisis Forense en Servicios de Almacenamiento Remoto
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88

Recommandé

Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...
Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...
Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...Fernando Trujillo Sáez
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 

Recommandé

Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...
Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...
Del ciberutopismo de la Escuela 2.0 al ciberrealismo de la Gran Depresión: le...Fernando Trujillo Sáez
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Aprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redesAprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redesCarlos Magro Mazo
 
SlideShare 101
SlideShare 101SlideShare 101
SlideShare 101Amit Ranjan
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Documentacion netdot
Documentacion netdotDocumentacion netdot
Documentacion netdotMoni_TR
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores LinuxOscar Gonzalez
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...RootedCON
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux Carlos Antonio Leal Saballos
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishSysdig
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la InformaciónLuis Fernando Aguas Bucheli
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...RootedCON
 
JP Consultoría: JP Cloud for Business
JP Consultoría: JP Cloud for BusinessJP Consultoría: JP Cloud for Business
JP Consultoría: JP Cloud for BusinessJesús Rodríguez Martínez
 

Contenu connexe

En vedette

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Aprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redesAprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redesCarlos Magro Mazo
 

En vedette (8)

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
Aprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redesAprende como vives. La escuela en tiempos de redes
Aprende como vives. La escuela en tiempos de redes
 
SlideShare 101
SlideShare 101SlideShare 101
SlideShare 101
 

Similaire à VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de almacenamiento remoto

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Documentacion netdot
Documentacion netdotDocumentacion netdot
Documentacion netdotMoni_TR
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiPancho Bbg
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores LinuxOscar Gonzalez
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...RootedCON
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishSysdig
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallas
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallasArquitectura de proyectos con infraestructura distribuida y tolerante a fallas
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallasSoftware Guru
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 

Similaire à VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de almacenamiento remoto (20)

Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Documentacion netdot
Documentacion netdotDocumentacion netdot
Documentacion netdot
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores Linux
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - Spanish
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
Raúl Siles y José A. Guasch - Seguridad Web de aplicaciones basadas en DNI-e ...
 
JP Consultoría: JP Cloud for Business
JP Consultoría: JP Cloud for BusinessJP Consultoría: JP Cloud for Business
JP Consultoría: JP Cloud for Business
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
2.4 Análisis de Informacion
2.4 Análisis de Informacion2.4 Análisis de Informacion
2.4 Análisis de Informacion
 
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallas
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallasArquitectura de proyectos con infraestructura distribuida y tolerante a fallas
Arquitectura de proyectos con infraestructura distribuida y tolerante a fallas
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Plus de Internet Security Auditors (17)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Dernier

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 

Dernier (7)

