miércoles, 18 de noviembre de 2015

Cyber Intelligence: ¿Qué es?, ¿Cómo se come? Y ¿A que sabe? (Parte 2)



Que tal Bu5t3r5 espero se encuentren de maravilla como un servidor, los saluda su amigo Bos5, antes que nada una disculpa por retrasar la segunda entrega de esta entrada, sin embargo ya estamos de vuelta y les prometo que las siguientes entradas no demorarán tanto ;)

Ok.. Continuemos con el tema de Ciber Inteligencia, en la primera parte describimos a groso modo el ¿Qué es? y mencionamos de manera breve de donde proviene el termino, además brindamos una probadita del amplio mundo de la inteligencia. En esta ocasión tal y como lo había mencionado en la entrada pasada vamos a centrarnos más en las disciplinas de la inteligencia para conocerlas más detalladamente.
 

 Vamos a comenzar revisando las disciplinas y sub disciplinas de la inteligencia, aquí “OJO” no todas las categorías o subcategorías son de utilidad al momento de aplicarla al concepto de Ciber Inteligencia, debemos de recordar que estos son conceptos militares y que muchos de ellos como tales están enfocados en la obtención de información sobre el enemigo, por ejemplo planos de terreno del campo de batalla, información de armamento, telemetría, etc. Sin embargo las voy a mencionar y me enfocare a describir solo aquellas que mejor se apeguen a nuestro concepto y de los cuales podamos obtener información.

 

 

 
 GEOINT (Inteligencia Geoespacial): Se basa en la explotación y análisis de imágenes e información geoespacial para describir, evaluar y visualizar características físicas y geográficas referentes a actividades en tierra, utilizada ampliamente en el rango militar para visualizar los movimientos del enemigo o de las tropas ofensivas, esta clase de inteligencia no aplica para nuestro concepto.

HUMINT (Inteligencia Humana): es una categoría de inteligencia derivada de la colección y obtención de fuentes humanas, dentro de esta disciplina si podemos obtener información relevante que después podemos aplicar al concepto de inteligencia cibernética, por ejemplo cuando obtenemos información útil a través de una investigación sobre un incidente informático que ha ocurrido dentro de la compañía, en algunas ocasiones existen áreas que se encargan de realizar la investigación forense por ejemplo sobre los equipos involucrados pero al mismo tiempo realizan una investigación sobre posibles personas implicadas en el mismo, aquí se realizan cuestionarios de interrogatorio para lograr obtener la mayor cantidad de información posible sobre el problema, derivado de esto podemos tomar todos aquellos elementos que sirvan en algún futuro para fortalecer las debilidades que existen dentro de nuestro entorno, tanto físicas como digitales mismas que fueron explotadas en el incidente, por ejemplo fortalecer nuestros controles de seguridad física en un incidente de robo de dispositivos, o implementar políticas de seguridad más robustas para evitar  un incidente cibernético.

SIGINT (Inteligencia de señales): este tipo de inteligencia es obtenida a través de señales emitidas por sistemas de comunicación foráneas, como ondas de radio, radares, etc. De nueva cuenta esta disciplina tampoco aplica para el concepto de ciber inteligencia. Sin embargo podría tener algo de relación si enfocamos el concepto a la intercepción de información que viaja a través de medios electrónicos, por ejemplo un escenario donde la policía cibernética se encuentre en alguna operación interceptando con algún sniffer la comunicación dentro de la red de alguna organización criminal. Sin embargo esta analogía está de sobra si consideramos que la ciber inteligencia que la mayoría de nosotros practicamos se basa en investigaciones realizadas a través de medios como internet, bases de datos, entrevistas,  etc, desde una oficina de nuestra compañía.

MASINT (Inteligencia de Medidas): Este tipo de inteligencia corresponde a la información producida por análisis cuantitativos y cualitativos sobre atributos físicos de objetivos y eventos, con el objeto de localizarlos e identificarlos. Adivinen qué Para nuestro concepto esto tampoco aplica sin embargo de igual manera de la SIGNIT si hablamos de operaciones encubiertas de fuerzas cibernéticas federales o militares podríamos relacionarlo con la información necesaria para preparar una emboscada en contra de ciber criminales, pero insisto, esto prácticamente es otro nivel más agresivo de carácter táctico y militar.

Ahora si estas últimas disciplinas son las que más son útiles para nosotros Cyber Intelligence Analyst, ya que directamente se encuentran relacionadas con las funciones que podemos realizar.

OSINT (Fuentes de Inteligencia Abierta): Esta disciplina se basa en la obtención de inteligencia a través de fuentes abiertas que cualquier individuo puede alcanzar de manera completamente legal obteniéndola a manera de requerimiento, u a través de investigaciones por nuestra propia cuenta, estas fuentes pueden incluir documentos no oficiales, repositorios web, bases de datos abiertas, foros, redes sociales, etc.

