Pensaba resumir los dos días en la NoConName que se ha celebrado esta semana, pero revisando los blogs que suelo leer encontré que Iván ya lo había hecho con dos entradas ([1] y [2]), una para cada día, Así que mejor centramos nuestro artículo en la charla que junto con Francisco Alonso hemos dado este año.
Inicialmente sabíamos que Blueliv y ackstorm, iban a diseñar y patrocinar un concurso llamado "La iluminación de Randa" que trataría sobre un reto forense en un caso real, buscando no solo el detalle técnico sino también la perspectiva de gestión y legal.del incidente. El reto era una simulación de una infección de malware en un banco y explicar cuál sería el proceso para la contención, eliminación y que puntos de control habría que añadir o modificar, así como las contramedidas para que no se repitiese en el futuro. Para jugar nos facilitaban una imagen de la memoria y una captura de tráfico. Así como un mapa de red y algunos detalles técnicos de su arquitectura.
Nuestra propuesta de charla para el calls for papers era resolver este juego y contar como se había hecho, pero sin optar por los premios.
Luego Isec-Auditors presentó otro concurso forense más tradicional en el que dada una imagen de disco se solicitaba el título de una película.
La organización nos pidió que también lo resolviéramos y presentáramos junto con lo que habíamos propuesto. Por lo que también se preparó.
Para solucionar de la mejor forma posible "La iluminación de Randa", se ha contribuido con la herramienta de análisis forense de memoria volatility, y Francisco ha hecho un parche para darle soporte para Windows Vista SP0, que actualmente ya esta integrada en su svn.
También se encontraron varios 0days en el panel de control de SpyEye, y se hizo una demo sacando la contraseña de acceso.
Esta es la presentación con las soluciones:
Ambos retos por si quereís probar:
Forense: http://noconname.org/concursos/okin.dd.bz2
Iluminación de randa: http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz
Prometo contar el solucionario técnico muy pronto.
En cuanto a los ganadores y los premios, el forense se entregó físicamente al tercer ganador. El participante decidió llevarse una caja sin conocer el contenido frente a un descuento de un curso completo del CEH del 50%. Ganó un precioso calentador de tazas café USB. En el caso de la Iluminación de Randa, desgraciadamente quedo desierto, asi que los patrocinadores decidieron darnos a nosotros el premio.
4 comments :
Hola!
Muchas gracias por vuestra participación, fue una resolución perfecta!
Un saludo
La verdad es que el premio os lo mereciais, aunque hubiese más participantes.
Muy buen trabajo!
Me encantó vuestra resolución de los concursos. Una pena que no hubiera tenido tiempo para participar. Los premios son más que merecidos.
PD: Una pena lo del exif
Seifreed un placer ponerte cara. Gracias a todos, sobre todo nos lo pasamos muy bien resolviendolos y enseñando una forma de resolverlos. Ahora toca apuntarse al reto de Securitybydefault el día 15! no hagais planes!
Publicar un comentario