Buenas a todos, sois varios los que me habéis escrito por correo para preguntarme más detalles acerca del curso sobre Forense que impartiré este año en No cON Name, por lo que he decidido matar dos pájaros de un tiro, y compartir esta información con todos nuestros lectores por si a alguien más le resulta de interés.
El temario del curso lo he diseñado pensando en el curso ideal que a mí me habría encantado recibir la primera vez que vi la temática de la ciencia forense. Y creo que en las siguientes líneas vais a comprender el por qué. Intentaré en un curso de solo 8 horas enseñaros las bases del análisis forense para que cuando salgáis de la formación podáis caminar solos, y seguir evolucionando en esta bonita ciencia.
No necesitáis traer nada al curso, ya que os daremos cuaderno y bolígrafo, pero sí que os recomiendo que os traigáis un Portátil con VirtualBox instalado, y un pendrive, por si queréis realizar a la vez que yo las prácticas del curso. Al principio del mismo os proporcionaré las diapositivas para que podáis seguirlas también desde vuestro ordenador a la vez que en el proyector.
Sobre el temario, a continuación os describo a alto nivel los contenidos que abordaremos:
Tema 1: Evidencia digital (1 hora)
- La cadena de custodia: Iniciaremos el curso con un poco de teoría, analizando el concepto de cadena de custodia, qué es, para qué sirve y que valor puede aportar de cara a un posible juicio.
- Firmado de evidencias: En la misma línea, hablaremos de la importancia de firmar las evidencias, tipos de firmas, como realizarlas, herramientas, etc.
- RFC 3227: A continuación hablaremos de la RFC 3227 Guidelines for Evidence Collection and Archiving, y de su uso en los periciales, del orden de volatibilidad, etc.
- Metodología para la adquisición de evidencias: Posteriormente hablaremos de varias de las metodologías más importantes del mercado, haciendo hincapié en la nueva UNE 71506:2013, que destriparemos entre todos.
- La obtención de evidencias. Herramientas HW y SW: En este punto analizaremos aspectos técnicos sobre los discos duros, que son los clústers y bloques, metadatos, sistemas de ficheros, registros, etc. Veremos como clonar discos duros, tanto con clonadoras hardware como con herramientas software, realizaremos varias demos prácticas, incluyendo detalles como discos duros cifrados, raid o virtualizados.
- Al finalizar el tema realizaremos una práctica final.
Tema 2: Análisis de datos (1 hora)
- Tratamiento de evidencias: Iniciaremos el tema 2 hablando del tratamiento de evidencias y el proceso de investigación forense.
- El principio de Locard: Continuaremos estudiando el principio del criminalista Edmon Locard.
- La línea temporal: A continuación veremos cómo realizar la reconstrucción de los hechos, y estudiaremos varias herramientas que nos serán de utilidad para esta tarea.
- Buscando información a través de aplicaciones forense: En este punto estudiaremos teóricamente cómo funcionan NTFS y EXT (MFT, superbloques, inodos, etc.), y veremos cómo recuperar información eliminada, tanto manualmente como con varias herramientas automáticas.
- Técnicas esteganográficas: En el siguiente punto analizaremos algunas de las técnicas esteganográficas más utilizadas por los usuarios maliciosos, ADS, ocultación en imágenes, ficheros, etc. y veremos cómo debemos tratar este tipo de casos más complejos
- Como bonus al curso, y como se trata de un congreso especial como No cON Name aprovecharemos para hablar también de como realizar análisis forenses a algunos dispositivos que no suelen analizarse comúnmente, como los dispositivos GPS, con demos prácticas en Tomtom, routers, consolas, y alguna que otra sorpresa que los asistentes al curso disfrutarán.
Tema 3: Correo electrónico (30 minutos)
- Análisis forense de correo electrónico: En el tema 3 hablaremos del funcionamiento interno del correo electrónico, las partes de las que consta, como analizar su código fuente y cabeceras, como detectar si el correo ha sido falsificado, etc. Finalizaremos el tema con algunas demos prácticas
Tema 4: Forense de aplicativos (1:30 horas)
- Forense en redes de datos: En este tema hablaremos de como analizar tramas de red para monitorizar tráfico extraño, como por ejemplo el producido por un malware que esté robando datos de una organización. En este punto sería interesante contar con conocimientos previos básicos de TCP/IP.
- Forense de memoria RAM: A continuación veremos cómo volcar la memoria RAM de sistemas Windows y Linux, y como analizarla tanto de manera manual, como con herramientas automáticas. En el tema de móviles realizaremos esto mismo con Android, iOS, etc.
- Análisis de malware: Para finalizar el tema analizaremos un malware para ver su estructura y su comportamiento básico. Para ello utilizaremos sendas herramientas y sandbox.
En función del transcurso del curso tras este tema nos iremos todos a comer para recuperar fuerzas y estar al 100% para la parte de móviles :)
Tema 5: Forense de dispositivos móviles iOS y Android (3 horas)
- Introducción a la seguridad en dispositivos móviles: En este punto veremos cómo se compone la arquitectura del sistema iOS, Android, Blackberry, etc. y analizaremos sus medidas de seguridad.
- Vulnerabilidades y exploits: En el siguiente punto hablaremos sobre algunas vulnerabilidades y exploits conocidos que nos servirán para rootear los terminales y acceder a zonas privilegiadas.
- Reversing de aplicaciones móviles: En este aportado nos centraremos en decompilar aplicaciones e intentar averiguar las tareas que realizarán en nuestros terminales. Para ello realizaremos una completa demostración con un caso real.
- Análisis Forense: Para finalizar el tema veremos como se debe realizar un análisis forense a un dispositivo móvil, con ejemplos prácticos sobre varias plataformas:
- Preservación de evidencias
- Obtención de información del dispositivo
- Obtención de datos de la tarjeta SD
- Volcado de memoria RAM
- Adquisición de imagen física de la memoria interna
- Live Forensics
- Adquisición de información de la tarjeta SIM (incluyendo teoría sobre todos los códigos contenidos en la misma)
Tema 6: Elaboración del informe pericial (30 minutos)
- Objetivo y elaboración del informe. Para concluir el curso os hablaremos de la importancia y de cómo debemos realizar un informe forense. Hablaremos largo y tendido de las “UNE 197001: Criterios generales para la elaboración de informes y dictámenes periciales” y “UNE 71506:2013 ANEXO A. Modelo de informe pericial”.
Lógicamente en un dia no os convertiréis en forenses expertos, pero si que es un curso bastante completo, y que os proporcionará la base necesaria para que podáis investigar por vuestra cuenta, trasteando, rompiendo cosas, probando nuevas herramientas, etc. para especializaros en un futuro en esta interesante temática.
Nos vemos en el curso, ¡saludos!
No hay comentarios:
Publicar un comentario