Cyber Intelligence: ¿Qué es?, ¿Cómo se come? Y ¿A que sabe? (Parte 2)

Que tal Bu5t3r5 espero se encuentren de maravilla como un servidor, los saluda su amigo Bos5, antes que nada una disculpa por retrasar la segunda entrega de esta entrada, sin embargo ya estamos de vuelta y les prometo que las siguientes entradas no demorarán tanto ;)

Ok.. Continuemos con el tema de Ciber Inteligencia, en la primera parte describimos a groso modo el ¿Qué es? y mencionamos de manera breve de donde proviene el termino, además brindamos una probadita del amplio mundo de la inteligencia. En esta ocasión tal y como lo había mencionado en la entrada pasada vamos a centrarnos más en las disciplinas de la inteligencia para conocerlas más detalladamente.

 

 Vamos a comenzar revisando las disciplinas y sub disciplinas de la inteligencia, aquí “OJO” no todas las categorías o subcategorías son de utilidad al momento de aplicarla al concepto de Ciber Inteligencia, debemos de recordar que estos son conceptos militares y que muchos de ellos como tales están enfocados en la obtención de información sobre el enemigo, por ejemplo planos de terreno del campo de batalla, información de armamento, telemetría, etc. Sin embargo las voy a mencionar y me enfocare a describir solo aquellas que mejor se apeguen a nuestro concepto y de los cuales podamos obtener información.

 

 

 

 GEOINT (Inteligencia Geoespacial): Se basa en la explotación y análisis de imágenes e información geoespacial para describir, evaluar y visualizar características físicas y geográficas referentes a actividades en tierra, utilizada ampliamente en el rango militar para visualizar los movimientos del enemigo o de las tropas ofensivas, esta clase de inteligencia no aplica para nuestro concepto.

HUMINT (Inteligencia Humana): es una categoría de inteligencia derivada de la colección y obtención de fuentes humanas, dentro de esta disciplina si podemos obtener información relevante que después podemos aplicar al concepto de inteligencia cibernética, por ejemplo cuando obtenemos información útil a través de una investigación sobre un incidente informático que ha ocurrido dentro de la compañía, en algunas ocasiones existen áreas que se encargan de realizar la investigación forense por ejemplo sobre los equipos involucrados pero al mismo tiempo realizan una investigación sobre posibles personas implicadas en el mismo, aquí se realizan cuestionarios de interrogatorio para lograr obtener la mayor cantidad de información posible sobre el problema, derivado de esto podemos tomar todos aquellos elementos que sirvan en algún futuro para fortalecer las debilidades que existen dentro de nuestro entorno, tanto físicas como digitales mismas que fueron explotadas en el incidente, por ejemplo fortalecer nuestros controles de seguridad física en un incidente de robo de dispositivos, o implementar políticas de seguridad más robustas para evitar  un incidente cibernético.

SIGINT (Inteligencia de señales): este tipo de inteligencia es obtenida a través de señales emitidas por sistemas de comunicación foráneas, como ondas de radio, radares, etc. De nueva cuenta esta disciplina tampoco aplica para el concepto de ciber inteligencia. Sin embargo podría tener algo de relación si enfocamos el concepto a la intercepción de información que viaja a través de medios electrónicos, por ejemplo un escenario donde la policía cibernética se encuentre en alguna operación interceptando con algún sniffer la comunicación dentro de la red de alguna organización criminal. Sin embargo esta analogía está de sobra si consideramos que la ciber inteligencia que la mayoría de nosotros practicamos se basa en investigaciones realizadas a través de medios como internet, bases de datos, entrevistas,  etc, desde una oficina de nuestra compañía.

MASINT (Inteligencia de Medidas): Este tipo de inteligencia corresponde a la información producida por análisis cuantitativos y cualitativos sobre atributos físicos de objetivos y eventos, con el objeto de localizarlos e identificarlos. Adivinen qué Para nuestro concepto esto tampoco aplica sin embargo de igual manera de la SIGNIT si hablamos de operaciones encubiertas de fuerzas cibernéticas federales o militares podríamos relacionarlo con la información necesaria para preparar una emboscada en contra de ciber criminales, pero insisto, esto prácticamente es otro nivel más agresivo de carácter táctico y militar.

Ahora si estas últimas disciplinas son las que más son útiles para nosotros Cyber Intelligence Analyst, ya que directamente se encuentran relacionadas con las funciones que podemos realizar.

OSINT (Fuentes de Inteligencia Abierta): Esta disciplina se basa en la obtención de inteligencia a través de fuentes abiertas que cualquier individuo puede alcanzar de manera completamente legal obteniéndola a manera de requerimiento, u a través de investigaciones por nuestra propia cuenta, estas fuentes pueden incluir documentos no oficiales, repositorios web, bases de datos abiertas, foros, redes sociales, etc.

