27 abril 2016

Ya está aquí #x1redmassegura 2016!





La iniciativa X1Redmassegura surgió en 2013, de la mano de gente de la comunidad que, como en muchos otros casos (y según dicen ellos), derivó de un "Pues estaría bien hacer un evento de seguridad para familias." y su consecuente respuesta "No hay huevos..." Y ya sabéis lo que pasa cuando esa es la respuesta. Que se hace.

Tras esta iniciativa, entre otros, estaban los conocidos Juan Antonio Calles y Ángel Pablo Avilés, más conocido por todos como el GRAN Angelucho.  

El objetivo de este evento es precisamente concienciar y alertar a los asistentes, generalmente un público nada técnico, sobre los peligros que puede conllevar Internet. Cuando no has tenido la oportunidad de aprender algo desde niño, hacerlo de mayor ya cuesta más, por lo que hay que poner todo el empeño en enseñar lo mejor posible sobre términos y tecnologías que no siempre entienden, a quienes nos han enseñado a nosotros cosas que cuando éramos niños, tampoco entendíamos.

Es difícil hacer que un evento, sea técnico o no, se mantenga vivo después de 4 años, pero en x1redmassegura lo han conseguido, y este año 2016, ya vamos para la cuarta edición. Y digo vamos, porque he tenido el honor y el placer de participar como ponente en todas las ediciones que se han hecho, incluso una de ellas por videoconferencia desde el otro lado del charco.

Así que en esta edición, si Dios quiere volveré a participar en X1redmassegura. El título de la charla no sé si aún se puede revelar o no, pero para no perder la costumbre que llevo últimamente, irá de "Peritaje Forense". Y algunos diréis: "¿Vas a contar alguna de las charlas de Memorias de un Perito Informático Forense que has dado hasta ahora?". La respuesta es no. Primero porque en X1redmassegura, siempre he preparado una charla nueva y segundo porque como he dicho al principio, el público de este evento precisamente no es técnico, por lo que sí, contaré alguna historia relacionada, pero no tendrán nada (o lo mínimo imprescindible) técnico.

Así que nos vemos el 20 y 21 de Mayo, en el mismo sitio que se ha llevado a cabo los últimos años, la Escuela Técnica Superior de Ingenieros de Telecomunicación de la UPM en Madrid.

Tenéis todos los detalles en la web de X1RedMasSegura: www.x1redmassegura.com
Leer más...

18 abril 2016

VirusTotal, perteneciente a Google, es un servicio online gratuito que permite analizar archivos y URLs para identificar virus, gusanos, troyanos y otro tipo de contenido malicioso detectado por los motores antivirus y los escáneres web.

Desenmascara.me es un servicio online gratuito que analiza sitios web para identificar principalmente si son FAKE (relacionado con las falsificaciones online) o no.



¿Cómo puede estar un sitio web FAKE relacionado con el contenido malicioso?; déjame explicártelo.

Los productos falsificados, principalmente de moda y lujo han encontrado en Internet la vía mas sencilla de distribuirse. Existe una economía underground donde un gran numero de criminales distribuidos globalmente comercian con datos, información y servicios con el objetivo de defraudar a usuarios y empresas, este movimiento esta relacionado con la "commoditization" del mercado negro; una innovación "reciente" de los defraudadores.

Las organizaciones underground tienen unos roles claramente definidos con interdependencias, como por ejemplo; comprar y vender servidores web comprometidos, hosting de scam, exploit kits, y acceso a credenciales de usuario incluyendo nombres de usuario, contraseñas, números de tarjetas de crédito, y demás datos personales.


Recientemente Google publicó un articulo sobre una investigación relacionada con este tema: The underground market fueling for profit abuse. Los investigadores enlazaron las relaciones entre los diferentes roles especializados en esta economía underground, tal y como se puede ver en el gráfico siguiente:



cuya explicación, paso a paso se puede ver detallada en este vídeo:


ahí se aprecia claramente la especialización de cada actor. Esta economía underground es la culpable de la mayoría de amenazas online que sufrimos actualmente como; anti-virus fake, ransomware, troyanos bancarios y cualquier tipo de crimeware disponible en la actualidad.

