SlideShare una empresa de Scribd logo

A Case Saved by Network Forensics: Charla "el día no deseado"

Javier Romero
Javier Romero

Comparo las malas prácticas de manejo de crisis mediática/reputacionales, y cómo el network forensics puede revertir a favor de crisis mediáticas/reputacionales bien manejadas. Narro una experiencia real, que sustenta lo anterior, aunque bastante breve, pero 100% de primera mano.

Tecnología
1 de 41
Descargar para leer sin conexión
III Simposio Internacional de Redes y Comunicaciones de Datos El Día No Deseado Javier Romero JaCkSecurity
• Es inevitable • Es telemático • Es Bembos! Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity El día no deseado 2
• Gestión de continuidad de negocios nos dice: – Planifica la gestión de crisis • • • • Fase 1: Gestiona los medios / riesgo Fase 2: Gestiona los medios Fase 3: Retirada Fase 4: Revisa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lecciones aprendidas 3
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Meta 4
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cómo atraer al enjambre? 5
– – – – – – – Poca información Disfraza con un halo aseverativo Un mensaje muchas interpretaciones No ofrezcas ni un ápice de lo técnico No seas profundo para nada No respaldes la denuncia, si puedes niégala Se muy lento, eterniza tu respuesta • Quizás nadie se entere Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Activando el enjambre 6
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 7
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 8
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 9
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 10
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 11
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Una semana después del 1er. comunicado 12
– Responder rápido (si vas a ofrecer investigar, cumple!) – Ser sincero • Ofrecer disculpas (si eres culpable) – Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios • Que ellos saquen el minuto a minuto de ti, y pronto • Se aburrirán, y el enjambre se disolverá Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lección aprendida 13
• La compañía de gestión de medios • Los abogados necesitan información Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Ellos necesitan la miel del panal 14
III Simposio Internacional de Redes y Comunicaciones de Datos • En la red: La red está en todos lados 17:29:28.483854 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 4367 3d3d 0a 17:29:43.504762 IP 192.168.1.201 1, length 21 0x0000: 4500 0029 0000 0x0010: c80e f10b 0800 0x0020: 6447 3979 4367 17:29:58.525749 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 5951 6f3d 0a > x.y.z.1: ICMP echo request, id 2802, seq 4000 4001 bf4c c0a8 01c9 b1ad 0af2 0001 5a47 5673 E..%..@.@..L.... ............ZGVs Cg==. del > x.y.z.1: ICMP echo request, id 2820, seq 4000 4001 bf48 c0a8 01c9 E..)..@.@..H.... 0af9 0b04 0001 6332 566a ............c2Vj 3d3d 0a dG9yCg==. sector > x.y.z.1: ICMP echo request, id 2838, seq 4000 4001 bf4c c0a8 01c9 709b 0b16 0001 6347 4677 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Dónde está mi panal E..%..@.@..L.... ......p.....cGFw YQo=. papa 15
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Demanda: Cache poisoning (12 años atrás) 16
III Simposio Internacional de Redes y Comunicaciones de Datos Gerencia legal Gerencia TI ¿Porcentaje de confiabilidad? Proveedor del servidor III Simposio de Comunicaciones y Redes de Datos JaCkSecurity La pichanguita de TI Testimonios Helpdesk Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 17
• Por el desempate Hackeados Vs. Invictos Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Abogados necesitaban estar 100% seguros 18
• Previsión = Captura – En caso de emergencia • Forense = Inicie análisis Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Pre “visión” forense de la red 19
• Cada caso es un reto (no es un doble-clic) A querty paquetes ñlkjh B III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Romper el vidrio ¿así de fácil? Poder forense Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 20
• Complejidad – Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos – Decodificadores • Varían según RFC, año liberación, singularidades del fabricante. • Más retador – Ciencia forense es un trabajo “artesanal” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Forense de red vs. sistema archivos 21
• El Sistema capturaba – 68 bytes • Una consulta promedio puede tomar – 300bytes (google, facebook) • ¿Un doble clic con 68 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cuál fue el reto? 22
• www.erdp.com – 200.48.33.214 • www.porki.com – 181.44.6.189 III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lo que debió pasar vs. lo que dicen que pasó Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 23
-14 bytes ethernet-header -20 bytes ip-header -08 bytes udp-header -12 bytes dns-header 54 34 26 14 ¿puedo escribir www.erdp.com y su IP con 14 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Matemáticas 24
