23 octubre 2010

Los concursos NoConName 2010

Pensaba resumir los dos días en la NoConName que se ha celebrado esta semana, pero revisando los blogs que suelo leer encontré que Iván ya lo había hecho con dos entradas ([1] y [2]), una para cada día, Así que mejor centramos nuestro artículo en la charla que junto con Francisco Alonso hemos dado este año.

Inicialmente sabíamos que Blueliv y ackstorm, iban a diseñar y patrocinar un concurso llamado "La iluminación de Randa" que trataría sobre un reto forense en un caso real, buscando no solo el detalle técnico sino también la perspectiva de gestión y legal.del incidente. El reto era una simulación de una infección de malware en un banco y explicar cuál sería el proceso para la contención, eliminación y que puntos de control habría que añadir o modificar, así como las contramedidas para que no se repitiese en el futuro. Para jugar nos facilitaban una imagen  de la  memoria y una captura de tráfico. Así como un mapa de red y algunos detalles técnicos de su arquitectura.

Nuestra propuesta de charla para el calls for papers  era resolver este juego y contar como se había hecho, pero sin optar por los premios.

Luego Isec-Auditors presentó otro concurso forense más tradicional en el que dada una imagen de disco se solicitaba el título de una película.

La organización nos pidió que también lo resolviéramos y presentáramos junto con lo que habíamos propuesto. Por lo que también se preparó.

Para solucionar de la mejor forma posible "La iluminación de Randa", se ha contribuido con la herramienta de análisis forense de memoria volatility, y Francisco ha hecho un parche para darle soporte para Windows Vista SP0, que actualmente ya esta integrada en su svn.

También se encontraron varios 0days en el panel de control de SpyEye, y se hizo una demo sacando la contraseña de acceso.

Esta es la presentación con las soluciones:




Ambos retos por si quereís probar:

Forense: http://noconname.org/concursos/okin.dd.bz2
Iluminación de randa: http://noconname.org/concursos/NcN_2010_Randa_Evidencias_Concurso.tgz

Prometo contar el solucionario técnico muy pronto.

En cuanto a los ganadores y los premios, el forense se entregó físicamente al tercer ganador. El participante  decidió llevarse una caja sin conocer el contenido frente a un descuento de un curso completo del CEH del 50%. Ganó un precioso calentador de tazas café USB. En el caso de la Iluminación de Randa,  desgraciadamente quedo desierto, asi que los patrocinadores decidieron darnos a nosotros el premio. 

Nuevamente, damos las gracias a la organización de la NcN y sus patrocinadores ackstorm y Blueliv. No solo por el regalo, que es francamente estupendo, si no que también por un gesto tan carismático.

¡¡Nos vemos en la NcN2k11!!

4 comments :

Anónimo dijo...

Hola!

Muchas gracias por vuestra participación, fue una resolución perfecta!

Un saludo

Grensen dijo...

La verdad es que el premio os lo mereciais, aunque hubiese más participantes.

Muy buen trabajo!

blast3r dijo...

Me encantó vuestra resolución de los concursos. Una pena que no hubiera tenido tiempo para participar. Los premios son más que merecidos.

PD: Una pena lo del exif

Unknown dijo...

Seifreed un placer ponerte cara. Gracias a todos, sobre todo nos lo pasamos muy bien resolviendolos y enseñando una forma de resolverlos. Ahora toca apuntarse al reto de Securitybydefault el día 15! no hagais planes!