martes, 7 de enero de 2014

Formación de peritajes

Hace unos días desde Conexión Inversa, Pedro Sánchez (@ConexionInversa) nos informaba de que tanto él como Lorenzo Martínez (@lawait), con su empresa Securizame, habían montado junto a muchos otros un curso de formación para ampliar conocimientos en los que a forense y peritaje se refiere.

Este curso estará formado por 8 módulos de 6 horas cada uno de ellos, a razón de 2 horas diarias, 3 días a la semana. Un copypaste del contenido del curso, enlazado arriba, sería este:

MODULO I – Delitos Informáticos y Criminalidad en Internet – 3 horas – Profesor: Álvaro Andrade
  • Terminología a emplear
  • Introducción a los delitos informáticos y la criminalidad en Internet
  • Conceptualización y Clasificación de los Delitos Informáticos.
  • Organismos Internacionales de Persecución y Represión del Cibercrimen.
  • Análisis de la legislación internacional.
  • Tipos de delitos reconocidos por la ONU.
  • Análisis técnico jurídico sobre “la Flagrancia” en Delitos Informáticos.
  • Jurisprudencia internacional. (Cómo encontrarla en segundos)
MODULO II – Informática Forense y Evidencia Digital – 3 horas – Profesor:  Álvaro Andrade
  • Terminología a emplear
  • Introducción a la Informática Forense
  • Evidencia digital Vs. Evidencia Física
  • Peritaje Judicial y Extra Judicial
  • Procedimientos especiales para pericias informáticas
  • Evidencia Digital
  • Características de la Evidencia Digital
  • Reglas de la Evidencia Digital para procesos judiciales
  • Cadena de custodia y Cumplimiento en materia de evidencia Digital
  • Principios Periciales
  • Metodología de un análisis de informática forense
  • Herramientas de Informática forense
  • Elaboración del Dictamen Pericial
 MODULO III – Análisis forense en Windows  - 6 horas – Profesor: Juan Garrido
  • Sistema operativo Windows
  • Diferencias entre Windows 7 y Windows 8
  • Tratamiento de las evidencias
  • Análisis de navegación
  • Análisis temporal de la información
  • Búsquedas basadas en firmas
  • Análisis de la papelera de reciclaje
  • El registro del sistema
  • Prefetching en sistemas Windows
  • Copias en la sombra. Diferencias entre Windows 7 y Windows 8
  • Análisis Forense de procesos
  • Procesos en Windows
  • Tipos de cuentas en Windows
  • Análisis y correlación de procesos
  • Relación de procesos, puertos y conexiones realizadas
  • Análisis Forense de logs
  • Las auditorías de los sistemas
  • Análisis de registros
  • Consolidación del logs
  • Correlación y forense
Módulo IV: Análisis de sistema de ficheros NTFS, Los ficheros  del registro de Windows. Análisis de la memoria en Windows. Indicadores de compromiso  – 6 horas – Profesor: Pedro Sánchez
  • Estructura interna de NTFS
  • Estructura de una partición
  • La tabla Maestra de Archivos (MFT)
  • Cabeceras e identificadores
  • Los Metadatos de ficheros
  • Ficheros de atributos $MFT, $LogFile, $Volume
  • Ficheros Indice
  • Cómo extraer evidencias de la tabla maestra de archivos
  • Herramientas de extracción
  • Recuperación de ficheros
  • Cómo crear una línea de tiempo (Timeline)
  • Ficheros persistentes de entradas de registro
  • Setupapi
  • setuperr.log
  • miglog.xml
  • PreGatherPnPList.log
  • Fase de configuración en línea
  • Cómo extraer evidencias de información de dispositivos
  • Cómo obtener claves y datos del registro de Windows
  • La memoria en Windows
  • Arquitectura de la memoria en Intel 32 y 64
  • Cómo obtener la memoria RAM y fichero Pagefile.sys
  • Cómo extraer contraseñas de la memoria
  • Cómo analizar Malware utilizando la memoria
  • Cómo obtener un ejecutable o fichero de la memoria
  • Herramientas de extracción
  • Cómo automatizar los procesos de búsqueda en memoria
  • Indicadores de compromiso
  • Ataques APT, ejemplos reales
  • Cómo se desarrolla un indicador de compromiso
  • Cómo se aplica en la búsqueda de una intrusión