19:54:16.603234 IP 207.31.248.3.62826 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 f56a 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 > 207.0.8.4.53: 61386+[|domain] 4011 9c8b cf1f f803 E..:..@.@....... 0026 48e1 efca 0100 .....j.5.&H..... 0377 7777 0465 7264 .........www.erd p.com. 19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46) 0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............ 0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6...... 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 p.com. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Veamos 25
III Simposio Internacional de Redes y Comunicaciones de Datos 19:54:37.129729 IP 207.31.248.3.59399 www.erdp.com. (30) 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 e807 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 0001 > 207.0.8.4.53: 28196+ A? 4011 9c8b cf1f f803 0026 d7ea 6e24 0100 0377 7777 0465 7264 0001 E..:..@.@....... .......5.&..n$.. .........www.erd p.com..... 19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A 200.48.33.214 (46) 0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............ 0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$.. 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 0001 0001 c00c 0001 0001 p.com........... 0x0040: 0000 0e10 0004 c830 21d6 .......0!. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Con toda la captura completa 26
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Historia dentro de la historia 27
Pckt#3 Pckt#2 Data Check sum Data Check sum Data Check sum • Integridad en secuencia de datos (transmitidos) Pckt#1 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksums 28
III Simposio de Comunicaciones y Redes de Datos 0000 0000 0000 0000 0000 JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 10011100 0011 1111 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 29
• IP – Asegura que data permaneció intacta en el viaje – Destino descarta paquete si checksum incorrecto – A nivel de routers • Se verifica en cada salto (router) • Se recalcula de nuevo con el TTL nuevo • UDP – Aún mejor Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksum IP / UDP 30
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 31
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 32
0 8 16 31 Dirección IP fuente (32-bit) Pseudo Dirección IP destino (32-bit) Cabecera UDP Cabecera UDP Data UDP cero protocol (8-bit) Puerto origen (16-bit) Longitud UDP (16-bit) Puerto destino (16-bit) Longitud UDP (16-bit) Checksum (16-bit) III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity UDP Checksum datos Byte de relleno Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 33
• Reproducir consultas, analizar respuestas, comparar checksums – Pero empleando la “evidencia inicial” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity CSI, reconstrucción de los hechos 34
• Para descartar si el testimonio del acusado o del acusador fue real – Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión – Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los campos únicos de la hora e instante del incidente. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Trabajo forense 35
• Aquí algunos de los campos únicos del caso: • IP – – – – – – – – Longitud Cabecera IP Longitud total del paquete IP ID IP Flags Fragment Offset TTL Checksum IP IP origen • A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Campos únicos • DNS – Query Identification Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 36
• La más sólida información posible – No teorías, no conjeturas, no entredichos • Certeza, para una certera defensa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity La información es poder (caso resuelto) 37
• En el día no deseado – – – – Necesita “habilitar” el poder forense de la red Si callas, empeoras las cosas Si te informas mal, empeoras las cosas Si les documentas lo ocurrido con ciencia (lección aprendida) • con disculpa bastará, y tu team de seguridad quedará bien parado • Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Hemos aprendido • No plug-ins • Prepararlo requiere apoyo – Legal / técnico • No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 38
• • • • • • • • • • • ¿Cómo se compone una solución para el día no deseado? ¿Dónde consigo el rr.hh.? ¿Cuál es la dosis adecuada de captura? ¿Cuánto cuesta la solución? ¿Qué es primero, EH o Forense Red? ¿Son los logs útiles? ¿Qué más podría capturar/colectar? ¿Dónde, cómo habilito el poder forense en mi red? ¿Qué requisitos debo tener? ¿Qué poder legal tiene en la cadena de custodia? Nota: IMPORTANTE III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Algunas FAQ de la solución propuesta – No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 39
• Especialistas respondiendo incidentes, 2006 • Hermanados goblamente – Con miembros de FIRST • Creamos – Tecnología propia – Colectores de varios TiB – Capturadores remotos e inalámbricos • Practicamos el reciclaje, de nuestro KB III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity JACKSECURITY – Pentest – Consultoría Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 40
Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Contáctenos para visita técnica / comercial 41