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de almacenamiento remoto

  • 1. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88 Análisis Forense en Servicios de Almacenamiento Remoto
  • 2. @localhost # whoami Alexandre Rodríguez Domoslawsky CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM e-mail: arodriguez@isecauditors.com Analista de seguridad  Hacking ético  Análisis forense  Incidentes de seguridad Análisis Forense en Servicios de Almacenamiento Remoto
  • 3. Objetivos de la presentación • Analizar las principales tecnologías de almacenamiento remoto – ¿Que información se almacena localmente? • Credenciales • Ficheros de configuración • Arquitectura del servicio (servidores tiempo, back-end, front –end) • Cifrado, ofuscado, texto plano • Cuando se desinstala el servicio, ¿que información sigue residiendo localmente? – ¿Qué sucede en la transferencia y sincronización de archivos? • Conexiones cifradas • ¿Cómo se sincronizan los archivos? • Credenciales Análisis Forense en Servicios de Almacenamiento Remoto
  • 4. Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto
  • 5. Almacenamiento – Necesidad • Cada vez requerimos mas espacio Análisis Forense en Servicios de Almacenamiento Remoto
  • 6. Almacenamiento – Necesidad • Estamos mas interconectados Análisis Forense en Servicios de Almacenamiento Remoto
  • 7. Almacenamiento – Servicios • A mayor demanda, mayor oferta https://www.preceden.com/timelines/47418-evolution-of-cloud-storage Análisis Forense en Servicios de Almacenamiento Remoto
  • 8. Cloud – Problemas de seguridad • Vulnerabilidades Software – Confidencialidad – Disponibilidad – Integridad Análisis Forense en Servicios de Almacenamiento Remoto
  • 9. Cloud – Problemas de seguridad • Empleo por parte de los usuarios – Privacidad – Fugas de información Análisis Forense en Servicios de Almacenamiento Remoto
  • 10. Cloud – Problemas de seguridad • Nuevos desafíos – Distribución de Malware – RAT – Ofuscación Análisis Forense en Servicios de Almacenamiento Remoto
  • 11. Cloud – Desafíos para el análisis forense • Tecnología que ves – Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?) • Aspectos legales del reversing – Cifrado de las comunicaciones • Como se sincroniza – Sólo parte de la solución • Data Carving • Diferentes modos de acceso Análisis Forense en Servicios de Almacenamiento Remoto
  • 12. Cloud – Desafíos para el análisis forense • .. Y que no ves – “There’s no cloud, is someone else’s computer” Análisis Forense en Servicios de Almacenamiento Remoto
  • 13. Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto
  • 14. Análisis Servicios de Almacenamiento - Entorno • Entorno – Windows 7 32 bits – Firefox – Virtual Box – DropBox Windows – Google Drive Windows • Cuentas de correo – evidenciaelectronica2015@Gmail.com – evidenciaelectronica2015@Hotmail.com – Usuario del sistema con contraseña Análisis Forense en Servicios de Almacenamiento Remoto
  • 15. Análisis Forense – Metodología 1. Backup del registro original de Windows 2. Backup del sistema de ficheros original 3. Instalación del servicio remoto 4. Monitorización del sistema de ficheros durante la instalación o Archivos temporales o Logs 5. Identificación de las modificaciones del registro de Windows o Nuevos valores en claves existentes (NTUser) o Nuevas claves 6. Identificación de las modificaciones del sistema de ficheros o Archivos de configuración locales 7. Ejecución del servicio o Data carving o Comunicaciones o RAM Análisis Forense en Servicios de Almacenamiento Remoto
  • 16. Análisis Forense – Herramientas  Registro  RegShot, Registry Explorer, Reg App, Regedit  Sistema de ficheros  Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager  Cifrado  Dropbox Magnetic Forensics, OpenSSL  Comunicaciones  Wireshark, netstat  RAM  IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py Análisis Forense en Servicios de Almacenamiento Remoto
  • 17. Dropbox – ¿Qué es? • Todo empezó en 2008 • Muy popular, 400 millones • Multiplataforma y diferentes accesos • Cuentas free (2GB-16gB) y profesionales (1TB-5TB) • Delta Encoding (ahorro de ancho de banda) • Transferencia segura (SSL y AES-256) • PRISM Análisis Forense en Servicios de Almacenamiento Remoto