TECHINT (Inteligencia Técnica): Se refiere a la explotación e material tecnológico, e información científica para la obtención de información sobre el funcionamiento de equipamiento tecnológico. En esta disciplina  a pesar de que se encuentra muy apegada al estudio del armamento militar, también la podemos utilizar dentro de nuestra área, para el estudio de dispositivos tecnológicos u herramientas tecnológicas utilizadas por criminales como pueden ser dispositivos de red, dispositivos de almacenamiento masivo, dispositivos de comunicación, etc. Incluso por ejemplo para obtener información sobre el funcionamiento de skimmers, dispositivos de espionaje, etc que son frecuentemente utilizados para ataques hacia ATMs por ejemplo.

Counterintelligence (Contra espionaje): dentro de esta disciplina se engloban las 5 funciones de la inteligencia en la cual la información de colecta, se analiza y procesa, se investiga se opera y le aplica un funcionamiento. Lo que caracteriza a esta disciplina es que estas funciones se aplican para identificar, burlar, explotar desarmar o proteger en contra de cualquier operación de espionaje, otras operaciones de inteligencia o actividades de sabotaje. Dentro de esta disciplina debemos de recordar que la inteligencia puede ser aplicada como medidas ofensivas como defensivas en contra de los atacantes.

De esta manera encontramos que las diferentes disciplinas de la inteligencia se pueden combinar de diversas maneras todas con el objetivo de proveer información que pueda ser de utilidad para nuestros intereses ya sea para defendernos en contra de los atacantes, así como para vulnerar a los mimos y estar un paso por delante de sus siguientes acciones, todo esto enfocado a nuestro ambiente cibernético.

Ahora bien ¿Cómo podemos aprovechar el uso de nuestras diferentes disciplinas?, bueno pues debemos de tener en cuenta que siempre tenemos que tener en mente nuestro objetivo como analistas de inteligencia el cual es entregar un producto que satisfaga las necesidades de nuestros clientes, estos últimos pueden ser nosotros mismos, nuestra organización para la cual laboramos o para los clientes de nuestra organización. 

Para lograr todo esto debemos de apegarnos al proceso del ciclo de vida de la inteligencia el cual lo vamos a revisar en la tercera parte de esta entrada.

Amigos por el momento eso es todo de mi parte, una vez más les ofrezco una disculpa por haber retrasado esta segunda entrega, espero que les guste y por favor dejen algún comentario bueno, malo etc, todos son constructivos y es únicamente para mejorar. Les agradezco ese ratito que le dedican a leer nuestras entradas y que siga la cacería!!!
 

lunes, 16 de noviembre de 2015

Bugbu5t3r5 te lleva a ver a MUSE en concierto

Qué tal bu5t3r5 mañana 17 de noviembre  es el concierto de muse en el palacio de los deportes y lo prometido es deuda, bugbu5t3r5 te lleva a ver a MUSE en concierto!!, que debes de hacer? Es muy sencillo solamente  sigue la cuenta de Twitter del blog que es @bu5t3r5 y también la de @bu5t3rb0s51 y consigue al menos 80 seguidores para las cuentas mencionadas, cada seguidor que que consigas para las cuentas debera de publicar un mensaje a la cuenta de @bu5t3r5 con el hashtag #YoSoyBu5t3r y etiquetarlos a ustedes Dentro de su mensaje. El primero que llegue a la meta de agregar 80 nuevos followers será el ganador de un boleto para ver a MUSE en concierto, tienes hasta el día de mañana 17 de noviembre a las 5:00 PM para participar, el ganador será anunciado a través de la cuenta oficial de Twitter y el premio será entregado en el foro sol antes del inicio del concierto, así que no pierdas tiempo y que comience la cacería!!


miércoles, 11 de noviembre de 2015

Fechas y Sedes para cursos de seguridad de la informacion el 1er Q de 2016

Saludos Bug Bu5t3r5! 

Ya tenemos listo nuestro calendario para el primer cuarto del 2016! Hay tiempo para empezar a ahorrar! Hay cambios en algunos de los temarios y se vienen cursos nuevos para el Q2 del 2016 como Cyber threat Intelligence, Hacking y PT y DLP así que estén pendientes!


Puedes descargar el temario y más información del curso de cyber security Monterrey aquí




Puedes descargar el temario y más información del curso de cyber security Panamá aquí

Puedes descargar el temario y más información del curso de Computo Forense en Monterrey aquí




Puedes descargar el temario y más información del curso de Computo Forense en la Cd de México aquí



 Puedes descargar el temario y más información del curso de Computo Forense en Panamá aquí




 Puedes descargar el temario y más información del curso de Computo Forense en Costa Rica aquí

Paga tu curso antes de que termine el año 2015 y obtén un 15% de descuento en tu inscripción!  

lunes, 26 de octubre de 2015

UMDI un framewrok para investigaciones digitales en México Parte 2 de 6

Saludos bugbu5t3r5!

Estamos de regreso con la serie de UMDI en la cual estoy presentando un framework para las investigaciones digitales en México.