Recomendados

Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
RootedCON
 
Daily routine
Daily routineDaily routine
Daily routine
LISSMON
 
Hoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcHoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pc
martasanchezales
 
моя группа
моя группамоя группа
моя группа
bratvet
 
Presentación del blog
Presentación del blogPresentación del blog
Presentación del blog
franciscomarin99
 
Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo
Tamara Raposo Injerto
 

Recomendados

Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
RootedCON
 
Daily routine
Daily routineDaily routine
Daily routine
LISSMON
 
Hoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pcHoja de reflexión componentes de un pc
Hoja de reflexión componentes de un pc
martasanchezales
 
моя группа
моя группамоя группа
моя группа
bratvet
 
Presentación del blog
Presentación del blogPresentación del blog
Presentación del blog
franciscomarin99
 
Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo Clase 3 Curso RSS UNED Lugo
Clase 3 Curso RSS UNED Lugo
Tamara Raposo Injerto
 
Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3
Universidad Nacional Abierta. Centro Local Zulia
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
Roberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
Rober Garamo
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Jack Daniel Cáceres Meza
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration Testing
Alonso Caballero
 
Ejercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianEjercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marian
Marian Del Olmo Ortiz
 
Internet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWONInternet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWON
José Ignacio "Nacho" Redondo
 
MUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataMUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y Suricata
Fajar Nugroho
 
Rubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaRubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informática
Laura Rubio Gómez
 
Soluciones ejercicios informática.
Soluciones ejercicios informática.Soluciones ejercicios informática.
Soluciones ejercicios informática.
LPunteros
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)
Benjamin Tapia
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
RootedCON
 
Revista
RevistaRevista
Revista
Felipe Londoño Vega
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
sterben gonzalez
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
jnievess
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Jean Carlos
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3
Cesar Alonso Morgado
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones diana
Dianavillanueva05
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdf
Hacking Bolivia
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
sgonzalezp1
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
losdiosesmanzaneros
 

Más contenido relacionado

Similar a A Case Saved by Network Forensics: Charla "el día no deseado"

Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration Testing
Alonso Caballero
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)
Benjamin Tapia
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
RootedCON
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Jean Carlos
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3
Cesar Alonso Morgado
 

Similar a A Case Saved by Network Forensics: Charla "el día no deseado" (20)

Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration Testing
 
Ejercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marianEjercicios tema 3 , del olmo , marian
Ejercicios tema 3 , del olmo , marian
 
Internet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWONInternet Industrial por SIDE y eWON
Internet Industrial por SIDE y eWON
 
MUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y SuricataMUM Madrid 2016 - Mikrotik y Suricata
MUM Madrid 2016 - Mikrotik y Suricata
 
Rubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informáticaRubio gómez laura ej t1 informática
Rubio gómez laura ej t1 informática
 
Soluciones ejercicios informática.
Soluciones ejercicios informática.Soluciones ejercicios informática.
Soluciones ejercicios informática.
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
 
Revista
RevistaRevista
Revista
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
 
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redesAspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
 
Opensource administracion tictech_v3
Opensource administracion tictech_v3Opensource administracion tictech_v3
Opensource administracion tictech_v3
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones diana
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdf
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

A Case Saved by Network Forensics: Charla "el día no deseado"