Mientras leía dicho Paper, el siguiente gráfico llamo mi atención:

Porque IOCs para todas las amenazas descritas en dicho cuadro están disponibles actualmente en cualquier servicio proveedor de feeds tanto propietarios como open source para hacer algún tipo de:
  • Correlación: (se necesita ver el incidente A antes de que el incidente B salte)
  • Enriquecimiento: (para tener mas contexto sobre amenazas ya conocidas)
  • Validación: (el rango IP de un incidente esta incluido en un IOC) 

Pero para la estrategia Luxury knock-offs del centro de beneficios: Productos distribuidos con Spam, donde los margenes de beneficio son incluso mayores que en otros malwares mas conocidos como Clickfraud o incluso cercanos a Zeus, al menos yo, no era consciente de ningún feed que proporcionase dicha información tan especifica.

La integración de desenmascara.me con el servicio de escaneo de URLs de VirusTotal es sobre este centro de beneficios: Productos que se distribuyen a través de Spam, concretamente los Luxury knock-offs. Cualquier sitio web FAKE relacionado con las falsificaciones online sera clasificado por desenmascara.me como tal y como sospechoso en VirusTotal.

A continuación puedes ver algunas métricas sobre datos que desenmascara.me esta recopilando:

Pagina principal de desenmascara.me



Cuadro de mando con todas las marcas disponibles y estados de los sitios webs (no disponible públicamente todavía)

Disponibilidad de algunos sitios FAKE haciéndose pasar por la marca PRADA.

Para concluir, el servicio web desenmascara.me sirve para que cualquiera pueda verificar si un sitio web es oficial o no, y además toda la información recopilada se comparte con la comunidad (con esta integración en VT) para proporcionar mas contexto en incidentes de Seguridad. Si además trabajas en algún departamento de protección de marca digital,


entonces te interesará seguir a la cuenta de twitter desenmascarame (que tuitea automáticamente cada vez que un nuevo sitio web FAKE es detectado y avisa a la marca), o darte de alta en el servicio avisame, donde obtendrás todos los metadatos del sitio web afectando a tu marca.

Colaboración por cortesía de Emilio Casbas



Leer más...

15 abril 2016

Podcasts/Hangouts sobre informática forense y peritaje

Esta semana tuve la oportunidad de participar en dos sesiones de podcast usando Hangouts, en los que debatimos sobre diversos temas relacionados con la análisis forense y peritaje.

Uno de ellos, fue en el popular "Palabra de Hacker", en el que tiempo atrás me entrevistó Yolanda Corral. La del martes fue una sesión bastante divertida, en la que participamos el fiscal Jorge Bermudez, mi compañero de ANCITE José Aurelio García Mateos (AKA "peritolegal" para los amigos), la inspectora de policía Silvia Barrera, la abogada penalista Ruth Sala y el que escribe, Lorenzo Martínez.

Fundamentalmente, Yolanda Corral, moderó con una profesionalidad increíble, un debate que tuvo momentos divertidos (a tenor de las impresiones que iba viendo en el hashtag #palabradehacker), mezclados con los siempre diferentes puntos de vista entre los más profesionales más cercanos al mundo técnico y los relacionados con el mundo legal.

Varios me habéis preguntado por qué casi todos llevábamos una camiseta de algún superhéroe (o incluso un disfraz completo). La causa es que, de forma totalmente espontánea, Jorge apareció con una camiseta de Batman. Acto seguido, Silvia se ausentó y volvió con una de Superman,... me acordé que tenía una del Capitán América, así que fuí rápido a por ella. Y lo que nadie esperábamos es que Ruth apareciese con un disfraz de Spiderman. 

Podéis ver el debate, en el video que os dejo bajo estas líneas.




El segundo podcast sobre informática forense, fue para H4ckm33ts, organizado por mi buen amigo y excelente profesional del peritaje forense y de la seguridad en general, Javier Soria Pastor.

En este podcast, tuve el placer de participar junto a otro buen amigo, Cecilio Sanz, uno de los organizadores de Hackron, el congreso de seguridad de Canarias, uno de mis favoritos en España, CEO de la compañía de seguridad Alisios Informáticos y compañero perito en ANCITE.

Javier nos había preparado un set de preguntas, con un enfoque más académico y con un objetivo más de divulgación que el anterior, con las que los tres nos lo pasamos genial. Repasamos diferentes conceptos de peritaje forense, recordamos viejas historias del abuelo cebolleta en vidas anteriores... y quedamos en que el siguiente encuentro para hablar de forense fuese rodeados de unas cervezas.


