Hace unos días desde Conexión Inversa, Pedro Sánchez (@ConexionInversa) nos informaba de que tanto él como Lorenzo Martínez (@lawait), con su empresa Securizame, habían montado junto a muchos otros un curso de formación para ampliar conocimientos en los que a forense y peritaje se refiere.
Este curso estará formado por 8 módulos de 6 horas cada uno de ellos, a razón de 2 horas diarias, 3 días a la semana. Un copypaste del contenido del curso, enlazado arriba, sería este:
MODULO I – Delitos Informáticos y Criminalidad en Internet – 3 horas – Profesor: Álvaro AndradeEl curso, además de dar un módulo cada uno de ellos, también lo imparten, entre otros, Juanillo aka Sileverhack aka @tr1ana, Álvaro Andrade (@aandradex), Yago Jesús (@yjesus), Giovanni Cruz, Jaime Andrés Restrepo (@dragonjar) y Luis Delgado (@ldelgadoj).
- Terminología a emplear
- Introducción a los delitos informáticos y la criminalidad en Internet
- Conceptualización y Clasificación de los Delitos Informáticos.
- Organismos Internacionales de Persecución y Represión del Cibercrimen.
- Análisis de la legislación internacional.
- Tipos de delitos reconocidos por la ONU.
- Análisis técnico jurídico sobre “la Flagrancia” en Delitos Informáticos.
MODULO II – Informática Forense y Evidencia Digital – 3 horas – Profesor: Álvaro Andrade
- Jurisprudencia internacional. (Cómo encontrarla en segundos)
- Terminología a emplear
- Introducción a la Informática Forense
- Evidencia digital Vs. Evidencia Física
- Peritaje Judicial y Extra Judicial
- Procedimientos especiales para pericias informáticas
- Evidencia Digital
- Características de la Evidencia Digital
- Reglas de la Evidencia Digital para procesos judiciales
- Cadena de custodia y Cumplimiento en materia de evidencia Digital
- Principios Periciales
- Metodología de un análisis de informática forense
- Herramientas de Informática forense
MODULO III – Análisis forense en Windows - 6 horas – Profesor: Juan Garrido
- Elaboración del Dictamen Pericial
- Sistema operativo Windows
- Diferencias entre Windows 7 y Windows 8
- Tratamiento de las evidencias
- Análisis de navegación
- Análisis temporal de la información
- Búsquedas basadas en firmas
- Análisis de la papelera de reciclaje
- El registro del sistema
- Prefetching en sistemas Windows
- Copias en la sombra. Diferencias entre Windows 7 y Windows 8
- Análisis Forense de procesos
- Procesos en Windows
- Tipos de cuentas en Windows
- Análisis y correlación de procesos
- Relación de procesos, puertos y conexiones realizadas
- Análisis Forense de logs
- Las auditorías de los sistemas
- Análisis de registros
- Consolidación del logs
Módulo IV: Análisis de sistema de ficheros NTFS, Los ficheros del registro de Windows. Análisis de la memoria en Windows. Indicadores de compromiso – 6 horas – Profesor: Pedro Sánchez
- Correlación y forense
- Estructura interna de NTFS
- Estructura de una partición
- La tabla Maestra de Archivos (MFT)
- Cabeceras e identificadores
- Los Metadatos de ficheros
- Ficheros de atributos $MFT, $LogFile, $Volume
- Ficheros Indice
- Cómo extraer evidencias de la tabla maestra de archivos
- Herramientas de extracción
- Recuperación de ficheros
- Cómo crear una línea de tiempo (Timeline)
- Ficheros persistentes de entradas de registro
- Setupapi
- setuperr.log
- miglog.xml
- PreGatherPnPList.log
- Fase de configuración en línea
- Cómo extraer evidencias de información de dispositivos
- Cómo obtener claves y datos del registro de Windows
- La memoria en Windows
- Arquitectura de la memoria en Intel 32 y 64
- Cómo obtener la memoria RAM y fichero Pagefile.sys
- Cómo extraer contraseñas de la memoria
- Cómo analizar Malware utilizando la memoria
- Cómo obtener un ejecutable o fichero de la memoria