Continuemos con la fase de preparación y ahora hablemos de la infraestructura y personal.

Este es un tema increíblemente extenso, esta fase habla acerca de las instalaciones que debemos tener como parte de nuestro laboratorio. Aquí quiero hacer una anotación. Un laboratorio forense…. Si estuviéramos con nuestros vecinos del norte estaríamos hablando de un lugar cerrado, con controles biométricos, pisos, paredes y mesas anti estáticas, estaciones con 2 o 3 monitores.

Sin embargo aterrizándolo a mi experiencia de mi actual y pasados trabajos y lo que estoy seguro muchos de ustedes estarán de acuerdo eso por lo general no pasa aquí… conozco en México un par de empresas privadas y del sector público que tienen laboratorios que no le piden nada a otros laboratorios  internacionales, sin embargo la norma es que tu laboratorio es tu lugar de trabajo. 

Si tienes suerte será un lugar cerrado con una puerta convencional, pero por lo general es tu lugar de trabajo rodeado de tus compañero de otras áreas, ¿es lo ideal? No, pero tampoco es una razón para no poder llevar a cabo una excelente investigación déjenme compartir con ustedes lo que a lo largo de estos años eh aprendido en cuanto a mi infraestructura para realizar mis investigaciones.

Déjenme ser un poco presumido y decirles que actualmente cuento con un FRED de DI sin embargo no siempre ha sido así, así que aquí les dejo los requerimientos MINIMOS probados que su máquina de análisis debe tener:

Memoria RAM: 4GB 
Disco duro: 80 GB
Procesador: Core i3 o similar
Puertos de USB 2 o más

Con dificultad al correr ciertos procesos pero yo eh logrado terminar casos con una máquina de estas características, así que cualquier sistema de análisis que utilicen que sobrepasen estas características pude ser su máquina de análisis.


Ahora que hemos aclarado esa parte del sistema en el que haremos nuestros análisis quiero tocar otro tema de nuestra infraestructura forense que son los bloqueadores de escritura. Parte de las reglas de oro es mantener la integridad tanto de nuestra evidencia original como de nuestras imágenes. 

Para esto utilizamos un bloqueador de escritura, este puede ser de hardware o de software. Aquí pueden ver los bloqueadores de escritura de hardware y aquí y aquí pueden ver dos de los bloqueadores de escritura por software una para Windows y uno para Linux, los dos bastante buenos al cumplir su función. EnCase de forma nativa contiene un bloqueador de escritura llamado FastBlock SE.  Por favor tengan cuidado al utilizar los bloqueadores de software asegúrense  que al finalizar su utilización estos sean desactivados ya que podría impactar en su interacción con sus puertos de USB.

Entre otras cosas que deben tener en su arsenal forense se encuentras las siguientes cosas:
-          Desarmadores de puntas de precisión
-          Linterna
-          Clips
-          Ligas
-          Adaptadores de SATA o SAS a USB
-          Adaptador de IDE a USB
-          Bolígrafo! No hay nada más lamentable que alguien que tiene que pedir prestado un             bolígrafo al momento de estar haciendo un caso!
-          Cables de repuesto
-          Etiquetas o etiquetadora
-          Bolsas antiestáticas
-          Marcadores
Ahora veamos cuales son los roles que deberíamos en teoría tener dentro de nuestros equipos forenses, aquí nuevamente en mi experiencia es sumamente complicado que existan todos estos roles en nuestros equipo y a veces una o dos personas deben asumir todos los roles. 

Tabla de roles
Rol
Descripción del rol
Examinador Forense
      - Procesa la evidencia recolectada de las escenas del crimen
      - Genera imágenes forenses
      - Genera líneas de tiempo
      - Ayuda a la redacción del reporte
         2 – 3 años de experiencia
Analista Forense
      - Revisa la evidencia ya procesada
      - Emite opinión experta cuando sea necesario
      - Ataca los casos de complejidad técnica más elevada
      - Generación de reportes técnicos y ejecutivos
      - < 5 años de experiencia  
Gerente de Lab Forense
      - Asignación de casos
      - Revisión y verificación de los reportes emitidos por el examinador y el analista forense
      - Participación activa en la resolución de casos complejos
      - Contacto directo y presentación de hallazgos a la alta gerencia
First Responder
      - El primero en llegar a la escena del crimen
       - Asegura la integridad de la evidencia en sitio
      - Documentación de la escena del crimen
      - Etiquetación y embalaje de la evidencia decomisada
      - Generación de la cadena de custodia

Control de Accesos y permisos


Ahora hablemos de las últimas dos sub fases de esta primera fase,  el control de accesos y permisos hace referencia a todo lo que tenga que ver con los documentos que nos certifican para estar en un determinado tiempo en un determinado lugar.

Por ejemplo cuando tengo que extraer un disco duro de madrugada tengo que tener diversos documentos como por ejemplo un correo electrónico impreso de un director o gerente quien autoriza la extracción del disco en horas no estándares, y la cadena de correos y comentarios que esto pueda generar, un correo de la persona encargada del área donde se realizara la extracción y por ultimo una confirmación por parte de seguridad física de que estaremos trabajando de noche  y se dará el apoyo.