Hasta ahora no había tenido la oportunidad de participar en este tipo de sesiones, y la verdad es que me ha parecido muy interesante y ameno el formato. 
Espero que os gusten!
Leer más...

01 abril 2016

Análisis forense: Lo que había, lo que hay,... y lo que habrá

El mundo del peritaje forense ha cambiado mucho en estos años. Todavía recuerdo cuando en los primeros juicios a los que me presentaba comentaba en el informe que las evidencias se habían extraído con un Helix y marcaba la integridad de las evidencias con MD5. Por aquel entonces no había mucho escrito sobre forense, y era muy complicado explicar las cosas a alto nivel.

Después, y como todo en esta profesión, se fue actualizando más y más el campo del peritaje hasta el día de hoy, en el que existen numerosas herramientas, procedimientos y aproximaciones para extraer una evidencia.

Y aquí es donde surgen nuevos problemas. Ya no vale con marcar las evidencias con MD5, porque tanto jueces como abogados te pueden tirar las mismas alegando colisiones. Con las herramientas pasa un poco lo mismo. Personalmente he visto cómo en determinados juicios, se han tirado evidencias porque han logrado demostrar que la solución utilizada para la extracción de las mismas no lo hacía correctamente.

Del peritaje forense nació el contra-peritaje, que consiste básicamente en desmontar – de una manera técnica y a bajo nivel– las evidencias presentadas en un caso. Y para desmontar las evidencias no suele valer un “Le pasamos esta herramienta gratuita y como podéis comprobar….”, porque en ciertos escenarios, esa evidencia no valdrá nada ante un abogado que realmente sepa de lo que está hablando.

Cualquier perito decente os recomendará sin duda la utilización de herramientas como Encase o FTK, y no porque sean más o menos caras, sino porque en determinados escenarios, gracias a la mera utilización de la misma tendréis el caso ganado. Pensad por un momento un caso en donde tengáis que extraer información de determinados ficheros alojados en un disco duro con un sistema operativo de cualquier tipo, en el que no sólo residen esos ficheros, sino que también se encontrarán ficheros de carácter personal como fotografías o vídeos.

Gracias a estas herramientas y/o frameworks, los peritos se pueden concentrar en la búsqueda sin importar el tipo de dato que se encuentre en el sistema operativo. Más de un caso se ha caído debido a que en la búsqueda de esa información, el perito se topó con directorios que se encontraban fuera del ámbito de actuación y que no debería ver y/o analizar.

Hay que aplicar la medida justa para extraer la evidencia, ni más, ni menos. El conocimiento del entorno tanto a alto como a bajo nivel, así como la elección – o la fabricación - de la herramienta determinarán una buena actuación, amén de la profesionalidad del perito a la hora de llevar el caso. Porque no olvidéis que os citarán como experto en la materia.

También es importante tener amigos. En este caso, y dado la fragilidad de este campo, se recomienda que los peritos pertenezcan a algún tipo de asociación. Y por asociación quiero decir algo serio que resuelva las dudas puntuales que pueda tener un profesional. Para el caso que nos ocupa, y aquí en España tenemos ANCITE, que brinda muchos servicios y ayudas a los profesionales que día a día se enfrentan a juicios.

Y después tenéis a gente como Pedro Sánchez, Lorenzo Martínez o un servidor para echaros un cable siempre que lo necesitéis y esté dentro de nuestra mano. Como sabéis, Securízame organiza todos los años un curso de análisis forense para profesionales del sector. Gracias a estos cursos se han podido ver y estudiar escenarios nunca vistos como por ejemplo análisis de servicios basados en SQL Server, Exchange o Active Directory, por citar algunos en los que he sido invitado como profesor.

Como cada año, y anticipándonos a nuevos escenarios, el curso de este año está liderado por grandes profesionales del sector como por ejemplo Sergi Alvarez (@trufae), el cual es uno de los desarrolladores principales de radare, herramienta ampliamente utilizada en forenses de tipo avanzado y en donde se requiere un nivel de detalle importante en cuando a la presentación de evidencias.

También estará José Antonio Guasch (@secbydefault), el cual es uno de los editores de este humilde blog y reconocido profesional que ha sido invitado por Securizame para hablar a bajo nivel de navegadores, así como las buenas prácticas a la hora de montar un laboratorio forense, junto con Lorenzo Martínez (@lawwait).