TECHINT (Inteligencia Técnica): Se refiere a la explotación e material tecnológico, e información científica para la obtención de información sobre el funcionamiento de equipamiento tecnológico. En esta disciplina  a pesar de que se encuentra muy apegada al estudio del armamento militar, también la podemos utilizar dentro de nuestra área, para el estudio de dispositivos tecnológicos u herramientas tecnológicas utilizadas por criminales como pueden ser dispositivos de red, dispositivos de almacenamiento masivo, dispositivos de comunicación, etc. Incluso por ejemplo para obtener información sobre el funcionamiento de skimmers, dispositivos de espionaje, etc que son frecuentemente utilizados para ataques hacia ATMs por ejemplo.

Counterintelligence (Contra espionaje): dentro de esta disciplina se engloban las 5 funciones de la inteligencia en la cual la información de colecta, se analiza y procesa, se investiga se opera y le aplica un funcionamiento. Lo que caracteriza a esta disciplina es que estas funciones se aplican para identificar, burlar, explotar desarmar o proteger en contra de cualquier operación de espionaje, otras operaciones de inteligencia o actividades de sabotaje. Dentro de esta disciplina debemos de recordar que la inteligencia puede ser aplicada como medidas ofensivas como defensivas en contra de los atacantes.

De esta manera encontramos que las diferentes disciplinas de la inteligencia se pueden combinar de diversas maneras todas con el objetivo de proveer información que pueda ser de utilidad para nuestros intereses ya sea para defendernos en contra de los atacantes, así como para vulnerar a los mimos y estar un paso por delante de sus siguientes acciones, todo esto enfocado a nuestro ambiente cibernético.

Ahora bien ¿Cómo podemos aprovechar el uso de nuestras diferentes disciplinas?, bueno pues debemos de tener en cuenta que siempre tenemos que tener en mente nuestro objetivo como analistas de inteligencia el cual es entregar un producto que satisfaga las necesidades de nuestros clientes, estos últimos pueden ser nosotros mismos, nuestra organización para la cual laboramos o para los clientes de nuestra organización. 

Para lograr todo esto debemos de apegarnos al proceso del ciclo de vida de la inteligencia el cual lo vamos a revisar en la tercera parte de esta entrada.

Amigos por el momento eso es todo de mi parte, una vez más les ofrezco una disculpa por haber retrasado esta segunda entrega, espero que les guste y por favor dejen algún comentario bueno, malo etc, todos son constructivos y es únicamente para mejorar. Les agradezco ese ratito que le dedican a leer nuestras entradas y que siga la cacería!!!

 

-B0s5-

Bugbu5t3r5 te lleva a ver a MUSE en concierto

Qué tal bu5t3r5 mañana 17 de noviembre  es el concierto de muse en el palacio de los deportes y lo prometido es deuda, bugbu5t3r5 te lleva a ver a MUSE en concierto!!, que debes de hacer? Es muy sencillo solamente  sigue la cuenta de Twitter del blog que es @bu5t3r5 y también la de @bu5t3rb0s51 y consigue al menos 80 seguidores para las cuentas mencionadas, cada seguidor que que consigas para las cuentas debera de publicar un mensaje a la cuenta de @bu5t3r5 con el hashtag #YoSoyBu5t3r y etiquetarlos a ustedes Dentro de su mensaje. El primero que llegue a la meta de agregar 80 nuevos followers será el ganador de un boleto para ver a MUSE en concierto, tienes hasta el día de mañana 17 de noviembre a las 5:00 PM para participar, el ganador será anunciado a través de la cuenta oficial de Twitter y el premio será entregado en el foro sol antes del inicio del concierto, así que no pierdas tiempo y que comience la cacería!!

Fechas y Sedes para cursos de seguridad de la informacion el 1er Q de 2016

Saludos Bug Bu5t3r5! 

Ya tenemos listo nuestro calendario para el primer cuarto del 2016! Hay tiempo para empezar a ahorrar! Hay cambios en algunos de los temarios y se vienen cursos nuevos para el Q2 del 2016 como Cyber threat Intelligence, Hacking y PT y DLP así que estén pendientes!

Puedes descargar el temario y más información del curso de cyber security Monterrey aquí

Puedes descargar el temario y más información del curso de cyber security Panamá aquí

Puedes descargar el temario y más información del curso de Computo Forense en Monterrey aquí

Puedes descargar el temario y más información del curso de Computo Forense en la Cd de México aquí

 Puedes descargar el temario y más información del curso de Computo Forense en Panamá aquí

 Puedes descargar el temario y más información del curso de Computo Forense en Costa Rica aquí

Paga tu curso antes de que termine el año 2015 y obtén un 15% de descuento en tu inscripción!  