Así el poli que está en la madrugada que seguramente no es el mismo que esta durante el día te pida ver autorización y te diga que “a el nadie le aviso que habría gente trabajando de noche”, pueda ver que todo está en orden y no sea un obstáculo que represente un atrasa en nuestro trabajo.

Es también necesario contar con los accesos necesarios, en la actualidad la mayoría de los edificios dan accesos restringidos a diferentes áreas del mismo. Es decir mi credencial solo funciona con el lector de mi área si yo intento ir a un piso diferente no abra forma de abrir esa puerta. Es importante contar con estos permisos actualizados o bien con algún personal del área involucrada que te de acceso libre a los controles de seguridad de las puertas

Preparación de hardware y software

La preparación de hardware y software se refiere a mantener todas nuestras herramientas actualizadas, los fabricantes actualizan su firmware con nuevas características, con parches de seguridad, con arreglos de algunas fallas.  Estas actualizaciones son críticas para el buen funcionamiento de todas las herramientas, en mi laboratorio el último jueves de cada mes se revisa cada pieza de software y hardware por nuevas actualizaciones. 3

En caso de usar software comercial es importante revisar el estado de nuestras licencias, hace un par de meses me llamaron a dar una asesoría ya que había diversas inconsistencias en el proceso, al revisar el proceso me di cuenta que el problema real residía en que su hardware llevaba más de 5 años sin actualizar y que sus licencias estaban vencidas, horas de trabajo se perdieron en tratar de solucionar los problemas aunque la solución realmente era mucho más sencilla.

Este es el final de la primera fase de UMDI recuerden que esto que posteo es en base a lo que yo eh experimentado a lo que yo eh probado, si alguien de nuestros lectores tiene una opinión diferente o quisiera agregar algo, bienvenido! 

Sigan pendiente para la siguiente fase en la que aprenderemos a identificar y levantar evidencia de nuestra escena del crimen. 

miércoles, 21 de octubre de 2015

Cyber Intelligence: ¿Qué es?, ¿Cómo se come? Y ¿A que sabe? (Parte 1)



Que tal Bug Bu5t3r5, antes que nada quiero dar las gracias al creador de este blog por permitirme participar como un bu5t3r más en este gran proyecto, yo soy “B0s5” y recientemente me integre al equipo de BugBu5t3r5. Me da mucha alegría y entusiasmo el poder compartir con ustedes un poco de conocimiento que pueda ayudarlos en su desempeño del día a día, espero de antemano que podamos tener ese match entre redactor y lector y que todas las entradas que publique sean para un beneficio mutuo y podamos crecer juntos de la mano.

Hoy voy a tocar un tema que si bien no es nuevo a nivel global al menos en la región de Latinoamérica es muy poco escuchado, se trata de “Cyber Intelligence”. Tal vez algunos de ustedes hayan escuchado este término en alguna ocasión, inclusive se encuentren relacionados directamente en su empleo o sus actividades cotidianas, sin embargo aún existe un gran hueco que nos impide familiarizarnos por completo con el tema y que a los ojos del mundo continua observándose como un gran misterio del que todo el mundo sabe pero que nadie exactamente lo define, es por eso que dentro de las siguientes líneas de este blog el cual dividiré en varias partes, se encontraran con una breve introducción a este gran mundo y que a pesar de ser breve espero que les muestre un panorama claro sobre que es Cyber Intelligence, y pues nada vamos al lío!!.

Antes que nada comencemos por definir ¿qué es la inteligencia? en general y después lo enfocaremos a la parte de “Cyber”, que por definición se refiere a la cultura cibernética, a todo aquello relacionado a la tecnología avanzada o que tiene interacción directa con los sistemas informáticos.

Quiero comenzar la definición de inteligencia especificando que las TTPs (Tactics, Techniques and Procedures), “Técnicas, Tácticas y Procedimientos” que son los principales elementos en los que se basa la inteligencia ya existían incluso antes que existiera como tal el mismo ciber-espacio; ¿por que menciono esto?, la respuesta es simple, la ciber inteligencia esta basada en modelos militares los cuales han sido desarrollados desde hace ya muchos años y evolucionando a lo largo del tiempo, es por eso que no se sorprendan si dentro de esta área ustedes encuentran varios conceptos que suenen 100 % parte de la milicia, sin embargo el concepto de "ciber" unificado al de "Inteligencia" adecua todos estos enfoques en el ámbito 100% digital e informático. 

