Antiforensics y la Alquimia de los bits

El día 01 de noviembre de 2014 presente en la No cON Name una charla/taller sobre técnicas antiforensics.

El fin perseguido era demostrar que no solo es suficiente con tener conocimientos de las técnicas, herramientas y utilizar una metodología sino que se precisa averiguar las transformaciones que se han podido introducir y/o combinar además del perfil del posible autor para poder solucionar un caso.

Introducirnos a una funcionalidad como los “Alternate Data Stream” y ver que su uso puede ser explotado por la ciberdelincuencia para ocultar información o incluso Malware.

Demostrar que al llevar a cabo un análisis forense no podemos darlo como bueno con los resultados encontrados y que siempre deberemos adecuar el estudio a las características de los factores intervinientes no solo materiales sino y sobre todo los humanos. 

Las personas implicadas en el incidente sus motivaciones y situaciones particulares obligaran al perito a profundizar en su raciocinio en búsqueda del esclarecimiento del caso.

También ver que no hace falta muchos conocimientos técnicos ni tener que elaborar sofisticadas herramientas con código altamente especializado para poder crear información donde los investigadores no suelen mirar, como con la propia herramienta de un fabricante para actualizar el firmware de su producto es suficiente para utilizarse para el fin descrito.

Se termina analizando un caso en que se sospecha que contiene una clave de descifrado necesaria para poder esclarecer un compromiso y se vera que cuando creemos que hemos solucionado el enigma solo hemos encontrado lo que el ciberdelincuente quería.

el enlace de la presentación lo podéis encontrar en la plataforma "Prezi":

Presentación

La imagen del reto expuesto (3*10^4 MB) se puede descargar desde Mega: 

Imagen Raw comprimida

Physical Evidentiary Item (Source) Information:

[Device Info]

 Source Type: Physical

[Drive Geometry]

 Cylinders: 3.824

 Tracks per Cylinder: 255

 Sectors per Track: 63

 Bytes per Sector: 512

 Sector Count: 61.440.000

[Physical Drive Information]

 Drive Model: Kingston DataTraveler 3.0 USB Device

 Drive Interface Type: USB

 Removable drive: True

 Source data size: 30000 MB

 Sector count:    61440000

 MD5 checksum:    00c97507dce5c61df3fd15a9db2e7b04

 SHA1 checksum:   321a693ab1060b960785fcff4b463a5c4d615e5c

Imagen en formato aff

Physical Evidentiary Item (Source) Information:

[Device Info]

 Source Type: Physical

[Drive Geometry]

 Cylinders: 3.824

 Tracks per Cylinder: 255

 Sectors per Track: 63

 Bytes per Sector: 512

 Sector Count: 61.440.000

[Physical Drive Information]

 Drive Model: Kingston DataTraveler 3.0 USB Device

 Drive Interface Type: USB

 Removable drive: True

 Source data size: 30000 MB

 Sector count:    61440000

[Computed Hashes]

 MD5 checksum:    e3b13c355791d22b252794ec66096d8c

 SHA1 checksum:   c55f8ff4bf3d7e46feadb48d93f17543ac723a21

Cybercrime Underworld

Nacimos en mundo analógico y no tenemos desarrollados sentidos para el mundo digital
 
Estamos rodeados de tecnología y realmente no conocemos la potencialidad que nos ofrece. La gran mayoría de las personas siguen extrapolando el mundo analógico al digital e incluso quieren percibirlo con los mismos sentidos. Pero ... el Ciberespacio debemos observarlo con otros sentidos muy distintos si no queremos ser víctimas potenciales del cibercrimen.

Para poder movernos en este entorno digital con seguridad y poder defendernos con garantías ante las amenazas lo primero que debemos hacer es conocer y comprender como somos a nivel humano y tecnológico y conocer también a nuestros enemigos y como estos aplican la tecnología para sus propositos.


Nuestras medidas de seguridad solo seran efectivas si empezamos a conocer nuestras debilidades, las amenazas que se ciernen a las mismas y constantemente estamos fortaleciendo, monitorizando y aplicando técnicas de hardening a nuestros activos.

Los Ransomwares y las APTs son solo dos de los peligros que se ciernen contra nuestros Sistemas pero no están solos en este inframundo.

Podéis visualizar la presentación que ofrecí el 17 de junio de 2014 en el marco de Pildoras Tecnológicas que ISACA organiza con el "Col·legi d'advocats de Barcelona" (ICAB) sobre "Amenazas Persistentes Avanzadas (APT) y Extorsiones Criptovirales (Ransomwares.

 Presentación

4ª Pildora Tecnológica: "Amenazas Persistentes Avanzadas y Ciberextorsión"

El día 17 de junio de 2014 en el Ilustre Colegio de Abogados de Barcelona (ICAB) y fruto a la colaboración entre la Sección de derecho TIC del ICAB e ISACA Barcelona Oficial tendré el privilegio de presentar la 4ª "Pindola Tecnològica": "Amenaces Atacs Persistents i ciberextorsió".

La pildora estará orientada a dar unas pinceladas al cibercrimen actual que existe en Internet, destacando los ataques de ciberextorsión y los de intrusiones a sistemas de información.

Cuestionarse interrogantes como: ¿Cuáles son otros factores anexos que han llevado a ellos?, ¿Por qué la eliminación de estas amenazas no es suficiente para eliminar el riesgo de la empresa?, ¿Qué pasa con la información obtenida?, ¿Qué más han realizado en mis equipos?, ¿Cómo ha quedado mi sistema después de limpiar el malware detectado?, ¿Qué debo comunicar y a quién? y ¿Cómo debo proceder legalmente con este incidente?, entre otras muchos, son importantes y el objetivo de esta jornada es dar herramientas para poder conseguir estas respuestas.

Solo el conocimiento de estos crimenes puede ayudar a como tratarlos en su justa medida de una forma procesalmente adecuada, capturando las evidencias/pruebas digitales para incorporarlas con garantías en los procedimientos que se puedan derivar y fortaleciendo nuestros sistemas para estar preparados a saber reaccionar a los mismos.


Os adjunto algunos spoilers de los "slides" de la presentación, por si os pudierá interesar asistir a la jornada, cuyo acceso es gratuito; así como el enlace a la inscripción: http://lnkd.in/dsvNjaE

Infografía Informática Forense

Ampliando horizontes ==> SIT1 & Dataforensic