- Herramientas de extracción
- Cómo automatizar los procesos de búsqueda en memoria
- Indicadores de compromiso
- Ataques APT, ejemplos reales
- Cómo se desarrolla un indicador de compromiso
- Cómo se aplica en la búsqueda de una intrusión
- Ejemplos de indicadores de compromiso
- Búsqueda de ataques APT utilizando indicadores de compromiso
- Aplicando Indicadores a la memoria RAM y a dispositivos
- Inteligencia
Módulo V: Análisis Forense en Linux – 6 horas – Profesor: Lorenzo Martínez
- Modelos Open Source para la mitigación de ataques
- Análisis Forense a entornos Linux
- Distribuciones Live Forenses
- Forense de la memoria RAM
- Análisis forense de sistemas de ficheros
- Análisis de la memoria SWAP
- Líneas de tiempo
- Recuperación avanzada de ficheros
- Recuperación de elementos clave
- Cómo descubrir malware pasivo en el sistema
Módulo VI: Logs, Rootkits e Ingeniería Inversa – 6 horas – Profesor: Yago Jesus
- Caso práctico: escenario de un ataque
- Detección de patrones sospechosos
- Análisis de logs
- Correlación de logs
- Integridad del sistema (binarios, kernel, procesos)
- Obtención de evidencias
- Rootkits
- Fundamentos sobre rootkits
- Tipos de rootkits
- Detección de rootkits
- Ingeniería inversa
- Fundamentos de ingeniería inversa
- Debuggers
- Análisis estático de ejecutables
Módulo VII: Análisis forense en red y Antiforense -6 horas – Profesor: Giovanni Cruz
- Análisis dinámico de ejecutables
- Análisis Forense en red
- Definición
- Tipos de Captura
- Análisis de Ataques de fuga de información
- AntiForense
- Definición
- Retos del análisis
Módulo VIII: Análisis forense en IOS – 6 horas – Profesor: Jaime Andrés Restrepo
- Principales técnicas
- Introducción – ¿Por qué hacer análisis forense digital a un móvil?
- Adquiriendo la evidencia digital
- Adquisición desde un Backup de iTunes
- Adquisición de copia bit a bit
- Adquisición de copia lógica
- Análisis de la evidencia adquirida
- Análisis de Contactos, Llamadas, Mail, Fotos y Videos, Mensajes de Texto, Notas, Calendario de Eventos, Navegación desde Safari, Spotlight, Mapas, Notas de Voz, Preferencias del Sistema, Logs del Sistema, Diccionarios Dinámicos, Aplicaciones Third Party, Información Eliminada
- Análisis Con Herramientas libres o gratuitas
- Análisis Con Herramientas Comerciales
Módulo IX: Análisis Forense en Android – 6 horas – Profesor: Luis Delgado
- Recomendaciones adicionales para la entrega del informe
- Plataforma Android
- Arquitectura y modelo de seguridad
- ROM y BootLoaders
- Android SDK y ADB
- Emuladores
- Acceso al dispositivo
- Entornos preconfigurados
- Consideraciones iniciales
- Análisis del sistema de ficheros (FAT & YAFFS)
- Características principales
- Directorios y ficheros de interés
- Evasión de restricciones de acceso
- Técnicas de análisis lógico
- Análisis de la SDCard
- Análisis de backups
- Elevación de privilegios
- Creación de imágenes de interés
- Técnicas forense tradicionales
- Otras técnicas de análisis
- Herramientas comerciales
- Reversing de aplicaciones
Con los aquí presentes, y el contenido, tiene muy buena pinta y son cosas cuyo conocimiento conviene mejorar. De hecho, a ver si me pongo las pilas y antes de que comience soy capaz de publicar (volviendo a jugar) una cosa que tenía montada con Volatility y que lleva unos cuantos años ahí paralizada.
Por cierto: El sistema WebEx ya lo experimenté en su momento y cuando lo hice, no estaba nada mal. Este sistema está genial porque no dependes de tener que ir a un emplazamiento al salir de trabajar, después ir corriendo a coger el transporte público para volver a casa... En cuanto se sepan los horarios, podré ver si me puedo apuntar.
No hay comentarios:
Publicar un comentario