Por ejemplo desde un punto militar táctico la inteligencia se observa como una fortaleza ofensiva y defensiva, por ejemplo a un comandante militar dentro de cualquier campo de batalla le interesaría conocer de manera anticipada cuáles son los pasos que el adversario va a realizar para de esta manera él poder preparar una efectiva ofensiva o para poder preparar una sólida defensiva ante algún ataque. Dentro de Cyber Intelligence nos encontramos un enfoque muy parecido sin embargo el campo de batalla principalmente son todos nuestros sistemas informáticos y la ofensiva y defensiva son nuestros TTPs que utilizaremos para prevenir o realizar ciber ataques en contra de nuestra tecnología. 

El departamento de defensa de los EUA publicó un paper en Octubre de 2013 el cual fue titulado como “Joint Intelligence”, dicho documento contiene 144 paginas donde se puede encontrar una gran cantidad de información sobre la inteligencia militar; independientemente de que el paper contenga definiciones militares existen varios elementos que pueden ser rescatados para definir y comprender de mejor manera que es la Ciber Inteligencia. Según este documento la inteligencia es El producto resultante de la recolección, el procesamiento, la integración, evaluación, análisis  e interpretación de la información disponible en relación con las naciones extranjeras, fuerzas o elementos hostiles o potencialmente hostiles y/o zonas de operación actuales o potenciales”, ahora si tomamos aquellos elementos generales e intercambiamos aquellos elementos militares para cambiar el contexto y enfocarlo a la ciber inteligencia, lo podríamos definir más o menos así El producto resultante de la recolección, el procesamiento, la integración, evaluación, análisis  e interpretación de la información disponible en relación con todos aquellos individuos u elementos tecnológico y no tecnológicos que representen una amenaza en contra de los sistemas informáticos, dispositivos y/o tecnologías que son utilizadas para un objetivo en común dentro de alguna organización


La imagen de arriba muestra de manera clara lo que la definición nos dice en donde podemos identificar algunos elementos que pertenecen al ciclo de vida del proceso de obtención de Inteligencia, este tema me gustaría discutirlo en la segunda entrada del blog donde les explicare algunos conceptos que veremos más adelante así como el life cycle completo de la Inteligencia, por el momento describiré de manera breve los elementos que tenemos en la imagen.

El Operational Environment, u ambiente operacional se refiere a todo el entorno en donde se genera la data en crudo para ser explotada, esta puede ser un ambiente informático/digital o físico.

La Data, se refiere a toda aquella información en crudo que ha sido obtenida del ambiente operacional después de haber aplicado un proceso de colección de información.

La Información, se refiere al resultado de toda la data después de haber sido sometida a un procesamiento y explotación, lo cual quiere decir que de toda la información en crudo que teníamos al inicio solamente nos queda toda aquella información digerida que puede ser utilizada por los analistas de manera sustancial.

Y por último la Inteligencia que como ya lo revisamos es el resultado de la información después de haber sido sometida hablando de manera muy general a una serie de procesos de colección, procesamiento y análisis.
Ahora bien una característica importante que debe de contener la inteligencia para cualquiera que fuese el fin de la misma es que siempre debe estar enfocada a obtener un resultado y cumplir con un objetivo.

Dentro del mismo documento del departamento de defensa de los EUA se mencionan más elementos que son utilizados en la Ciber Inteligencia como lo son las diferentes disciplinas de la inteligencia, no voy a indagar dentro de ellas en este blog por que se extendería demasiado, pero sin duda alguna en la siguiente entrada tocaremos cada uno de estas y su definición, en esta ocasión solamente mencionare a manera informativa cuales son algunas de las más comunes. Por ejemplo una de las más conocidas es la derivada de la interacción humana “Human Intelligence” (HUMINT), todos hemos visto en alguna ocasión alguna película en donde es clásico la escena del “Tehuacanazo” bueno, si bien esta no es la mejor manera de obtener información, si es un buen ejemplo para ilustrar a que se refiere esta disciplina jejeje.

Por otro lado tenemos la Inteligencia geoespacial “Geospatial Intelligence” (GEOINT), esta me gustaría ilustrarla con gran ejemplo actual (No es que yo lo haga, pero dicen!!) imaginen que poseen un dron, ya saben esas pequeñas mini navecitas con cámaras de vídeo digitales muy de moda últimamente, y que se la pasan tomando fotos y vídeos a medio mundo, al vecino o la vecina, lo usan para curiosear en lugares prohibidos, en fin insisto “dicen”, pero bueno esta es una buena manera de mostrar cómo se obtiene  información a través de esta disciplina.

 Por ultimo tenemos la que yo pienso que es la más común y que incluso es utilizada por todos nosotros al realizar la búsqueda de nuestra tarea en internet, o buscar el perfil de aquel chico o chica que te gusta etc, me refiero a la inteligencia basada en búsqueda de fuentes de investigación abierta “Open Source Intelligence” (OSINT), esta disciplina se basa en obtener información de toda aquella fuente abierta disponible para todo público y que en verdad es muy útil y muy empleada en la Ciber Inteligencia.


Aún existen otras disciplinas de inteligencia y sub disciplinas que voy a mencionar posteriormente en la segunda parte de este blog, no quiero que las entradas del blog sean tan prolongados por que el concepto de ciber inteligencia es bastante amplio y me gustaría que lo fuéramos desmenuzando poco a poco.

