CURSO ONLINE: ANÁLISIS FORENSE DIGITAL EN PROFUNDIDAD
PRESENTACIÓN Desde hace unos años, estamos viviendo una convulsión en el área de la seguridad informática. Cada vez, la seguridad está tomando más peso en los procesos internos y externos de las organizaciones, las cuales empiezan a tomar conciencia de que la seguridad es una inversión a futuro. Por otro lado, cada vez son más frecuentes los ataques dirigidos a empresas y multinacionales de una forma que hasta ahora nunca habíamos visto. El objeto de estos ataques, aparte de tener control de los servidores y bases de datos, se centran en el usuario y la información que éstos disponen, ya sea personal o confidencial. El informe MANDIANT, con el grupo APT1, deja claro (independientemente del origen del atacante) que el malware y las intrusiones se han profesionalizado, hasta llegar a puntos que solo vale una revisión manual por parte de un analista para detectar donde se encuentra el fallo o el malware. En la era que vivimos, el antivirus pasa a ser una “comodidad” detectando muestras pasadas y muy difícilmente va a adelantarse a la ingeniería de los atacantes. Desde Securízame, Conexión Inversa, Csiete, DragonJAR y Ethical Hacking Consultores, les presentamos un novedoso curso de Análisis Forense en Profundidad, en el que veremos de una forma práctica los entresijos en la detección de intrusiones, análisis forense y peritaje. El curso tiene una duración de 48 horas y está orientado a administradores de sistemas o especialistas en el sector de la seguridad que ya dispongan de conocimientos medios o avanzados y quieran afianzar los conocimientos en el análisis forense.
Página 2
CONTENIDOS MODULO I -‐ Delitos Informáticos y Criminalidad en Internet -‐ 3 horas – Profesor: Álvaro Andrade • Terminología a emplear • Introducción a los delitos informáticos y la criminalidad en Internet • Conceptualización y Clasificación de los Delitos Informáticos. • Organismos Internacionales de Persecución y Represión del Cibercrimen. • Análisis de la legislación internacional. • Tipos de delitos reconocidos por la ONU. • Análisis técnico jurídico sobre "la Flagrancia" en Delitos Informáticos. • Jurisprudencia internacional. (Cómo encontrarla en segundos) MODULO II -‐ Informática Forense y Evidencia Digital – 3 horas -‐ Profesor: Álvaro Andrade • • • • • • • • • • • • •
Terminología a emplear Introducción a la Informática Forense Evidencia digital Vs. Evidencia Física Peritaje Judicial y Extra Judicial Procedimientos especiales para pericias informáticas Evidencia Digital Características de la Evidencia Digital Reglas de la Evidencia Digital para procesos judiciales Cadena de custodia y Cumplimiento en materia de evidencia Digital Principios Periciales Metodología de un análisis de informática forense Herramientas de Informática forense Elaboración del Dictamen Pericial
Página 3
MODULO III – Análisis forense en Windows -‐ 6 horas -‐ Profesor: Juan Garrido • Sistema operativo Windows o Diferencias entre Windows 7 y Windows 8 • Tratamiento de las evidencias o Análisis de navegación o Análisis temporal de la información o Búsquedas basadas en firmas o Análisis de la papelera de reciclaje o El registro del sistema o Prefetching en sistemas Windows o Copias en la sombra. Diferencias entre Windows 7 y Windows 8 • Análisis Forense de procesos o Procesos en Windows o Tipos de cuentas en Windows o Análisis y correlación de procesos o Relación de procesos, puertos y conexiones realizadas • Análisis Forense de logs o Las auditorías de los sistemas o Análisis de registros o Consolidación del logs o Correlación y forense Módulo IV: Análisis de sistema de ficheros NTFS, Los ficheros del registro de Windows. Análisis de la memoria en Windows. Indicadores de compromiso – 6 horas -‐ Profesor: Pedro Sánchez • Estructura interna de NTFS o Estructura de una partición o La tabla Maestra de Archivos (MFT) o Cabeceras e identificadores o Los Metadatos de ficheros o Ficheros de atributos $MFT, $LogFile, $Volume
