La Comunidad DragonJAR

Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.

ANALISIS DE DATOS:

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:

Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red. Leer más…

Continuamos con la segunda parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la primera parte, puedes verla aquí.

Adquisición:

En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.

Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación. Leer más…

En este articulo describiremos de forma practica, como utilizar una Metodología de Análisis forense para responder a un incidente.

Identificación:

• En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
• Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
• Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación. Leer más…

Nueva Versión del CAINE, uno de los mejores LiveCD’s para Informática Forense, se diferencia de los demás livecd para forense (Helix FCCU, Deft, etc..) por su entorno de fácil uso para todo este tipo de herramientas y su interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, mas informacion del CAINE AQUI.

Estos son los cambios de la nueva versión:

• Se incorpora el WinTaylor, un frontend de analisis forense para entornos windows
• Paginas HTML compatibles con internet explorer para correr herramientas forenses en Windows
• Actualizado el Ntfs-3g a la versión 2009.1.1 (resolviendo un bug del ntfs-3g)
• Nueva opción del menú de inicio: Modo Texto
• Actualizados los paquetes de Ubuntu 8.04 (CAINE esta basado en ubuntu)
• Nueva versión del Firefox 3.0.6
• Nueva herramienta para realizar hashing de archivos (Gtkhash)
• Nuevas opciones en los reportes: se agrego el nombre del investigador y del reporte
• Reportes en múltiples lenguajes: italiano, ingles, alemán, francés y portugués ¿para cuando en español?
• Cuando se inicia Firefox se abre un listado con las herramientas y un breve manual de utilización.

Leer más…

Me entero gracias a Cortex sobre un recurso de Microsoft en el que almacenan varios de los webcast sobre seguridad  informática  (y otros temas) que se han llevado a cabo sobre temas como el Forefont y la seguridad en Windows Vista, el hardening en los sistemas Windows, las próximas mejoras en cuando a seguridad para el firewall de windows, los sistemas Anti Spyware y Anti Phishing del Internet Explorer, Normativas de Seguridad, ISA server, etc…

Leer más…

El experto en Seguridad de Base de datos David Litchfield, hablará su nueva herramienta y  paper con Jeff Moss, Fundador y Director de Black Hat. La herramienta, orablock, permite que a un investigador forense, para volcar los datos desde un archivo de datos Oracle – es decir, no hay necesidad de cargar el archivo de datos en la base de datos que causa modificaciones en el archivo de datos, se utiliza orablock para preserva las pruebas.

Leer más…

Juan Garrido de Informatica64.com realizará el próximo Miercoles 10 de Diciembre un Webcast sobre Análisis forense de la memoria RAM en sistemas Windows.

Leer más…

Aunque la entrada debería ser Análisis del “Virus Medellín” o de cómo intentamos infectarnos sin éxito.

El supuesto “virus Medellín” fué la noticia del día, o por lo menos yo me enteré apenas hoy de ella. En diferentes medios se habló de la destrucción masiva de este “todo poderoso” virus de la super muerte.

Los titulares de los medios

Virus “Medellín” atacó computadores Locales

El ‘Virus Medellín’ causa estragos en los computadores de Santander

Virus Medellín ataca PC

Incluso en el foro de la Comunidad alcancé a leer algunas entradas relacionadas con este tema:

Alerta virus en medellín

Pero debo ser sincero. Lo primero que llegó a mi mente al leer esta noticia fue:

“No falta el que recibió un mensaje del tipo reenviaselo a 500 mil amigos en menos de 5 segundos” y lo publicó en alguna web.

Es que ahora, lastimosamente nos hemos acostumbrado a recibir el típico correo electrónico de A0L, Nort0n, o similares, sobre el peligrosísimo virus recién descubierto y publicado en la CNN, donde el virus te habla y te dice que perderás todos tus datos destruyendo el sector zero del disco duro, además de que puede transmitirse a tu nevera descongelando el pollo y pudriendo los tomátes. (No quiero imaginarme el efecto en una lavadora).

Leer más…

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router.

Los principales motivos son los siguientes:

Porque atacar un router:

• Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
• Comprometer otros routers a través de el.
• Desviar firewalls de red, IDS o otros servicios.
• Monitorizar y grabar el tráfico entrante o saliente de la red.
• Redirigir el tráfico de la red a otro punto.

Leer más…