Por el momento Bug Bu5t3r5 esto es todo de mi parte y espero que les agrade esta mi primera participación dentro del equipo de Bug bu5t3r5, y los invito a que compartan y comenten cualquier duda, observación, sugerencia, etc, siempre será bien bienvenida por un servidor y como ya lo ha dicho el creador de este blog en posts anteriores, no sabemos todo y la idea es crecer juntos, recuerden que el conocimiento es la mejor arma que tendrás en tu vida, fue un placer, por el momento me despido no sin antes desearles Happy Bu5ting!! y hasta la próxima \m/.


lunes, 19 de octubre de 2015

UMDI un framework para investigaciones digitales en México Parte 1 de 6

Hace un par de semanas estuvimos en Segurinfo México, cuando se me presento la oportunidad pensé en presentar un framework de investigaciones digitales que eh estado utilizando y modificando de forma constante y continua.

Hace unos años cuando comencé a diseñar este framework y a unir ideas me di cuenta de que frameworks de investigación hay de sobra, así que decidí tomar fragmentos de cada uno de estos frameworks y armar algo específico para México.

¿Por qué para México? Para nuestros lectores de España, y LAM tienen que entender que aquí en México como en muchos lugares, existe una enorme burocracia para lograr cualquier cosa.  

Las investigaciones digitales no escapan de esto, nunca falta que tienes que hacer una extracción o investigación underground de madrugada y al llegar con todo listo  “el poli” (el vigilante) te tira el clásico UUUUYYYYY NO! Joven no lo puedo dejar pasar, a mí nadie me aviso que venían! O pasa que ya estas realizando la extracción y te apagan las luces! Por qué nadie aviso al área de seguridad que iban a trabajar y por cuestiones de ahorro te bajan la luz…. Estas y muchas otras historias de terror suceden cuando no tenemos o seguimos un framework de investigación.

Lo que a continuación explicare y postulare es algo que los lectores deben tomar como sugerencia, una sugerencia basada en mi experiencia y la utilización de este framework, quien guste puede tomar este framework e implementarlo en su grupo, sin embargo y debo dejar esto en claro, los frameworks son guías que deben ser adaptadas para cada grupo e institución ya que las necesidades varían, así que , esperaría que quien tome esto y lo implemente lo modificara de acuerdo a las necesidades particulares de sus casos.

Comencemos por definir que es un modelo o framework de investigación, la definición que a mí más me gusta es la siguiente: Es una secuencia de pasos que nos lleva desde la alerta del incidente original hasta el reportar los hallazgos. 


Como menciones al principio existen diversos modelos y han existido desde hace varios años aquí puedes leerun artículo bastante bueno en los diversos modelos ya existentes. Aunque un poco desactualizado el articulo está muy interesante y se los recomiendo.  

Sin embargo y en mi opinión ninguno de ellos alcanza a liderar con las barreras que se enfrentan aquí en México y algunos de ellos están muy enfocados a la procuración de justicia y pocos dejan espacio para la IP.

Estos son los frameworks que actualmente existen:



El framework que yo propongo para ser utilizado está dividido en 5 fases que a su vez están divididas en diferente sub fases. Las cuales conforman el framewrok UMDI o Unified Model for Digital Investigations.

Si entiendo la hipocresía de decir que arme un modelo de investigación para México y le pongo un nombre en inglés pero el nombre UMDI  suena mejor que MUPID :p

Las fases de UMDI son las siguientes: 



-          Preparación
-          Manejo y análisis del de la escena del crimen
-          De la escena del crimen al laboratorio
-          Investigación y análisis de la evidencia
-          Resultado y elaborar el reporte 


Analicemos cada una de las fases del proceso y su sub fases aquí pondré diversos ejemplos reales a los que me eh enfrentado y que este framework me ha ayudado a sortear.

Fase: Preparación

SUB FASE : Concientización


Esta fase habla acerca de la preparación que tu personal  tanto técnico como NO técnico debe tener, el entender que hay amenazas obvias y otras tan sutiles que pueden representar un riesgo enorme para un grupo. Entender conceptos como el phishing, malware, ingeniería social puede representar la diferencia entre tener un impacto económico, reputacional y operacional.  En BugBu5t3r5 ofrecemos cursos de concientización para personal NO técnico de una forma dinámica y profunda.

Para el personal técnico es imperante estar al día en capacitaciones de sus especialidades. Hay una gama bastante amplia en cuanto a que cursos se pueden tomar.