Página 4
Ficheros Indice Cómo extraer evidencias de la tabla maestra de archivos Herramientas de extracción Recuperación de ficheros Cómo crear una línea de tiempo (Timeline) • Ficheros persistentes de entradas de registro o Setupapi o setuperr.log o miglog.xml o PreGatherPnPList.log o Fase de configuración en línea o Cómo extraer evidencias de información de dispositivos o Cómo obtener claves y datos del registro de Windows • La memoria en Windows o Arquitectura de la memoria en Intel 32 y 64 o Cómo obtener la memoria RAM y fichero Pagefile.sys o Cómo extraer contraseñas de la memoria o Cómo analizar Malware utilizando la memoria o Cómo obtener un ejecutable o fichero de la memoria o Herramientas de extracción o Cómo automatizar los procesos de búsqueda en memoria • Indicadores de compromiso o Ataques APT, ejemplos reales o Cómo se desarrolla un indicador de compromiso o Cómo se aplica en la búsqueda de una intrusión o Ejemplos de indicadores de compromiso o Búsqueda de ataques APT utilizando indicadores de compromiso o Aplicando Indicadores a la memoria RAM y a dispositivos o Inteligencia o Modelos Open Source para la mitigación de ataques o o o o o
Página 5
Módulo V: Análisis Forense en Linux -‐ 6 horas -‐ Profesor: Lorenzo Martínez • Análisis Forense a entornos Linux • Distribuciones Live Forenses • Forense de la memoria RAM • Análisis forense de sistemas de ficheros • Análisis de la memoria SWAP • Líneas de tiempo • Recuperación avanzada de ficheros • Recuperación de elementos clave • Cómo descubrir malware pasivo en el sistema • Caso práctico: escenario de un ataque Módulo VI: Logs, Rootkits e Ingeniería Inversa – 6 horas -‐ Profesor: Yago Jesus • Detección de patrones sospechosos o Análisis de logs o Correlación de logs o Integridad del sistema (binarios, kernel, procesos) o Obtención de evidencias • Rootkits o Fundamentos sobre rootkits o Tipos de rootkits o Detección de rootkits • Ingeniería inversa o Fundamentos de ingeniería inversa o Debuggers o Análisis estático de ejecutables o Análisis dinámico de ejecutables
Página 6
Módulo VII: Análisis forense en red y Antiforense -‐6 horas -‐ Profesor: Giovanni Cruz • Análisis Forense en red o Definición o Tipos de Captura o Análisis de Ataques de fuga de información • AntiForense o Definición o Retos del análisis o Principales técnicas Módulo VIII: Análisis forense en IOS -‐ 6 horas -‐ Profesor: Jaime Andrés Restrepo • Introducción -‐ ¿Por qué hacer análisis forense digital a un móvil? • Adquiriendo la evidencia digital o Adquisición desde un Backup de iTunes o Adquisición de copia bit a bit o Adquisición de copia lógica • Análisis de la evidencia adquirida • Análisis de Contactos, Llamadas, Mail, Fotos y Videos, Mensajes de Texto, Notas, Calendario de Eventos, Navegación desde Safari, Spotlight, Mapas, Notas de Voz, Preferencias del Sistema, Logs del Sistema, Diccionarios Dinámicos, Aplicaciones Third Party, Información Eliminada • Análisis Con Herramientas libres o gratuitas • Análisis Con Herramientas Comerciales • Recomendaciones adicionales para la entrega del informe Módulo IX: Análisis Forense en Android -‐ 6 horas -‐ Profesor: Luis Delgado • Plataforma Android o Arquitectura y modelo de seguridad
Página 7
• • •
• • • • • • • • • •
o ROM y BootLoaders o Android SDK y ADB o Emuladores o Acceso al dispositivo Entornos preconfigurados Consideraciones iniciales Análisis del sistema de ficheros (FAT & YAFFS) o Características principales o Directorios y ficheros de interés Evasión de restricciones de acceso Técnicas de análisis lógico Análisis de la SDCard Análisis de backups Elevación de privilegios Creación de imágenes de interés Técnicas forense tradicionales Otras técnicas de análisis Herramientas comerciales Reversing de aplicaciones
Observaciones: Los módulos 1 y 2 son una unidad indivisible de 6 horas.