  • 18. Dropbox – Instalación • La instalación se realiza bajo el profile del usuario y carpeta de programas – C:usersaroddomDropbox – C:Program FilesDropbox • C:UsersaroddomAppDataLocalDropbox – Carpeta de configuración del servicio • C:UsersaroddomAppDataRoamingDropbox – Proceso de instalación y transferencia de ficheros Análisis Forense en Servicios de Almacenamiento Remoto
  • 19. Dropbox – Proceso de instalación • C:UsersaroddomAppDataRoamingDropboxinstallerl – 562e408d : archivo cifrado • C:ProgramDataDropboxUpdateLog – Cifrado, mismo que .dbx Análisis Forense en Servicios de Almacenamiento Remoto
  • 20. Dropbox – Proceso de instalación • Archivos Prefetch – C:WindowsPrefetchDropbox.exe-B2C17CD4.pf – C:WindowsPrefetchDropbox.exe-F5354AA9.pf – C:WindowsPrefetchDropboxclient_3.10.8..exe-DD1118F8.pf – C:WindowsPrefetchDropboxcrashhandler.exe-62E2DC11.pf – C:WindowsPrefetchDropboxinstaller.exe-7CFC3536.pf – C:WindowsPrefetchDropboxupdate.exe-3D36B2FC.pf – C:WindowsPrefetchDropboxupdate.exe-661A090C.pf – C:WindowsPrefetchDropboxupdateondemand.exe-D912AE5B.pf  Actualización  Aspecto visual  Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto
  • 21. Dropbox – Proceso de instalación • Claves de Registro – 884 nuevos valores y 391 nuevas claves – HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData – HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallDropbox – HKLMSOFTWAREDropbox – HKLMSOFTWAREDropboxUpdateUpdateClientState – HKLMSOFTWAREMicrosoftCurrentVersionExplorerShellIconOverlayIdentifier sDropBoxExt[1 .. 8]  Ruta de instalación  Fecha de instalación  Versión del software  Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto
  • 22. Dropbox – Configuración local • C:UsersaroddomAppDataLocalDropbox – Host y Host.dbx, Carpeta local ofuscada en base64 • QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:UseraroddomDropbox – Cifrados, Instance_db || Instance1 • instance.dbx • deleted.dbx • Filecache.dbx • Sigstore.dbx Análisis Forense en Servicios de Almacenamiento Remoto Ficheros locales Hora local de modificación, borrado y creación Ficheros borrados
  • 23. Dropbox – Servicio Online • Archivos borrados – Guardados por un máximo de 30 días (wipe local) – Archivos locales, son equivalentes a cualquier otro fichero Análisis Forense en Servicios de Almacenamiento Remoto
  • 24. Dropbox – Conexiones de red • Conexiones cifradas – Servidores archivo configuración • C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent – Todas las conexiones SSL • 80, 443 Análisis Forense en Servicios de Almacenamiento Remoto
  • 25. Dropbox – Servicio Online • Conexiones establecidas – Navegadores y hora – Sistema operativo y nombre de equipo Análisis Forense en Servicios de Almacenamiento Remoto
  • 26. Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Authenticate • Mail Análisis Forense en Servicios de Almacenamiento Remoto
  • 27. Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Value / secure / expires Análisis Forense en Servicios de Almacenamiento Remoto
  • 28. Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • pwd / user • .dbx • Updated /deleted Análisis Forense en Servicios de Almacenamiento Remoto
  • 29. Dropbox – Análisis de RAM • Es posible obtener – Dirección de correo – Servidores NTP – Listado de ficheros creados / borrados – Direcciones de red locales – Rutas de carpetas locales Análisis Forense en Servicios de Almacenamiento Remoto
  • 30. Dropbox – Servicio Online • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • password / pwd • mail • .dbx  Usuario Análisis Forense en Servicios de Almacenamiento Remoto
  • 31. Dropbox – Desinstalación • Información que permanece – NtuserDropbox (valores borrados) – Archivos prefetch – Ficheros locales sincronizados (carve) – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto
  • 32. Google Drive - ¿Qué es? • 2012 • 500 millones de usuarios, @gmail.com • Cuentas free (15gB) y profesionales (hasta 30TB) • Microsoft y Apple • SSL, pero no por defecto Análisis Forense en Servicios de Almacenamiento Remoto
  • 33. Google Drive – Instalación • La instalación se realiza en la carpeta de programas – C:Program FilesGoogleDrive – C:UsersaroddomGoogle Drive • C:UsersaroddomAppDataLocalGoogleDrive – Carpeta de configuración del servicio Análisis Forense en Servicios de Almacenamiento Remoto