Las certificaciones se pueden clasificar en 2 Vendor specific y vendor neutral es decir los vendedores de software forense ofrecen las certificaciones de su herramienta que son excelentes y bastantes reconocidas en el mercado de las  certificaciones más populares y con más renombre  están:

EnCe: probablemente de las certificaciones más aceptadas y reconocidas del mercado esta certificación está enfocada en EnCase herramienta líder en el análisis forense y el poseedor comprueba el conocimiento y dominio de la herramienta durante la examinación y análisis de un caso. https://www.guidancesoftware.com/training/Pages/ence-certification-program.aspx


ACE: Otra de las herramientas líderes en el mundo FTK de AccessData ofrece esta certificación, el poseedor comprueba el conocimiento y dominio de la herramienta durante la examinación y análisis de un caso. http://accessdata.com/training

Las certificaciones de vendor neutral más importantes del mercado son las siguientes:

CCE – Certified computer examiner es una muy buena certificación que toca temas relevantes y fortalece las habilidades necesarias que un examinador forense debe tener https://www.isfce.com/certification.htm

GCFA -  GIAC Certified Forensic Analyst una de las más codiciadas certificaciones del mercado tomado de su página esta certificación establece que “los candidatos a esta certificación  deben comprobar su conocimiento y habilidad para conducir investigación formal e incidentes de seguridad, manejo avanzado incidentes los cuales incluyen brechas internas y externas de seguridad, amenazas persistentes avanzadas, técnicas anti forenses utilizadas por los atacantes y casos complejos de computo forense.” Quieres probar realmente tu conocimiento adelante prepárate y ahorra para esta certificación vale la pena! http://www.giac.org/certification/certified-forensic-analyst-gcfa

GCFE – GIAC Certified Forensic Examiner es en mi opinión el antecesor del ya mencionado GCFA aquí los candidatos afrontan escenarios típicos de conducción e investigación de brechas de seguridad, se les enseña métodos de adquisición de la evidencia, forense en artefactos de internet y como rastrear la actividad de un usuario en su sistema.  http://www.giac.org/certification/certified-forensic-examiner-gcfe

PCFRI – Esta certificación esta cocinada en casa, es nuestra propia certificación la cual pretende enseñar al candidato las técnicas y métodos necesarios para llevar un caso con herramientas libres desde el decomiso, adquisición, análisis y reporte de la evidencia. Puedes encontrar en este blog fechas y requisitos para este curso.

Sub fase Documentación Forense 



En mi laboratorio forense la documentación es parte crucial del éxito o el fracaso de mis casos. La documentación ayuda a los examinadores a proteger su trabajo y a probar la veracidad y fiabilidad de sus procesos. La principal documentación forense que yo utilizo es la siguiente:

-          Cadena de custodia (CoC)
-          Hoja de adquisición de evidencia digital


En primer lugar la CoC nos da la capacidad de controlar cada elemento de evidencia que encontremos y nos dispongamos a analizar. Este documento debe llevar ciertos elementos clave a continuación presento un machote de la CoC que yo utilizo OJO esto no significa que ustedes deban recrear de forma exacta este documento recuerden AJUSTENLO, ADAPTENLO a las necesidades de su grupo. 



Les voy a pedir que revisen la imagen, esta es una copia casi fiel de lo que yo actualmente utilizo en mi laboratorio, voy a enfocarme en los puntos que considero más relevantes sin embargo si tienen alguna duda extra dejen un comentario y tratare de aclararlo.

¿Quién es el que recolecta la evidencia? Aquí debe ir el nombre de la persona que de primera mano recibió la evidencia, en un mundo corporativo más real, por lo general llega alguien del área involucrada y se la da a tu jefe y ya tu jefe te habla y te la da a ti. TU JEFE es quien recolecta la evidencia y hay que hacer que firme la CoC.

Se pone la hora y fecha en que se recibe o recolecta esa evidencia, el número de caso se llena en base a una nomenclatura que cada uno debe de desarrollar.

En cuanto a la información de la evidencia  el número de evidencia igual se llena con la nomenclatura propia desarrollada en cada grupo, en mi caso utilizo la fecha, con un carácter consecutivo y un identificador de dispositivo. Por ejemplo si el día de hoy levantara 2 elementos de evidencia una laptop y un USB mis números de evidencia quedarían de la siguiente forma:


En esta imagen también se ejemplifica el llenado del resto de esta parte de la CoC, ahora pasemos a la parte del control de la evidencia, esta es la parte medular de la CoC aquí nosotros controlamos cada elemento de evidencia, ¿en dónde está? ¿Quién lo tiene? 

No importa si la evidencia pasa de una área a otra o de un compadre a otro, TODO MOVIMEINTO DEBE QUEDAR REGSITRADO. Hay tres actividades principales a registrar: recibir, transferir y entregar, se registra el número de evidencia quien realiza la acción y quien la recibe y la hora y fecha en que se ejecutan las acciones.

Es una mejor práctica dejar o proporcionar una copia de la CoC a nuestros clientes o a nuestras áreas involucradas. Esto nos dara una garantia de que todas las partes estan en la misma página. 

Una vez que ya tenemos el control de nuestra evidencia y estamos listos para adquirirla debemos también tener un control de nuestros procesos de adquisición, saber ¿qué tipo de dispositivo estamos adquiriendo?  ¿Qué estamos utilizando para adquirir esa evidencia? ¿Fue exitoso el proceso de adquisición?