Página 8
SOBRE EL PROFESORADO ÁLVARO ANDRADE
Es MCSE, Ingeniero de Sistemas Certificado por Microsoft. Lleva 12 años dedicado a la Seguridad informática e informática Forense como consultor en varias organizaciones gubernamentales como privadas en Bolivia, Ecuador y Panamá. Es asesor en materia de Inteligencia Informática e Informática Forense del grupo de inteligencia del presidente de Ecuador. Trabaja con la Policía desde hace 7 años como perito en informática forense en la investigación y solución de varios casos importantes donde el análisis forense en tecnologías de la información ha logrado dar solución a varias situaciones judiciales y extrajudiciales, tanto con la División de Análisis Criminal y Sistemas como con la División de trata y tráfico de personas. Creador y docente en el 2010 del Diplomado de Seguridad Informática Basado en la ISO 27001 en los módulos de Informática Forense y Delitos Informáticos en la Universidad Privada de Ciencias Administrativas y Tecnológicas. Docente para Bolivia, Argentina y Ecuador de la certificación internacional de Perito en computación Forense (Certified Computer Forensic Expert). JUAN GARRIDO Es un apasionado de la seguridad. Nombrado por Microsoft MVP Enterprise Security, es un consultor especializado en análisis forense y test de intrusión, trabajando en proyectos de seguridad desde hace más de 8 años. Autor del libro “Análisis forense digital en entornos Windows” así como de artículos técnicos publicados en prensa especializada y medios digitales. Juan es un ponente común en muchas de las conferencias más importantes a nivel nacional y del panorama internacional, como bien pueden ser NoConName, RootedCon, Defcon, Troopers, etc…
Página 9
Podrás encontrar referencias de artículos, presentaciones y Webcast directamente en su blog http://windowstips.wordpress.com además de su twitter (@tr1ana). PEDRO SANCHEZ Ingeniero Informático. Ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-‐testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-‐DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años. También colabora sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT), la Brigada de Investigación Tecnológicade la Policía Nacional (BIT), INTECO y Ministerio de Defensa. Ha participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde le concedierón la certificación OTAN SECRET. Actualmente es miembro de la Spanish Honeynet Project, fundador de Conexión Inversa (www.conexioninversa.com) y trabaja como Information Security y Forensics Consultant para dos grandes compañías como Google Inc. y Saytel. También es Perito Judicial Informático adscrito a la Asociación Nacional de Ciberseguridad y Pericia Tecnológica, ANCITE (www.ancite.es). LORENZO MARTINEZ Lorenzo Martínez Rodríguez es Ingeniero en Informática licenciado por la Universidad de Deusto (1996-‐2001). Especializado en seguridad informática, cuenta con certificaciones de seguridad como CISSP de ISC2 y CISA de ISACA. Dispone de una amplia experiencia laboral en empresas consultoras en mundo de la seguridad informática española, así como fabricantes de seguridad multinacionales.
Página 10
Actualmente dirige su propia compañía, Securízame (www.securizame.com), especializada en seguridad de sistemas y redes de comunicaciones. Lorenzo es co-‐fundador y editor del blog de seguridad en español Security By Default (www.securitybydefault.com). Asimismo, forma parte de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica, ANCITE (www.ancite.es). YAGO JESÚS Profesional con más de 10 años de experiencia en el sector de la seguridad informática, ha trabajado para importantes empresas como Telefónica, Caja-‐Madrid, sector defensa y administraciones públicas. Editor del blog Security By Default (www.securitybydefault.com), ha desarrollado multitud de herramientas relacionadas con la seguridad informática. Fundador de eGarante (www.egarante.com) GIOVANNI CRUZ Máster en Seguridad de la información con 8 años de experiencia en diferentes áreas como Ethical Hacking, Respuesta a Incidentes, Sistemas de Gestión de Seguridad de la Información e Investigación. Actualmente es el CEO de CSIETE, iniciativa de I+D+i en seguridad de la información para Latinoamerica, desarrolla proyectos como independiente, co-‐dirige el grupo Busy Tone orientado a seguridad en VoIP y UC y orienta diferentes cursos y entrenamientos en la región. Entre sus certificaciones se encuentran: GSEC, CEH, CFRI, CWSP, LA27000 y CEI.