El incombustible Pedro Sánchez (@conexioninversa) participará esta vez enseñándonos todo lo relacionado con Incident Response, disciplina que cada vez más se está demandando en clientes finales.

El gran Toni de la Fuente (@ToniBlyx) ha sido invitado para que nos enseñe cómo enfrentarnos a casos forenses en donde la información resida en la nube, algo que ya forma parte de nuestra rutina diaria.

La parte de Yago (@YJesus), editor también de este blog y creador de herramientas como unhide, es la de Backdooring, ocultación y búsqueda de tramas, no sólo en el sistema, sino también en red.

Por mi parte (@tr1ana) yo he sido invitado para dar la parte de OS en Windows. Pero no me voy a centrar este año en registro o ficheros. Este año toca centrarnos en servicios como Cortana (Sí, Cortana!), la interfaz Metro o la integración de aplicaciones con el escritorio. También dedicaré un apartado especial al análisis de memoria RAM, pero esta vez Volatility se quedará en el cajón y lo haremos mediante herramientas nativas de Microsoft, como son WinDBG o SysInternals.

En la URL del curso tenéis tanto el temario como horarios y profesores implicados en el mismo. Por mi parte, deciros que os veo en unas semanas para seguir explorando esta maravillosa disciplina.


Juan Garrido
MVP Enterprise Security
Leer más...

30 marzo 2016


Que levante la mano quien gestione uno o más servidores de correo electrónico. Y que sigan con la mano levantada los que tengan esos servidores de forma dedicada. 

A la hora de configurar un servidor de correo, hay varios puntos a tener en cuenta: que si no sea open relay, que requieran autenticación antes de envío, que los algoritmos de autenticación y firma no sean débiles, que los certificados utilizados tengan una longitud de clave adecuada, etc, etc,...   

Sin embargo, el post de hoy tiene una mezcla entre seguridad y sistemas, y está pensado en verificar varios puntos que hacen que otros servidores de correo verifiquen que el servidor es correcto y que no marque como spam, o no le asigne puntos al menos por las cabeceras o por el servidor de donde viene. Si el contenido del correo contiene viagra, Rolex, invoice, archivos con doble extensión, etc,... pues ya no se puede garantizar, pero al menos que el servidor esté lo más correcto posible.

Para ello vamos a utilizar un servicio online gratuito, llamado www.mail-tester.com. Se nos muestra una dirección de correo aleatoria de mail-tester.com.


La forma de hacer la prueba es tan fácil como enviar un correo electrónico desde un cliente que salga desde el servidor de correo electrónico que queremos comprobar a la dirección propuesta por mail-tester.

Una vez enviado, se pulsa en "Then Check Your Score" y se puede ver el análisis realizado por el servicio. Inicialmente se ve un resumen:


¿Qué puntos de control se verifican?
  • Análisis con Spamassassin
  • Comprobaciones de SPF, DKIM, DMARC, Resolución inversa 
  • Verificación del contenido del correo
  • Verificación en listas negras o blacklists
Viéndolo en detalle, la primera verificación la hacen con spamassassin. Es decir, qué diría este software sobre el correo que enviaste. Hay ciertas comprobaciones que spamassassin ya hace, que serán repetidas con las que hace mail-tester posteriormente, pero es una métrica tan válida como otra cualquiera.



Las más importantes, para mi gusto, son las siguientes: 

  • Se comprueban registros SPF, que como se puede ver en el enlace, son registros DNS de tipo TXT que autoriza a qué máquinas (por dirección IP, redes en formato CIDR o por nombre DNS) pueden enviar correos electrónicos. El servidor que recibe el email, comprueba que la dirección IP de donde viene la comunicación de envío de correo está dentro de los hosts autorizados.
  • Se comprueba la firma DKIM que se envía en las cabeceras del correo electrónico. No es el objetivo explicar cómo se configura DKIM, pero en esencia, el servidor de correo emite una firma que va en la propia cabecera. Dicha firma se puede verificar con la clave pública, complementaria a la privada que emitió la firma, que se puede rescatar de un registro DNS de tipo TXT. Dicho registro viene notificado en la propia cabecera DKIM. Si la firma es correcta, es otra forma de verificar que el servidor de correo está autorizado para enviar el mensaje analizado. Hay una buena saga de posts de Chema Alonso que explican en detalle los internals de DKIM



