Reto Forense Digital Sudamericano – Resultados


Acaban de salir los resultados del I Reto Forense Digital Sudamericano, arrojando como ganadores al Colombiano Daniel Correa (creador de sinfocol.org) y el Peruano Henry Sánchez, miembros del equipo Null Life, los dejo con los informes de los 3 primeros puestos en este Suramericano.

Felicitamos a los ganadores por el buen trabajo realizado, seguramente estos informes servirán de guía a muchas personas que quieran entrar al mundo del análisis forense digital!!!La ISSA (Information Systems Security Association), ha publicado su primer reto forense digital sudamericano, con el que se pretende poner a prueba las habilidades de los analistas forenses en Sur América y fomentar aun mas esta área de la seguridad informática en nuestro idioma.

Reto Forense Reto Forense Digital Sudamericano   Resultados

El funcionamiento es igual que el de nuestro retos forenses, a los analistas se les proporcionarán las imágenes de un sistema comprometido y deberán analizarlas para descubrir qué pasó en estos sistemas, luego generar los informes correspondientes, en este reto en particular se fomenta el trabajo en equipo, por lo que la participación puede ser en grupos de 3 o 4 personas máximo, o si prefieres puedes presentarlo individual.

El escenario de este reto forense es el siguiente:

Un usuario con un dudoso nivel de conciencia de seguridad, se ha percatado que el computador que le han sido asignado en la empresa donde trabaja, está más lento que de costumbre e inclusive aparecen y desaparecen mensajes, sin que él sepa qué o quién los está enviando, por lo que sospecha de algún ingreso no autorizado o virus del que desconoce el alcance.

Según el usuario, hasta el momento no ha tenido problemas de virus informáticos, él recibió un correo electrónico de un Busca Talentos, promocionando una oportunidad laboral, el usuario comenta que sólo quería descargar la información y llenar los datos de su hoja de vida para aprovechar la oportunidad laboral que se le había presentado.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió, el alcance del daño al sistema, que información contenía en él y si el intruso pudo recuperar la información de forma completa o parcial

Las reglas del reto forense

  1. Para el análisis del reto forense puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado.
  2. Es posible participar en el reto forense formando un grupo, en cuyo caso, el premio será compartido.
  3. Los resultados del reto forense deben enviarse en formatos que sean sencillos y rápidos de manejar como PDF y DOC. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.
  4. Se deben enviar los siguientes archivos del reto forense:
    • Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
      • Motivos de la intrusión.
      • Resultados del análisis.
      • Recomendaciones.
    • Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.
  5. Los resultados podrán entregarse hasta las 23:59 horas del día 19 de Noviembre de 2011 (GMT -5) [Hora Perú], momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm.
  6. Los análisis deben enviarse a la dirección [email protected]
  7. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.
  8. Los ganadores se darán a conocer el 30 de Noviembre de 2011.

Los informes del Reto Forense serán revisados por un excelente grupo de profesionales que servirán de jurado para esta edición del reto, como podemos ver en la siguiente lista:

  • Claudio Caracciolo – Presidente de Argentina.
  • Mateo Martínez – Presidente de ISSA Uruguay
  • Gabriel Bergel – Presidente de ISSA Chile
  • George Proeller – Presidente de ISSA Colombia
  • Alonso Caballero Quezada, Consultor – Perú
  • Jessica Echenique Montero, CISA, CISM – Perú
  • Vicente Mostos, CEH, Fundador de Hackplayers – España

Los ganadores del reto forense serán elegidos de entre los mejores informes y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ningún tipo).

¿Que deben contener los informes Ejecutivo/Técnico?

Resumen Ejecutivo (no técnico)

Resumen con una explicación no técnica, con lenguaje común, sobre lo ocurrido en el sistema analizado. De 3 a 5 páginas, donde se describa lo siguiente:

  • Motivos de la intrusión.
  • Desarrollo de la intrusión
  • Resultados del análisis.
  • Recomendaciones.

Informe Técnico

Debe describir con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.

Puntos a cubrir en el informe técnico del reto forense

  • Antecedentes del incidente
  • Recolección de los datos
  • Descripción de la evidencia
  • Entorno del análisis
    • Descripción de las herramientas
  • Análisis de la evidencia
    • Información del sistema analizado
      • Características del SO
      • Aplicaciones
      • Servicios
      • Vulnerabilidades
    • Metodología
  • Descripción de los hallazgos
    • Huellas de la intrusión
    • Herramientas usadas por el atacante
    • Alcance de la intrusión
    • El origen del ataque
  • Análisis de artefactos
  • Cronología de la intrusión
  • Conclusiones
  • Recomendaciones específicas
  • Referencias

Es importante recordar que las condiciones de entrega de los reportes para el reto forense, están definidas en la sección Políticas de Participación, donde se destaca la necesidad de sellar los archivos que sean entregados para la evaluación.

