análisis forense de red

28
Por favor, no quites el cable… Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com

Upload: chema-alonso

Post on 01-Jul-2015

4.611 views

Category:

Technology


9 download

DESCRIPTION

Charla impartida por Juan Garrido "silverhack" de Informática64 en el Asegúr@IT Camp

TRANSCRIPT

Page 1: Análisis Forense de Red

Por favor, no quites el cable…

Juan GarridoConsultor Seguridad I64http://windowstips.wordpress.com http://www.informatica64.com

Page 2: Análisis Forense de Red

Sesión

Introducción Tipos de Ataque Herramientas Demo Wireshark + NetWorkMiner Demo Messenger RTP

Page 3: Análisis Forense de Red

Introducción

Page 4: Análisis Forense de Red

Introducción (La teoría del “Creemos”)

“Creemos que nos han robado….” “Creemos que nos están atacando…” “Creemos que alguien no es quien

dice ser…” “Creemos que el servidor está off…” “Creemos que….”

Page 5: Análisis Forense de Red

Introducción

Page 6: Análisis Forense de Red

Introducción

Page 7: Análisis Forense de Red

Tipos de Ataque

Page 8: Análisis Forense de Red

Tipos de Ataque

Page 9: Análisis Forense de Red

Tipos de Ataque

Page 10: Análisis Forense de Red

Tipos de Ataque

Page 11: Análisis Forense de Red

Herramientas

Page 12: Análisis Forense de Red

Herramientas

Wireshark Kismet Snort DataEcho NetworkMiner Xplico

Page 13: Análisis Forense de Red

Herramientas

NetWorkMiner Desarrollada para Windows Se puede utilizar en Linux con Wine Passive Network Sniffer Fingerprinting OS Firmas NMAP (P0f,Satori,Ettercap) Navegación por pestañas

Page 14: Análisis Forense de Red

Herramientas

Xplico Decodifica Múltiples protocolos IPV4,IPV6,HTTP,SIP,FTP,IMAP,TCP,UDP,

SMTP Interfaz Web Linux Only ;-(

Page 15: Análisis Forense de Red

Sesión patrocinada por Megan Fox

Page 16: Análisis Forense de Red

DEMO

Wireshark + NetworkMiner

Page 17: Análisis Forense de Red

Herramientas

No TODO es automatizable (Nunca lo será…) Existen protocolos no documentados Datos cifrados Ingeniería inversa

Page 18: Análisis Forense de Red

Messenger

Page 19: Análisis Forense de Red

Messenger

Puede transmitir gran variedad de datos Conversaciones (Text Plain) Video & Audio (TCP OR UDP) Compartición Desktop Necesidad de diferentes puertos para

Transmisión & Escucha UDP WAN Network TCP Local Area Network

Page 20: Análisis Forense de Red

Messenger

Payloads en la comunicación 0x44 .- SYN/ACK 0x48 .- Autorización 0x4A.- Audio 0x62.- Vídeo 0x66.- Conexión

Page 21: Análisis Forense de Red

Messenger

Protocolo ampliamente utilizado Basado en borrador MSN Messenger Protocol

http://tools.ietf.org/id/draft-movva-msn-messenger-protocol-00.txt

Ingeniería Inversa http://www.hypothetic.org/docs/msn/ http://msnpiki.msnfanatic.com

Ingeniería Inversa Video Conversation Format Paper y Herramienta desarrollados por Ramiro Polla

(No es coña..) http://ml20rc.msnfanatic.com http://ml20rc.msnfanatic.com/vc_1_0.pdf

Page 22: Análisis Forense de Red

DEMO

Captura WebCam Messenger

Page 23: Análisis Forense de Red

Thanks Boss

Page 24: Análisis Forense de Red

Thanks Guys ;-)

Page 26: Análisis Forense de Red

TechNews de Informática 64

Suscripción gratuita en [email protected]