  • 1. III Simposio Internacional de Redes y Comunicaciones de Datos El Día No Deseado Javier Romero JaCkSecurity
  • 2. • Es inevitable • Es telemático • Es Bembos! Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity El día no deseado 2
  • 3. • Gestión de continuidad de negocios nos dice: – Planifica la gestión de crisis • • • • Fase 1: Gestiona los medios / riesgo Fase 2: Gestiona los medios Fase 3: Retirada Fase 4: Revisa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lecciones aprendidas 3
  • 4. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Meta 4
  • 5. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cómo atraer al enjambre? 5
  • 6. – – – – – – – Poca información Disfraza con un halo aseverativo Un mensaje muchas interpretaciones No ofrezcas ni un ápice de lo técnico No seas profundo para nada No respaldes la denuncia, si puedes niégala Se muy lento, eterniza tu respuesta • Quizás nadie se entere Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Activando el enjambre 6
  • 7. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 7
  • 8. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 8
  • 9. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 9
  • 10. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 10
  • 11. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Punto.pe 11
  • 12. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Una semana después del 1er. comunicado 12
  • 13. – Responder rápido (si vas a ofrecer investigar, cumple!) – Ser sincero • Ofrecer disculpas (si eres culpable) – Si/no lo eres, ofrece el mayor detalle técnico posible • Ofrece herramientas de control a los medios • Que ellos saquen el minuto a minuto de ti, y pronto • Se aburrirán, y el enjambre se disolverá Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lección aprendida 13
  • 14. • La compañía de gestión de medios • Los abogados necesitan información Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Ellos necesitan la miel del panal 14
  • 15. III Simposio Internacional de Redes y Comunicaciones de Datos • En la red: La red está en todos lados 17:29:28.483854 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 4367 3d3d 0a 17:29:43.504762 IP 192.168.1.201 1, length 21 0x0000: 4500 0029 0000 0x0010: c80e f10b 0800 0x0020: 6447 3979 4367 17:29:58.525749 IP 192.168.1.201 1, length 17 0x0000: 4500 0025 0000 0x0010: c80e f10b 0800 0x0020: 5951 6f3d 0a > x.y.z.1: ICMP echo request, id 2802, seq 4000 4001 bf4c c0a8 01c9 b1ad 0af2 0001 5a47 5673 E..%..@.@..L.... ............ZGVs Cg==. del > x.y.z.1: ICMP echo request, id 2820, seq 4000 4001 bf48 c0a8 01c9 E..)..@.@..H.... 0af9 0b04 0001 6332 566a ............c2Vj 3d3d 0a dG9yCg==. sector > x.y.z.1: ICMP echo request, id 2838, seq 4000 4001 bf4c c0a8 01c9 709b 0b16 0001 6347 4677 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Dónde está mi panal E..%..@.@..L.... ......p.....cGFw YQo=. papa 15
  • 16. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Demanda: Cache poisoning (12 años atrás) 16
  • 17. III Simposio Internacional de Redes y Comunicaciones de Datos Gerencia legal Gerencia TI ¿Porcentaje de confiabilidad? Proveedor del servidor III Simposio de Comunicaciones y Redes de Datos JaCkSecurity La pichanguita de TI Testimonios Helpdesk Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 17
  • 18. • Por el desempate Hackeados Vs. Invictos Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Abogados necesitaban estar 100% seguros 18
  • 19. • Previsión = Captura – En caso de emergencia • Forense = Inicie análisis Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Pre “visión” forense de la red 19
  • 20. • Cada caso es un reto (no es un doble-clic) A querty paquetes ñlkjh B III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Romper el vidrio ¿así de fácil? Poder forense Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 20
  • 21. • Complejidad – Protocolos • Una red 15 protocolos vs. 2 sistemas de archivos – Decodificadores • Varían según RFC, año liberación, singularidades del fabricante. • Más retador – Ciencia forense es un trabajo “artesanal” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Forense de red vs. sistema archivos 21
  • 22. • El Sistema capturaba – 68 bytes • Una consulta promedio puede tomar – 300bytes (google, facebook) • ¿Un doble clic con 68 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity ¿Cuál fue el reto? 22
  • 23. • www.erdp.com – 200.48.33.214 • www.porki.com – 181.44.6.189 III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Lo que debió pasar vs. lo que dicen que pasó Descargo legal: Las direcciones IP y dominios públicos citadas aquí son para fines ilustrativos por su uso cognado (el rey de la papa erdp.com, y página pornográfica porki.com), no son los involucrados en el caso. Aunque están a la venta. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 23
  • 24. -14 bytes ethernet-header -20 bytes ip-header -08 bytes udp-header -12 bytes dns-header 54 34 26 14 ¿puedo escribir www.erdp.com y su IP con 14 bytes? Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Matemáticas 24
  • 25. 19:54:16.603234 IP 207.31.248.3.62826 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 f56a 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 > 207.0.8.4.53: 61386+[|domain] 4011 9c8b cf1f f803 E..:..@.@....... 0026 48e1 efca 0100 .....j.5.&H..... 0377 7777 0465 7264 .........www.erd p.com. 19:54:16.604755 IP 207.0.8.4.53 > 207.31.248.3.62826: 61386* 1/0/0 (46) 0x0000: 4500 004a 02a5 0000 8011 99d6 cf00 0804 E..J............ 0x0010: cf1f f803 0035 f56a 0036 0c16 efca 8580 .....5.j.6...... 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 p.com. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Veamos 25
