Resultados 1 al 6 de 6

Tema: Formacin anlisis forense/hacking tico

  1. #1 Formacin anlisis forense/hacking tico 
    Iniciado
    Fecha de ingreso
    Sep 2011
    Ubicacin
    espaa
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Me gustara formarme en anlisis forense y hacking tico para poder aplicarlo como complemento en mi trabajo de auditor de sistemas. Me podran recomendar manuales y programas para adquirir una base decentilla?

    Tengo cierta base tcnica debido a la carrera (teleco) y a que llevo unos aos trabajando en el mundo de la auditora de sistemas, pero nunca me he especializado en estos temas.

    Llevo unas semanas trabajando con deft 6.1, sleuthkit, autopsy y Hirens boot 14.1, pero ni con mucho he conseguido dominarlos.

    Cualquier recomendacin ser bien recibida y estoy dispuesto a compartir mis escasos conocimientos (de momento, jeje) con todos.

    Muchas gracias por adelantado.

    Saludos
    Citar  
     

  2. #2  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicacin
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Lo primero bienvenido/a. Las dos temticas de las que hablas son mundos a partes, pero ligados...

    El hacking tico est relacionado con el testing, mientras que el anlisis forense, est ms relacionado con la recopilacin de informacin. A veces, en ciertas ocasiones, para hacer testing, es necesario hacer previamente anlisis forense... recopilar cdigo, datos, hacer ingeneniera inversa, etc... y una vez que tienes esos datos, haces pruebas funcionales, de seguridad, de estrs, etc... sobre el cdigo.

    Me explico, un usuario cualquiera de una aplicacin, la ve como "una caja negra", no sabe lo que tiene "por dentro", ni cmo funciona... hacer hacking tico significa, que el usuario ya no es cualquiera, sino alguien que intuye cmo puede funcionar "por dentro", e intenta "probar" (hacer testing), para ver cmo reacciona la aplicacin para una entrada de datos introducida a conciencia.

    Ejemplo: aplicacin web que contiene un formulario en el que se introduce una fecha. Hacking tico sera "comprobar que la fecha introducida es correcta" y no admite valores del tipo: "68/56/9834", o "mellamopepito". Se intuye que la aplicacin debe validar:

    1 Que se introduce una cadena del tipo: "xx/xx/xxxx" o "xx-xx-xxxx", y adems,
    2 Que x slo puede ser un numero [0-9], y adems,
    3 Que los dias, los meses y el ao, estn dentro de los rangos permitidos para la coherencia de la aplicacin.

    Para este ejemplo, si la aplicacin falla, est frente a un bug. Si adems en los requisitos de la aplicacin est contemplado que se debe validar las fechas antes de almacenarse en cualquier sitio, entonces el bug es adems un defecto.

    Evidentemente para las fechas est muy bien, y cualquiera que muestre atencin por ello puede darse cuenta y ponerse a "trastear". A veces, encontrar bugs ocurre de forma involuntaria... yo quera introducir "02/03/1984", y en vez de ello puse "02/93/1984"... puse un 9, en donde iba un 0, involuntariamente... Que el desarrollador contemple que esto puede pasar, y que contemple tambin que el usuario se puede dejar una sesin abierta y su gato est encima del teclado pulsando teclas aleatoriamente, entonces va por buen camino para securizar su aplicacin.

    A veces, slo basta darse cuenta cmo viajan los datos, desde que salen del navegador (cliente), pasan por tu interfaz de red (ya sea cableada o inalmbrica), y si se pueden manipular por el camino antes de que lleguen a su destino, el servidor web y la base de datos (si la hay). Durante este viaje, para el caso de las aplicaciones web y cliente/servidor, puedes hablar de tcnicas de hacking tico cmo por ejemplo, del lado del cliente: desde un simple spyware que monitorice todo lo que haces en tu navegador, proceso que se ejecuta en tu sistema operativo, a un XSS, SQL injection, RFI, Session Poissoning, etc... o en tu red local: sniffing o un MITM.

    Por el contrario, un anlisis forense, se basa ms bien en intentar desvelar cmo funciona esa aplicacin "por dentro", en convertir esa "caja negra" en una "caja blanca", para ver su cdigo, su circuito o en definitiva "cmo funciona por dentro". Normalmente las tcnicas de anlisis forense consisten en hacer reversing (ingeniera inversa) del producto final. Y cuando digo producto, me refiero a una aplicacin, un sistema operativo, o cualquier otra cosa... a saber, por ejemplo un mvil o un frigorfico que te hace la compra online.

    Ocurre que a veces no siempre se dispone del soporte fsico o del cdigo al que se desea hacer reversing. En tal caso, se recurre a lo que en la terminologa del testing se llama "disear un driver". Un driver es una porcin de software o hardware que emula el comportamiento real de un sistema para llevar a cabo tus pruebas de "hacking tico", normalmente mquinas virtuales o emuladores. Para hacer estos drivers, es necesario que se de una de estas dos posibilidades:

    1 O eres el desarrollador, y conoces el sistema.
    2 Haces reversing para ver su funcionamiento y emularlo.

    Si dispones de un driver, es porque se conoce el funcionamiento de ese sistema. Por lo que puedes "probar" y hacer tu hacking tico, sin daar el sistema real. Puedes disear un "stub", en la terminologa del testing, para probar la eficacia del sistema (del driver).