Aquí repetimos información ya registrada en nuestra CoC, sin embargo se hace una clasificación de nuestros dispositivos. El host debe entenderse por el dispositivo en el que reside quien almacena la información.  Es decir una laptop en si no almacena la información sino que es el host para el disco dura que contiene la información.  Y después documentamos el dispositivo que almacena los datos.

En la información del proceso de adquisición se registra el momento en el que el proceso arranca, se registra si se hizo un volcado de la memoria o de los procesos del sistema. Y por último en esta sección se registra si la configuración de zona horaria está configurada correctamente. No voy a tocar aquí la importancia grandísima que tener una configuración correcta tiene sobre el caso ya que ya escribimos un post acerca de ello que pueden checar aquí.

Posteriormente se registra quien está a punto de comenzar el proceso de adquisición, se indica si se utilizó algún hardware como un TD3 o un FALCON o un software como FTK Imager se debe indicar el modelo en el caso del hardware y la versión en el caso del software. Se indica la hora y la fecha en la que se arranca el proceso de adquisición, si esta fue exitosa o no, aquí puede haber varias razones para que una imagen falle sin embargo es importante registrar si se muestra algún error.

Por último en esta sección se registra el valor HASH que es el algoritmo de verificación y validación de la integridad de nuestra imagen. Este valor puede ser escrito a mano (no recomendado) o agregar el log de adquisición que la herramienta arroje.

La última sección de este formato de adquisición es la preservación de la evidencia aquí nos referimos a ¿en dónde va a vivir la imagen una vez creada? Las mejores prácticas dicen que debemos crear 2 copias una copia de trabajo Working Copy (WC) y una copia de preservación Preservation Copy (PC) en esta parte pueden registrar una o dos copias. 

La etiqueta del disco es en caso de que utilicen un sistema de etiquetación en mi caso mis discos duros se llaman FORENSIC01, FORENSIC02 etc… así puedo saber que por ejemplo mi_imagen_E01 esta almacenada en el disco duro FORENSIC01 y se registran los datos de ese disco duro. Y por último se registra que nombre se le da a la imagen, para esto yo también utilizo una nomenclatura propia, ustedes son libres de registrar el nombre de su imagen como deseen. 

Hay otros documentos que yo utilizo durante mis casos sin embargo estos no tienen un formato especifico. 

Como por ejemplo Lista de contactos, bitácora de actividades en la cual registramos hora y minuto de cada actividad que realizamos, desde que llegamos a la escena del crimen todos los procesos que ejecutamos, de si tuviste alguna reunión con el cliente o las áreas involucradas etc. Sin embargo esto puede ser una hoja de Excel o una hoja de papel.

Sé que este post ha sido largo y eh decido dejar esta primera parte aquí, aún nos quedan 3 sub fases más a la primer fase de preparación que son: Infraestructura y personal, control de accesos y permisos, preparación de hardware y software. Estas sub fases las tocaremos en la siguiente parte de esta serie de posts.

Espero les haya gustado y sobre todo podamos juntos ir viendo que partes necesitamos mejorar en nuestros procesos y en nuestros modelos creo que todos juntos podemos armar algo muy solido para ser implementado como un stardar nacido en Mexico y no depender tanto de lo que nuestros vecinos diseñen para nosotros.

Si tienen algún comentario o duda extra favor de ponerlo en los comentarios. Y a seguir la cacería Happy Bu5ting!.

lunes, 24 de agosto de 2015

Cambio en fechas y nuevas fechas y sedes para curso de PCFRI

Saludos Bug Bu5t3r5!


A continuación se muestra las nuevas fechas y sedes para el curso PCFRI  2015-2016.

Para el curso de México


Hubo un cambio importante y esto es debido a que estamos finalizando el trámite con la Secretaria del Trabajo para darle validez curricular al curso.
Adjuntamos también el link para poder descargar la ficha de inscripción para el curso de México.

Manda tu ficha de inscripción al correo magdiel@bugbu5t3r5.com.mx recuerda que puedes apartar tu lugar con el 40% del valor del curso y liquidar el día en el que finaliza el mismo.


En la ficha de inscripción se encuentran los costos así como las promociones para estudiantes y grupo de más de 3 personas.  

La fecha límite para enviar el formulario de inscripción es el día 28 de septiembre 2015 y la fecha límite para enviar la ficha de depósito con el 40% del valor total del curso es el día miércoles 30 de septiembre. 

La fecha límite para liquidar el curso es el jueves 22 de octubre de 2015 




Para el curso de Panamá




Para los temas relacionados con la inscripción y detalles de costos favor de contactarnos al magdiel@bugbu5t3r5.com.mx  o bien  con la Ing. Lilia Liu a los teléfonos  Oficina: 396-7306 | Celular: 6677-7306  o al correo  lilia.liu@llaso.com 


Queremos también compartir  imágenes del primer grupo graduado en PCFRI en Panamá.