Página 11
JAIME ANDRÉS RESTREPO Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-‐Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Creador de La Comunidad DragonJAR (www.dragonjar.com), una de las comunidades de seguridad informática más grandes de habla hispana. Dirige DragonJAR Soluciones y Seguridad Informática, empresa de consultoría y servicios de seguridad para Colombia y Latinoamérica. LUIS DELGADO Luis estudia el último curso del Graduado en Ingeniería de Tecnologías y Servicios de Telecomunicación en la Universidad Politécnica de Madrid. Actualmente trabaja como freelance realizando consultorías de seguridad (pentesting y auditoría de código, entre otros) además de impartir numerosos cursos tanto al sector público como a empresas privadas. Ha estado involucrado en proyectos en el sector de defensa, entidades financieras e importantes ISPs. Además se dedica a la seguridad Web&IM, protocolos inalámbricos y desarrollo e investigación en plataformas móviles (Android). Es colaborador del blog de seguridad Security by Default (www.securitybydefault.com)
Página 12
INFORMACIÓN GENERAL • El curso completo se ha estructurado en 8 módulos de 6 horas cada uno, según las diferentes materias cubiertas. • Este curso, que será impartido de manera online, se llevará a cabo en directo por cada profesor, en sesiones de dos horas por día. • El objetivo de cubrir un módulo por semana, permite al alumno asimilar cada tema, realizando las prácticas necesarias para ello. • Existirá una dirección genérica de tutoría para envío de dudas, consultas relacionadas con las materias relacionadas con el temario del curso. • Como plataforma para impartir el curso, se ha elegido la herramienta Cisco Webex. Cada alumno confirmado recibirá un usuario válido por correo electrónico. • A la finalización del curso, se expedirá un certificado de asistencia con aprovechamiento, avalado por las diferentes empresas de algunos de los profesores del curso, a saber: Conexión Inversa, CSiete, DragonJAR, Ethical Hacking Consultores y Securízame. • Las plazas para acceder a este curso son limitadas. Por ello, se ha definido un periodo de registro que va desde el 1 al 15 de Enero de 2.014. • Al ser el curso impartido desde y hacia Internet, una vez se llene el cupo, se analizará la cantidad de alumnos registrados para identificar la zona origen, España o Latinoamérica, y se propondrá un horario más adecuado para la zona desde la que se conecte la mayoría de los registrados. • El periodo de pago para la formalización de registro será del 15 al 25 de Enero de 2.014. • La organización se reserva el derecho de posponer el curso en el caso de que los pagos formalizados no superen el 75% de los registrados. • Toda comunicación con los alumnos registrados se llevará a cabo por correo electrónico exclusivamente.
Página 13
COSTES DEL CURSO Curso completo en formato individual: 825 € + 21% IVA Curso completo en formato grupo (máximo 5 asistentes): 1250 € + 21% IVA Curso por módulos de 6 horas en formato individual: 150€ + 21% IVA (por módulo) Importante: Los residentes fuera de España están exentos de pagar el impuesto del 21% Medios de pago aceptados: Transferencia bancaria o Paypal
Página 14
CALENDARIO PROPUESTO • Fechas de registro: 1 al 15 de Enero de 2.014 • Fechas de confirmación de pago: 15 al 25 de Enero de 2.014 • Inicio de curso: 10 de Febrero de 2.014 Las fechas estimadas para la impartición del curso son las siguientes:
Página 15
DUDAS Y CONTACTO Para cualquier duda que pueda surgir referente a este curso, puedes contactar con nosotros en: formacion@securizame.com, indicando “Forense INTL” como asunto del correo.
Página 16