  • Ejemplos de indicadores de compromiso
  • Búsqueda de ataques APT utilizando indicadores de compromiso
  • Aplicando Indicadores a la memoria RAM y a dispositivos
  • Inteligencia
  • Modelos Open Source para la mitigación de ataques
Módulo V: Análisis Forense en Linux – 6 horas – Profesor: Lorenzo Martínez
  • Análisis Forense a entornos Linux
  • Distribuciones Live Forenses
  • Forense de la memoria RAM
  • Análisis forense de sistemas de ficheros
  • Análisis de la memoria SWAP
  • Líneas de tiempo
  • Recuperación avanzada de ficheros
  • Recuperación de elementos clave
  • Cómo descubrir malware pasivo en el sistema
  • Caso práctico: escenario de un ataque
Módulo VI: Logs, Rootkits e Ingeniería Inversa – 6 horas – Profesor: Yago Jesus
  • Detección de patrones sospechosos
  • Análisis de logs
  • Correlación de logs
  • Integridad del sistema (binarios, kernel, procesos)
  • Obtención de evidencias
  • Rootkits
  • Fundamentos sobre rootkits
  • Tipos de rootkits
  • Detección de rootkits
  • Ingeniería inversa
  • Fundamentos de ingeniería inversa
  • Debuggers
  • Análisis estático de ejecutables
  • Análisis dinámico de ejecutables
Módulo VII: Análisis forense en red y Antiforense -6 horas – Profesor: Giovanni Cruz
  • Análisis Forense en red
  • Definición
  • Tipos de Captura
  • Análisis de Ataques de fuga de información
  • AntiForense
  • Definición
  • Retos del análisis
  • Principales técnicas
Módulo VIII: Análisis forense en IOS – 6 horas – Profesor: Jaime Andrés Restrepo
  • Introducción  – ¿Por qué hacer análisis forense digital a un móvil?
  • Adquiriendo la evidencia digital
  • Adquisición desde un Backup de iTunes
  • Adquisición de copia bit a bit
  • Adquisición de copia lógica
  • Análisis de la evidencia adquirida
  • Análisis de Contactos, Llamadas, Mail, Fotos y Videos, Mensajes de Texto, Notas, Calendario de Eventos, Navegación desde Safari, Spotlight, Mapas, Notas de Voz, Preferencias del Sistema, Logs del Sistema, Diccionarios Dinámicos, Aplicaciones Third Party, Información Eliminada
  • Análisis Con Herramientas libres o gratuitas
  • Análisis Con Herramientas Comerciales
  • Recomendaciones adicionales para la entrega del informe
 Módulo IX: Análisis Forense en Android – 6 horas – Profesor: Luis Delgado
  • Plataforma Android
  • Arquitectura y modelo de seguridad
  • ROM y BootLoaders
  • Android SDK y ADB
  • Emuladores
  • Acceso al dispositivo
  • Entornos preconfigurados
  • Consideraciones iniciales
  • Análisis del sistema de ficheros (FAT & YAFFS)
  • Características principales
  • Directorios y ficheros de interés
  • Evasión de restricciones de acceso
  • Técnicas de análisis lógico
  • Análisis de la SDCard
  • Análisis de backups
  • Elevación de privilegios
  • Creación de imágenes de interés
  • Técnicas forense tradicionales
  • Otras técnicas de análisis
  • Herramientas comerciales
  • Reversing de aplicaciones
El curso, además de dar un módulo cada uno de ellos, también lo imparten, entre otros, Juanillo aka Sileverhack aka @tr1ana, Álvaro Andrade (@aandradex), Yago Jesús (@yjesus), Giovanni Cruz, Jaime Andrés Restrepo (@dragonjar) y Luis Delgado (@ldelgadoj).

Con los aquí presentes, y el contenido, tiene muy buena pinta y son cosas cuyo conocimiento conviene mejorar. De hecho, a ver si me pongo las pilas y antes de que comience soy capaz de publicar (volviendo a jugar) una cosa que tenía montada con Volatility y que lleva unos cuantos años ahí paralizada.

Por cierto: El sistema WebEx ya lo experimenté en su momento y cuando lo hice, no estaba nada mal. Este sistema está genial porque no dependes de tener que ir a un emplazamiento al salir de trabajar, después ir corriendo a coger el transporte público para volver a casa... En cuanto se sepan los horarios, podré ver si me puedo apuntar.

Publicado por agux en 16:45
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)