Acaban de salir los resultados del I Reto Forense Digital Sudamericano, arrojando como ganadores al Colombiano Daniel Correa (creador de sinfocol.org) y el Peruano Henry Sánchez, miembros del equipo Null Life, los dejo con los informes de los 3 primeros puestos en este Reto Forense Suramericano.

Felicitamos a los ganadores por el buen trabajo realizado, seguramente estos informes servirán de guía a muchas personas que quieran entrar al mundo del análisis forense digital!!!La ISSA (Information Systems Security Association), ha publicado su primer reto forense digital sudamericano, con el que se pretende poner a prueba las habilidades de los analistas forenses en Sur América y fomentar aun mas esta área de la seguridad informática en nuestro idioma.

Reto Forense

El funcionamiento es igual que el de nuestro retos forenses, a los analistas se les proporcionarán las imágenes de un sistema comprometido y deberán analizarlas para descubrir qué pasó en estos sistemas, luego generar los informes correspondientes, en este reto en particular se fomenta el trabajo en equipo, por lo que la participación puede ser en grupos de 3 o 4 personas máximo, o si prefieres puedes presentarlo individual.

El escenario de este reto forense es el siguiente:

Un usuario con un dudoso nivel de conciencia de seguridad, se ha percatado que el computador que le han sido asignado en la empresa donde trabaja, está más lento que de costumbre e inclusive aparecen y desaparecen mensajes, sin que él sepa qué o quién los está enviando, por lo que sospecha de algún ingreso no autorizado o virus del que desconoce el alcance.

Según el usuario, hasta el momento no ha tenido problemas de virus informáticos, él recibió un correo electrónico de un Busca Talentos, promocionando una oportunidad laboral, el usuario comenta que sólo quería descargar la información y llenar los datos de su hoja de vida para aprovechar la oportunidad laboral que se le había presentado.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió, el alcance del daño al sistema, que información contenía en él y si el intruso pudo recuperar la información de forma completa o parcial

Las reglas del reto forense

  1. Para el análisis del reto forense puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado.
  2. Es posible participar en el reto forense formando un grupo, en cuyo caso, el premio será compartido.
  3. Los resultados del reto forense deben enviarse en formatos que sean sencillos y rápidos de manejar como PDF y DOC. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.
  4. Se deben enviar los siguientes archivos del reto forense:
    • Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
      • Motivos de la intrusión.
      • Resultados del análisis.
      • Recomendaciones.
    • Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
  5. Los resultados podrán entregarse hasta las 23:59 horas del día 19 de Noviembre de 2011 (GMT -5) [Hora Perú], momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm.
  6. Los análisis deben enviarse a la dirección [email protected]
  7. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.
  8. Los ganadores se darán a conocer el 30 de Noviembre de 2011.

Los informes del Reto Forense serán revisados por un excelente grupo de profesionales que servirán de jurado para esta edición del reto, como podemos ver en la siguiente lista:

  • Claudio Caracciolo – Presidente de ISSA Argentina.
  • Mateo Martínez – Presidente de ISSA Uruguay
  • Gabriel Bergel – Presidente de ISSA Chile
  • George Proeller – Presidente de ISSA Colombia
  • Alonso Caballero Quezada, Consultor – Perú
  • Jessica Echenique Montero, CISA, CISM – Perú
  • Vicente Mostos, CEH, Fundador de Hackplayers – España

Los ganadores del reto forense serán elegidos de entre los mejores informes y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ningún tipo).

¿Que deben contener los informes Ejecutivo/Técnico?

Resumen Ejecutivo (no técnico)

Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente:

  • Motivos de la intrusión.
  • Desarrollo de la intrusión
  • Resultados del análisis.
  • Recomendaciones.

Informe Técnico

Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.

Puntos a cubrir en el informe técnico del reto forense

  • Antecedentes del incidente
  • Recolección de los datos
  • Descripción de la evidencia
  • Entorno del análisis
    • Descripción de las herramientas
  • Análisis de la evidencia
    • Información del sistema analizado
      • Características del SO
      • Aplicaciones
      • Servicios
      • Vulnerabilidades
    • Metodología
  • Descripción de los hallazgos
    • Huellas de la intrusión
    • Herramientas usadas por el atacante
    • Alcance de la intrusión
    • El origen del ataque
  • Análisis de artefactos
  • Cronología de la intrusión
  • Conclusiones
  • Recomendaciones específicas
  • Referencias

Es importante recordar que las condiciones de entrega de los reportes para el reto forense, están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

Imagen del equipo comprometido

Se ha liberado la imagen para el reto forense: I Reto Forense Digital Sudamericano – Perú Chavín de Huantar, la cual puede descargarse desde:

Descarga Oficial de Imagen para I Reto Forense Digital Sudamericano

Mirror de La Comunidad DragonJAR

Comprimida: CRC32: 510332A3 – MD5: EE0AA06A7966A64AE62FB24DD053B6D2 – SHA-1: 0B541F77CE6B1816ED2FA3F4A7B0131E85177D7F

Descomprimida: CRC32: 374F2D6E – MD5: A1DCD1405BFC72AE614A4E29D2FBD431 – SHA-1: 3EC009BE85274C699CE01EC2D7B9F2681B30D08B

Si deseas descargar la imagen para el reto forense por partes de 512MB:

  • Parte 1: MD5 833ae32d2e2cda3e2a5a5246eaa729c2be0f2bf7 – SHA1 3fe5f882726e057e614449c448b76995
  • Parte 2: MD5 5db1630e972eb8d9dd2c3afb0a7976c8ea4e12ac – SHA1 a7001c9b8201708372f947e0f50aa5af
  • Parte 3: MD5 181f889dbb13df08b03e5ee6fd71a4ead5c72219 – SHA1 d113998ad901a0cae92688d6e5f1f7eb
  • Parte 4: MD5 14eadfbedfd72de998157af03dc7747ce1c24d4c – SHA1 40437df0b0e6c9bec869452559075858
  • Parte 5: MD5 cb58069d460ed20d2e3e42ccd57d6e0b3d33a251 – SHA1 41175d460fcdc7f5ae909d205f4f9be7
  • Parte 6: MD5 9903556b4b519799e16d6c2b76f9cf589eb4c59d – SHA1 3745e336aa7291e2742eebba326112da
  • Parte 7: MD5 85a5a89ef3c73ecff701fd20e2e0303e4ce188fd – SHA1 57f436d0cfb128326f6ff019a2778c5b

Mas información en la pagina oficial del reto forense digital sudamericano.