Imagen del equipo comprometido

Se ha liberado la imagen para el reto forense: I Reto Forense Digital Sudamericano – Perú Chavín de Huantar, la cual puede descargarse desde:

Descarga Oficial de Imagen para I Reto Forense Digital Sudamericano

Mirror de La Comunidad DragonJAR

Comprimida: CRC32: 510332A3 – MD5: EE0AA06A7966A64AE62FB24DD053B6D2 – SHA-1: 0B541F77CE6B1816ED2FA3F4A7B0131E85177D7F

Descomprimida: CRC32: 374F2D6E – MD5: A1DCD1405BFC72AE614A4E29D2FBD431 – SHA-1: 3EC009BE85274C699CE01EC2D7B9F2681B30D08B

Si deseas descargar la imagen para el reto forense por partes de 512MB:

  • Parte 1: MD5 833ae32d2e2cda3e2a5a5246eaa729c2be0f2bf7 – SHA1 3fe5f882726e057e614449c448b76995
  • Parte 2: MD5 5db1630e972eb8d9dd2c3afb0a7976c8ea4e12ac – SHA1 a7001c9b8201708372f947e0f50aa5af
  • Parte 3: MD5 181f889dbb13df08b03e5ee6fd71a4ead5c72219 – SHA1 d113998ad901a0cae92688d6e5f1f7eb
  • Parte 4: MD5 14eadfbedfd72de998157af03dc7747ce1c24d4c – SHA1 40437df0b0e6c9bec869452559075858
  • Parte 5: MD5 cb58069d460ed20d2e3e42ccd57d6e0b3d33a251 – SHA1 41175d460fcdc7f5ae909d205f4f9be7
  • Parte 6: MD5 9903556b4b519799e16d6c2b76f9cf589eb4c59d – SHA1 3745e336aa7291e2742eebba326112da
  • Parte 7: MD5 85a5a89ef3c73ecff701fd20e2e0303e4ce188fd – SHA1 57f436d0cfb128326f6ff019a2778c5b

Mas información en la pagina oficial del reto forense digital sudamericano.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Henryxd

    :O… estoy por arequipa, en algo imporaten y se presenta esto, :(

    • http://www.dragonjar.org DragoN

      a michos nos coje fuera de base, yo por ejemplo estoy haciendo un análisis forense a una empresa grande, así que tengo “mi propio reto” por el cual preocuparme

  • http://SitioWeb(opcional) Martinez

    Compañeros buen dia, he descargado la imagen dividida en archivos de 512 MB pero ahora no se como unirlos. Cada archivo tiene el formato siguiente : imagen.n , donde n es el numero de archivo correspondiente hasta llegar a 7. ¿Tengo que cambiar la ext por alguna otra?

    Gracias por sus comentarios.

    • http://www.dragonjar.org DragoN

      que te dice el resultado de este comando file archivo

      • http://SitioWeb(opcional) Martinez

        ¡¡Que hay Dragon!! no entendi tu respuesta, no se a que comando te refieres, ya le di un vistazo al portal oficial del reto y no encontre nada relacionado, solo un usuario preguntando en que formato se encontraba el archivo o si pertenecia a una maquina virtual. El chiste que no se que formato tiene el archivo o cual es su extencion.

        Gracias por tus comentarios

  • @huiang

    Amigo DragoN, es obligatorio registrar la participacion? o con solo enviar los resultados basta?

    • http://SitioWeb(opcional) Martinez

      Compañero, pues si tienes la intencion real de participar debes de registrarte, si solo requieres hacer entrenamiento personal no es necesario, aparte ¿que tal que participas, no te registras y sales ganador? Esta situacion ya queda a criterio del Jurado asi que mejor no dejes cabos sueltos.

      Saludos!!!

  • @huiang

    Gracias Martinez

  • SantiagoV

    Ya tengo algunas cosas avanzadas del análisis. Alguien anda suelto y quiere hacer grupo ?

    • Jupi

      Hola,soy de España y tengo resuelto el reto, pero creo que por requisitos del programa no puedo participar a no ser que haga grupo con alguien de Sudamerica, si alguien está interesado que se ponga en contacto conmigo.

  • Carlos

    Hola amigos!! alguien participó?? para poder comparti experiencias

  • caralu

    ¿Se puede obtener la imagen del reto para aprender un poco y aprovechar los días libres?
    En los vínculos que hay los ficheros fueron borrados.

  • JOHNW

    opino lo mismo que “caralu”
    seria posible optener la imagen del reto.

  • scratch

    Me pregunto si alguno de los participantes uso bloqueo contra escritura sea en software o herdware, los informes periciales de lso ganadores se publicaron? me gustaria leerlos. Saludos Dragon :D

  • raptorfx7

    Buenas, queria saber si todabia tienen la imagen del reto forense y si la podían montar nuevamente en algun otro servidor que la deje descargar…muchas gracias :D

  • Ernesto

    podrin subir la imagen otravez ya qu eno esta disponible se los agradeceria mucho saludos

  • Ernesto

    podrian subir nuevamente un mirror para descargar la imagen por favor gracias

  • michael meek

    Aprendiendo a encender un Ordenador.
    Nacho lee, Nacho suma … hey hasta nacho vidal XXXX…. En fin pero definitivamente les falto un Nacho prende el PC!!! jajajja felicitaciones a todos que buen trabajo !!!!