    Evidentemente, disponiendo del driver, del emulador, y conoces cmo funciona "por dentro", es ms fcil hacer "hacking tico". Por eso, es mucho ms fcil hacer hacking tico, si previamente se hace anlisis forense.

    Si ni eres desarrollador, ni es posible hacer reversing (porque no siempre se puede), pero est estandarizado o normalizado el funcionamiento del sistema, entonces, a partir de una serie de datos que necesita ese sistema, puedes obtener gran informacin, recuperar datos o desvelarlos. Un ejemplo de ello, lo tienes por ejemplo con la encriptacin. Las wifi's por ejemplo. Se conoce la encriptacin WEP, y a partir de una captura de paquetes, puede descifrarse los datos contenidos en esos paquetes. O sin ir ms lejos, tienes por ejemplo el caso de recuperacin de datos en un disco del cual se conoce su tabla de particiones, o si no, vmonos al formato GIF o MP3... podra recuperarse una imagen o un audio daado, puesto que se conoce la estructura de estos ficheros.

    Igualmente, una cosa muy comn en el anlisis forense, que no incluye reversing, y se basa exclusivamente en recopilar informacin, est en los metadatos... datos que parecen no estar, pero que si que estn. Tal es el caso de un simple fichero en tu sistema operativo (hora de creacin, acceso, permisos, etc...), o una simple fotografa hecha con cierta cmara o cierto mvil, para saber la bicacin geogrfica en coordenadas en donde se hizo la foto, la fecha, modelo de la cmara, etc... Algo que, sinceramente, desconozco si es viable para utilizar como pruebas en un juicio, pero que si que puede ayudar para realizar investigaciones. Del mismo modo, conocer el formato de cierto fichero puede ayudar a saber si fue manipulado o no.

    En fin, se tiene dos grandes campos, aparentemente independientes, pero ligados.

    Un saludo.
    ltima edicin por hystd; 14-09-2011 a las 00:34
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Sep 2011
    Ubicacin
    espaa
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Muchas gracias por la aclaracin hystd. Da gusto que leer a alguien que sabe tanto y lo explica tan claramente.

    Voy a intentar ser ms especfico respecto a mis espectativas, puesto que no pretendo abarcar todo.

    Lo que pretendo es aprender la parte de anlisis forense a travs de metadatos, puesto que no soy programador ni tengo habilidad para ello. Tambin me interesa la parte del cifrado de datos.
    Y referente al hacking tico, en la parte de wireless ya he practicado con lo tpico de Wifislax, pero me gustara aprender ms de eso y de la parte de descubrir debilidades (SQL Injection, Session Poissoning...). Tambin me motiva bastante la parte de red local: sniffing o MITM (Man in the middle).

    Y s, como bien has dicho, creo que ambas reas son complementarias desde el punto de vista que pretendo darle. Voy a intentar dar mi punto de vista: al combinar ambas, se puede obtener bastante informacin para digamos, detectar y localizar el fraude generado por una empresa o un empleado. Se puede analizar un ordenador mediante todas las herramientas basadas en linux (o windows) existentes y conocer mejor los hbitos, posibles passwords o los procesos principales que corren en el sistema. Y con dichos conocimientos, es ms facil orientar los "ataques" o incluso hacerlos desde dentro al habernos "adueado" de las claves o identidad del usuario del ordenador.
    ej: si un ordenador trabaja con una maqueta corporativa (versin personalizada de un SO como windows) que obliga a la identificacin del usuario como primera fase para poder usar el ordenador y que dicha identificacin es posterior a la identificacin de windows, podemos iniciar el ordenador con un kernel de linux, explorar cuales son los procesos iniciales que se ejecutan, identificar los que obligan a la autentificacin del usuario y modificarlos para que no se ejecuten la prxima vez que se inicie el sistema. Y ya una vez dentro, investigar las claves almacenadas, acciones realizadas, registros, mensajes, programas,...

    De igual forma, se pude usar el hacking para introducirse en un sistema o analizar trfico para descubrir informacin que posterior se puede utilizar para optimizar un anlisis forense.

    No se si me he explicado o estoy confundiendo conceptos, de momento son algunas de las pruebas que he hecho yo. !Cualquier correccin ser bien recibida y aprendida!

    Alguna recomendacin para documentarme?
    Citar  
     

  4. #4  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicacin
    HackHispano/SM
    Mensajes
    7.733
    Descargas
    30
    Uploads
    8
    Tambin te recuerdo el subforo de Formacin:

    http://foro.hackhispano.com/forumdisplay.php?f=73
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Sep 2011
    Ubicacin
    espaa
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Muchas gracias clarinetista, pero mi idea es ms bien de autoformacin. No tengo tiempo para cursos presenciales.
    No hay viento favorable para el hombre que no sabe hacia donde va.

    Schopenhauer
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Oct 2011
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    gracias men1!!!!!!!!!!!!!!!!!!!!!!!!!
    Citar  
     

Temas similares

  1. Anlisis forense en Espaa
    Por biyonder en el foro GENERAL
    Respuestas: 1
    ltimo mensaje: 09-11-2010, 14:50
  2. Respuestas: 1
    ltimo mensaje: 11-09-2009, 17:32
  3. Anlisis forense a un router Cisco
    Por LUK en el foro GENERAL
    Respuestas: 0
    ltimo mensaje: 24-07-2008, 19:11
  4. Respuestas: 0
    ltimo mensaje: 24-07-2006, 01:40

Marcadores

Marcadores

Permisos de publicacin

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •