ACTUALIZADO 22/02/2013: Arreglados enlaces rotos y añadida nueva fuente para el reto 2 de la ekoparty.
ACTUALIZADO: En el preámbulo del Diplomado Profesional en Investigación Digital que se realizará en Bogotá este Martes muchas personas me han pedido el favor de re-subir las imágenes de nuestros retos forenses, ya que algunos enlaces se encontraban rotos o los servicios de alojamiento utilizados ya no estaban disponibles y quieren practicar con estos entornos antes de realizar la capacitación.
En la comunidad desde hace un tiempo, hemos estado publicando una serie de retos forenses, los cuales han tenido gran acogida entre nuestros visitantes y miembros, realizamos retos para nuestra Comunidad, la Campus Party Colombia y la EKOparty en Argentina, pero algunos de las imágenes publicadas en servicios de alojamientos de archivos han dejado de funcionar, razón por la que muchas personas me pidan al correo que vuelva a subir las mismas.
La razón de este post no es solo enumerar nuestros retos publicados, sino anunciar que se han vuelto a subir todas las imágenes para que puedan ser descargadas y usadas como objeto de estudio en sus procesos de aprendizaje. Leer más…
Durante la EKO Party 2010 realizada en Buenos Aires Argentina, se llevó a cabo el tercer retoforense de nuestra comunidad, este retoespecialmente diseñada para la EKO Party, contó con una escenografía que simulaba ser una escena de un crimen (algo nunca antes visto para un reto forense publico), donde los analista no solo tendrán que investigar lo sucedido en la maquina que se les entrega, sino que también será necesario que observen muy bien el entorno donde se encuentra esta máquina.
Pero hoy estamos de Cumpleaños y queremos celebrarlo, abriendo al publico el Reto Forense que realizamos en la EKOParty, para que cualquiera pueda resolverlo… Pero además de esto, volveremos a premiar el mejor informe con varios libros sobre análisis forense (o su valor comercial transferido a una cuenta paypal). Leer más…
Durante la EKO Party 2010 realizada en Buenos Aires Argentina, La Comunidad DragonJAR, lanzara la tercera versión de su retoforense, la cual está especialmente diseñada para la EKO Party, contará con una escenografía que simula ser la escena de un crimen, donde los analista no solo tendrán que investigar lo sucedido en la maquina que se les entrega, sino que también será necesario que observen muy bien el entorno donde se encuentra esta máquina.
En el siguiente vídeo, podrás ver rápidamente de que se trata este reto forense.
ESCENARIO PLANTEADO
0xBlack, un reconocido Hacker Black Hat de la scene Underground, ha sido encontrado muerto colgado del techo de su apartamento, por investigadores que lo tenían como principal sospechoso en un delito de espionaje industrial realizado a la empresa PlanEx.
OBJETIVO DEL RETO
El objetivo es realizar un análisis forense al sistema de 0xBlack y recolectar información en el entorno donde se encontraba. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma), PERO debe ser tratada como si fuera la maquina física del atacante, realizando los procedimientos necesarios, para no alterar la evidencia en ella.
Al tratarse de un reto diseñado para ser resuelto en un máximo de 2 días (duración de la EKO Party), no se pedirán informes ejecutivos y la finalidad del análisis será determinar solo los siguientes puntos:
Determinar si 0xBlack realmente se suicido
Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara
Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato
Recuperar la información robada a la empresa PlanEx
Se debe entregar un informe técnico detallado que respalde las respuestas a las preguntas planteadas, el cual tendrá una calificación máxima de 100 puntos, distribuidos de la siguiente forma:
30 Puntos – Metodología, Procedimiento y Documentación
30 Puntos – Evidencia y Correlación con el Delito
20 Tiempo de Entrega (el primero 20 puntos y a los siguientes se les restara de a 5 puntos, según el orden de llegada)
20 Puntos – Extras (para las personas que realizaron algo más de lo que nosotros solicitábamos, que aporte a la investigación)
La imagen del reto, te la entregan en el puesto de información, ubicada en el área de sponsors dentro de la EKO Party, la clave para descomprimir el archivo “iniciaelreto” sin comillas y en minúsculas.
TIEMPOS DE ENTREGA
El reto inició desde el anuncio realizado, al finalizar la charla de Deviant Ollam y el tiempo de entrega máximo del informe técnico, es hasta el día viernes, 17 de septiembre, a las 14:00.
Solo se reciben informes al correo[email protected] y los tiempos de entrega, serán los mismos de llegada en la bandeja de correo.
PD. sacamos 100 copias de las imágenes, pero no alcanzaron a cubrir la demanda que tubo el reto en la EKO, por favor las personas que ya copiaron el archivo a sus equipos, compartan el dvd para que otros puedan jugar…
Como en todo ámbito de investigación, y más en disciplinas tan vivas como el Análisis Forense son muchas las definiciones posibles, pero todas convergen en lo esencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de Análisis Forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo del Análisis será obtener evidencias que puedan certificar lo ocurrido.
Para fomentar la investigación y creación de conocimiento en nuestra Comunidad DragonJAR, hemos decidido realizar nuestro segundo reto de Análisis Forense, la idea es que este tipo de retos en áreas definidas se vuelvan cada vez más frecuentes y con mayor nivel de dificultad, para que disfrutemos todos. Leer más…
Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algun acto ilegal o si alguien modifico o realizo alguna operacion que no deberia haber realizado en esa maquina, aqui les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con MicrosoftWindows.
Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:
22 febrero 2013 
11 Comentarios 