  • Se comprueba la existencia y validez de un registro de tipo DMARC. No conocía bien este tipo de registro (de hecho la primera vez que hice la prueba me dio que tenía fallo por este item). Su funcionamiento está muy bien documentado en https://dmarc.org/overview/. Si sólo queremos su existencia (con esto ya no nos penaliza la comprobación), pero sin aplicar ninguna política, tendrá que tener un formato como este: _dmarc.securizame.com TXT "v=DMARC1\; p=none".
  • Comprobación de equivalencia de resolución inversa de DNS de la IP origen, con el dominio que envía el correo electrónico. Puede que esto no sea idéntico siempre, si se piensa en que un servidor de correo puede albergar cientos de dominios, y la resolución inversa de la IP, corresponde a uno de ellos (o incluso a ninguno, si se piensa en un ISP). 


La última de las comprobaciones se hacen relativas a la dirección IP, que no se encuentre en ninguna lista negra (de las muchas que hay). Es lo que hacía la herramienta AmISpammer, uno de mis proyectos de abandonware.



Respecto a la configuración de DKIM, SPF y DMARC, tenéis una excelente guía para entender el funcionamiento y afinamiento en la wiki de Zimbra.

Como he dicho al principio, no garantizamos la seguridad del servidor de correo por pasar correctamente esta checklist, pero por lo menos, os aseguráis (o en una muy buena medida) que la mayoría de los correos electrónicos que envíe vuestro servidor, no irán a parar a la carpeta Spam, si van dirigidos a servidores que aplican políticas de antispam estrictas como Gmail, Outlook, etc,... 



Leer más...

29 marzo 2016

Recomendaciones de twitters de seguridad en inglés



Hace un montón de tiempo, Twitter era algo que ni imaginábamos que convertiría en la potente herramienta que es, en la que no creíamos que la forma en la que nos enteraríamos de las cosas sería algo diferente a leer diariamente el contenido de las URLs que almacenábamos en una carpeta de favoritos en el navegador. Era la época en la que leíamos y seguíamos todo aquello que nos interesaba vía RSS y que no contábamos con que Google descontinuaría Reader. Y a partir de ahí… el silencio.

Twitter lo veíamos como un programita más, que consumía datos de la tarifa de nuestros teléfonos, y segundos o minutos de nuestro tiempo. Lo mirábamos recelosos de que sirviera para algo más serio que poder compartir dónde estábamos, o contenido más bien banal.

Sin embargo, Twitter se ha convertido en una herramienta muchísimo más potente y universal. Desde conversaciones kilométricas con varios nominados (o mencionados) en los 140 caracteres, que apenas dejan sitio para lo que quieres decir, reflexiones trascendentales sobre la vida que generan un montón de RTs, mecanismo de comunicación de personajes públicos,…. así como también una de las formas en que los profesionales de cada sector, pueden permanecer en contacto y actualizados sobre noticias, eventos y reuniones. 

En nuestro sector, el de la seguridad, ya hizo Alex hace años una excelente recomendación con los perfiles de twitter que en la época eran fiables y aportaban contenido de calidad a quienes nos dedicamos profesionalmente a la seguridad. 

En la actualidad, esas recomendaciones siguen siendo imprescindibles en el TL de cualquiera que quiera estar al día de lo que se cuece en el sector, aunque en este post quiero añadir alguno más. En concreto, perfiles de gente con nombre y apellidos, que lo que comparten u opinan, está realmente relacionado con seguridad en un alto porcentaje. Obviamente al ser cuentas personales, algún tweet o RT no relacionado puede haber, pero en general, compensa. 

@securityaffairs -> Pierluigi Paganini, italiano, CISO de Bit4Id. Las noticias se repiten como el Telediario 24 Horas, pero a mi juicio merece la pena

@ivanristic -> Ivan Ristic, creador de mod_security a quien ya entrevistamos en SbD hace tiempo. Noticias y enlaces sobre criptografía, aunque de seguridad en general.

@dinosn -> Nicolas Krassas, CSO de Effortel en Suiza.

@binitamshah -> Binni Shah, de India, sobre seguridad en Linux fundamentalmente, pero no exclusivamente de ese sistema operativo.

@mikko -> El conocido Mikko Hypponen, CRO del fabricante de antivirus F-Secure. Quizá aparte de compartir noticias de seguridad, pero al ser una cuenta personal puede haber de todo, aunque en general, merece la pena seguirlo.