  • 26. III Simposio Internacional de Redes y Comunicaciones de Datos 19:54:37.129729 IP 207.31.248.3.59399 www.erdp.com. (30) 0x0000: 4500 003a 0000 4000 0x0010: cf00 0804 e807 0035 0x0020: 0001 0000 0000 0000 0x0030: 7003 636f 6d00 0001 > 207.0.8.4.53: 28196+ A? 4011 9c8b cf1f f803 0026 d7ea 6e24 0100 0377 7777 0465 7264 0001 E..:..@.@....... .......5.&..n$.. .........www.erd p.com..... 19:54:37.131008 IP 207.0.8.4.53 > 207.31.248.3.59399: 28196* 1/0/0 A 200.48.33.214 (46) 0x0000: 4500 004a 02a6 0000 8011 99d5 cf00 0804 E..J............ 0x0010: cf1f f803 0035 e807 0036 9b1f 6e24 8580 .....5...6..n$.. 0x0020: 0001 0001 0000 0000 0377 7777 0465 7264 .........www.erd 0x0030: 7003 636f 6d00 0001 0001 c00c 0001 0001 p.com........... 0x0040: 0000 0e10 0004 c830 21d6 .......0!. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity Con toda la captura completa 26
  • 27. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Historia dentro de la historia 27
  • 28. Pckt#3 Pckt#2 Data Check sum Data Check sum Data Check sum • Integridad en secuencia de datos (transmitidos) Pckt#1 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksums 28
  • 29. III Simposio de Comunicaciones y Redes de Datos 0000 0000 0000 0000 0000 JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 10011100 0011 1111 Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 29
  • 30. • IP – Asegura que data permaneció intacta en el viaje – Destino descarta paquete si checksum incorrecto – A nivel de routers • Se verifica en cada salto (router) • Se recalcula de nuevo con el TTL nuevo • UDP – Aún mejor Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Checksum IP / UDP 30
  • 31. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 31
  • 32. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos JaCkSecurity III Simposio Internacional de Redes y Comunicaciones de Datos 32
  • 33. 0 8 16 31 Dirección IP fuente (32-bit) Pseudo Dirección IP destino (32-bit) Cabecera UDP Cabecera UDP Data UDP cero protocol (8-bit) Puerto origen (16-bit) Longitud UDP (16-bit) Puerto destino (16-bit) Longitud UDP (16-bit) Checksum (16-bit) III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity UDP Checksum datos Byte de relleno Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 33
  • 34. • Reproducir consultas, analizar respuestas, comparar checksums – Pero empleando la “evidencia inicial” Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity CSI, reconstrucción de los hechos 34
  • 35. • Para descartar si el testimonio del acusado o del acusador fue real – Se extrajeron los paquetes cuyas consultas fueron relacionadas al dominio en cuestión – Se reconstruyeron los hechos (similar a serie CSI Miami) con las consultas extraídas • Con paquete “fabricados artesanalmente”, siguiendo los campos únicos de la hora e instante del incidente. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Trabajo forense 35
  • 36. • Aquí algunos de los campos únicos del caso: • IP – – – – – – – – Longitud Cabecera IP Longitud total del paquete IP ID IP Flags Fragment Offset TTL Checksum IP IP origen • A nivel UDP – Puerto origen – Longitud UDP – Checksum UDP III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Campos únicos • DNS – Query Identification Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 36
  • 37. • La más sólida información posible – No teorías, no conjeturas, no entredichos • Certeza, para una certera defensa Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity La información es poder (caso resuelto) 37
  • 38. • En el día no deseado – – – – Necesita “habilitar” el poder forense de la red Si callas, empeoras las cosas Si te informas mal, empeoras las cosas Si les documentas lo ocurrido con ciencia (lección aprendida) • con disculpa bastará, y tu team de seguridad quedará bien parado • Ciencia forense de la red – Los protocolos tiene mucho que enseñar – Cada caso es un reto III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Hemos aprendido • No plug-ins • Prepararlo requiere apoyo – Legal / técnico • No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 38
  • 39. • • • • • • • • • • • ¿Cómo se compone una solución para el día no deseado? ¿Dónde consigo el rr.hh.? ¿Cuál es la dosis adecuada de captura? ¿Cuánto cuesta la solución? ¿Qué es primero, EH o Forense Red? ¿Son los logs útiles? ¿Qué más podría capturar/colectar? ¿Dónde, cómo habilito el poder forense en mi red? ¿Qué requisitos debo tener? ¿Qué poder legal tiene en la cadena de custodia? Nota: IMPORTANTE III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Algunas FAQ de la solución propuesta – No se aventure a hacerlo sin asesoría de JACKSECURITY Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 39
  • 40. • Especialistas respondiendo incidentes, 2006 • Hermanados goblamente – Con miembros de FIRST • Creamos – Tecnología propia – Colectores de varios TiB – Capturadores remotos e inalámbricos • Practicamos el reciclaje, de nuestro KB III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity JACKSECURITY – Pentest – Consultoría Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. 40
  • 41. Miembro del foro mundial de equipos de seguridad informática y respuesta a incidentes, FIRST.Org, Inc. III Simposio de Comunicaciones y Redes de Datos III Simposio Internacional de Redes y Comunicaciones de Datos JaCkSecurity Contáctenos para visita técnica / comercial 41