  • 34. Google Drive – Proceso de Instalación • Archivos Prefetch – C:WindowsPrefetchGoogleDrive_sync_1.25.523.2491.C456FGHexe.pf – C:WindowsPrefetchGoogleUpdate.exe-12AG5F28.pf  Actualización  Aspecto visual  Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto
  • 35. Google Drive – Proceso de Instalación • Claves de Registro – 896 nuevos valores y 577 nuevas claves – HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData – HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallGoogleDrive – HKLMSOFTWAREGoogleDrive – NTUSERSOFTWAREClassesGoogleDrive – NTUSERSOFTWAREGoogleDrive  Ruta de instalación  Fecha de instalación  Versión del software  Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto
  • 36. Google Drive – Configuración Local • C:UsersaroddomAppDataLocalGoogleDrive – Sync_config.db, SQLITE3 Versión del cliente instalado Email Path Análisis Forense en Servicios de Almacenamiento Remoto
  • 37. Google Drive – Configuración Local • C:UsersaroddomAppDataLocalGoogleDrive – Snapshot.db, SQLITE3 – cloud_entry & Local_entry Ficheros (Timestamp, size, url) Análisis Forense en Servicios de Almacenamiento Remoto
  • 38. Google Drive – Configuración Local • Después de borrar ficheros – Snapshot.db, SQLITE3 – cloud_entry & local_entry  Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste Análisis Forense en Servicios de Almacenamiento Remoto
  • 39. Google Drive – Configuración Local • Archivos temporales – C:UsersaroddomAppDataGoogleDriveTempDataHttpCache  Email de usuario • 6cc-RunAsync-_OnLogin-3-hkegge Análisis Forense en Servicios de Almacenamiento Remoto
  • 40. Google Drive – Configuración Local • Registro de actividad – sync_log.log – Ficheros sincronizados o Strings : Create / delete / modify Análisis Forense en Servicios de Almacenamiento Remoto
  • 41. Google Drive – Conexiones de red • Conexiones cifradas (información sensible) y no cifradas – Servidores archivo configuración • C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent – Puertos en uso • 443, 522 ( alive y time stamp) Análisis Forense en Servicios de Almacenamiento Remoto
  • 42. Google Drive – Servicio Online • Archivos borrados – Fichero, pre-visualización y timestamp Análisis Forense en Servicios de Almacenamiento Remoto
  • 43. Google Drive – Servicio Online • Time line – Dispositivo – Usuario – Timestamp de los archivos – Cuenta compartida Análisis Forense en Servicios de Almacenamiento Remoto
  • 44. Google Drive – Análisis de RAM • Cliente googledrive_sync – Strings de búsqueda • User / password / mail • Path • Direcciones de red  Paths locales Análisis Forense en Servicios de Almacenamiento Remoto
  • 45. Google Drive – Análisis de RAM • Servicio online – Strings de búsqueda • Value / secure / expires • Mail / user / password Usuario Análisis Forense en Servicios de Almacenamiento Remoto
  • 46. Google Drive – Desinstalación • Información que permanece – NtuserGoogleDrive (valores borrados) – Archivos prefetch – Ficheros de configuración borrados (carve) – Ficheros locales permanecen • Sync_log, .. – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto
  • 47. Conclusiones • Información que permanece en los sistemas locales • Aproximación local similar a cualquier análisis forense tradicional – Importa la memoria volátil – Reversing y de-ofuscación • Nivel de seguridad incrementado desde las versiones iniciales Análisis Forense en Servicios de Almacenamiento Remoto
  • 48. Siguientes pasos • Sincronización entre múltiples dispositivos en red local LAN-sync (Dropbox). • Investigación acerca de dispositivos móviles y sistemas de ficheros menos empleados • Arquitectura de la nube Análisis Forense en Servicios de Almacenamiento Remoto
  • 49. Referencias  Cloud Storage Forensics, 2013, Mattia Epiffani  Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.  https://www.magnetforensics.com/free-tool-dropbox-decryptor/  Cloud Storage Forensics, 2011, Darren Quick et al  The Challenges in Cloud Computing Forensics, 2010, George Grispos et al  http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html  Looking inside the (Drop) box Dhiru Kholia et al Análisis Forense en Servicios de Almacenamiento Remoto
  • 50. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88
  • 51. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88