@snowden -> Héroe para muchos, traidor para el gobierno americano, Edward Snowden ex-empleado de la NSA, exiliado ahora en Rusia. Son más opiniones personales ante noticias del día a día, generalmente escándalos a los que estamos lamentablemente acostumbrados, pero con la visión de una de las personas que ha estado dentro de una de las agencias gubernamentales más poderosas del Mundo. 

Nota: Los perfiles indicados, son recomendables según mi juicio y criterio. Si los sigues y por cualquier motivo no te convencen, lo siento. Ya sabes: Unfollow y a otra cosa. 

¿Hay más perfiles recomendables? 
Seguro que sí, mejores y peores que los que digo aquí. No sólo no lo dudo, sino que estaré encantado de tener buenas fuentes de las que leer diariamente y compartir con los lectores de SbD. 
Si crees que hay algún otro que debamos recomendar, indícanoslo en comentarios y lo evaluamos. 
Leer más...

21 marzo 2016

Security Onion: Distribución GNU/Linux para análisis de red




Muchas veces nos toca analizar el tráfico de red intercambiado entre una máquina e Internet, o incluso comprobar si un equipo tiene alguna variedad de malware que lleve a cabo actividad de red, ya sea para atacar a otras máquinas o para comunicarse con el C&C de una botnet.

En esas situaciones, o simplemente en un despliegue preventivo de sondas IDS, la distribución Linux opensource Security Onion,  de la que hablo en este post, puede servir de gran utilidad. 

Básicamente, incorpora de forma preinstalada, diversas herramientas ampliamente conocidas, un IDS como Snort y/o Suricata (nos da a elegir qué herramienta deseamos usar), GUIs para monitorizar los eventos de forma automática (Squert, Sguil), herramientas específicas para análisis de PCAPs (Wireshark, NetworkMiner) y herramientas populares de análisis forense de red como (BroXplico). De algunas de ellas hemos hablado ampliamente en SbD en vidas pasadas.



En muchas ocasiones, pensamos que puede resultarnos interesante montar y elegir qué herramientas queremos habilitar para nuestro despliegue de sondas, y generalmente cuando me preguntan o en diversas formaciones, recomiendo hacer siempre una instalación mínima e instalar las herramientas justas y necesarias para cada caso. 

Sin embargo, a veces la configuración de determinadas herramientas como Bro, o la integración con PF_RING, para entornos de grandes necesidades de tráfico, pueden resultar problemáticas, y se agradece tener un punto de partida desde el cuál empezar con varias herramientas ya integradas, pudiendo deshabilitar aquello que no nos interese, dejando el resto.

En estos casos, es cuando Security Onion me ha resultado de gran utilidad, puesto que en pocos minutos ya trae todo lo necesario y con un único wizard se configura la mayoría de los productos. 


Está basada en Ubuntu y viene con entorno gráfico, así como varias herramientas que se pueden gestionar vía web. 

Una de las herramientas más interesantes que trae es ELSA (Enterprise Log Search and Archive), que permite hacer la vida cómoda al analista, de forma gráfica, cuando tiene que interactuar con Bro.


Con esta solución, se puede llegar a hacer un buen NSM (o sistema de gestión de red) permitiendo configurar un nodo como servidor y el resto como sondas, de manera que se pueda consultar toda la información recopilada desde un mismo punto centralizado.   

Por buscarle una pega, en la última versión de Security Onion, han eliminado de la lista de herramientas una de las interfaces para Snort que más me gustan, que es Snorby. Aun así, supongo que puede seguirse instalando manualmente.

Y si ya tengo un despliegue de sondas hecho, pero me interesan algunas de Security Onion ¿Qué hago?

Bueno pues otra de las ventajas que tiene Security Onion, es que no es necesario que instales la distribución entera y partas de ella, sino que puedes incorporar únicamente los repositorios al sources.list de otra distribución basada en Debian/Ubuntu e instales aquellos paquetes que te interesan, o todos juntos.

Para el nuevo curso de Análisis Forense Digital en Profundidad que vamos a dar en Securízame, en el módulo I, en la parte en la que daré pautas sobre cómo construir un Laboratorio Forense, demostraré cómo incorporar y configurar las herramientas de Security Onion en una distribución específica para forense como es Caine, de la que ya hemos hablado en SbD.

Bajo estas líneas, os dejo una lista de videos de Security Onion, en el que hay un How-to de cómo hacer la instalación, configuración y parte de la operación. 


Leer más...