UMDI un framewrok para investigaciones digitales en México Parte 2 de 6

Saludos bugbu5t3r5!

Estamos de regreso con la serie de UMDI en la cual estoy presentando un framework para las investigaciones digitales en México.

Continuemos con la fase de preparación y ahora hablemos de la infraestructura y personal.

Este es un tema increíblemente extenso, esta fase habla acerca de las instalaciones que debemos tener como parte de nuestro laboratorio. Aquí quiero hacer una anotación. Un laboratorio forense…. Si estuviéramos con nuestros vecinos del norte estaríamos hablando de un lugar cerrado, con controles biométricos, pisos, paredes y mesas anti estáticas, estaciones con 2 o 3 monitores.

Sin embargo aterrizándolo a mi experiencia de mi actual y pasados trabajos y lo que estoy seguro muchos de ustedes estarán de acuerdo eso por lo general no pasa aquí… conozco en México un par de empresas privadas y del sector público que tienen laboratorios que no le piden nada a otros laboratorios  internacionales, sin embargo la norma es que tu laboratorio es tu lugar de trabajo. 

Si tienes suerte será un lugar cerrado con una puerta convencional, pero por lo general es tu lugar de trabajo rodeado de tus compañero de otras áreas, ¿es lo ideal? No, pero tampoco es una razón para no poder llevar a cabo una excelente investigación déjenme compartir con ustedes lo que a lo largo de estos años eh aprendido en cuanto a mi infraestructura para realizar mis investigaciones.

Déjenme ser un poco presumido y decirles que actualmente cuento con un FRED de DI sin embargo no siempre ha sido así, así que aquí les dejo los requerimientos MINIMOS probados que su máquina de análisis debe tener:

Memoria RAM: 4GB 

Disco duro: 80 GB

Procesador: Core i3 o similar

Puertos de USB 2 o más

Con dificultad al correr ciertos procesos pero yo eh logrado terminar casos con una máquina de estas características, así que cualquier sistema de análisis que utilicen que sobrepasen estas características pude ser su máquina de análisis.

Ahora que hemos aclarado esa parte del sistema en el que haremos nuestros análisis quiero tocar otro tema de nuestra infraestructura forense que son los bloqueadores de escritura. Parte de las reglas de oro es mantener la integridad tanto de nuestra evidencia original como de nuestras imágenes. 

Para esto utilizamos un bloqueador de escritura, este puede ser de hardware o de software. Aquí pueden ver los bloqueadores de escritura de hardware y aquí y aquí pueden ver dos de los bloqueadores de escritura por software una para Windows y uno para Linux, los dos bastante buenos al cumplir su función. EnCase de forma nativa contiene un bloqueador de escritura llamado FastBlock SE.  Por favor tengan cuidado al utilizar los bloqueadores de software asegúrense  que al finalizar su utilización estos sean desactivados ya que podría impactar en su interacción con sus puertos de USB.

Entre otras cosas que deben tener en su arsenal forense se encuentras las siguientes cosas:

-          Desarmadores de puntas de precisión

-          Linterna

-          Clips

-          Ligas

-          Adaptadores de SATA o SAS a USB

-          Adaptador de IDE a USB

-          Bolígrafo! No hay nada más lamentable que alguien que tiene que pedir prestado un             bolígrafo al momento de estar haciendo un caso!

-          Cables de repuesto

-          Etiquetas o etiquetadora

-          Bolsas antiestáticas

-          Marcadores

Ahora veamos cuales son los roles que deberíamos en teoría tener dentro de nuestros equipos forenses, aquí nuevamente en mi experiencia es sumamente complicado que existan todos estos roles en nuestros equipo y a veces una o dos personas deben asumir todos los roles. 

Tabla de roles
Rol	Descripción del rol
Examinador Forense	- Procesa la evidencia recolectada de las escenas del crimen       - Genera imágenes forenses       - Genera líneas de tiempo       - Ayuda a la redacción del reporte          2 – 3 años de experiencia
Analista Forense	- Revisa la evidencia ya procesada       - Emite opinión experta cuando sea necesario       - Ataca los casos de complejidad técnica más elevada       - Generación de reportes técnicos y ejecutivos       - < 5 años de experiencia
Gerente de Lab Forense	- Asignación de casos       - Revisión y verificación de los reportes emitidos por el examinador y el analista forense       - Participación activa en la resolución de casos complejos       - Contacto directo y presentación de hallazgos a la alta gerencia
First Responder	- El primero en llegar a la escena del crimen        - Asegura la integridad de la evidencia en sitio       - Documentación de la escena del crimen       - Etiquetación y embalaje de la evidencia decomisada       - Generación de la cadena de custodia

Control de Accesos y permisos

Ahora hablemos de las últimas dos sub fases de esta primera fase,  el control de accesos y permisos hace referencia a todo lo que tenga que ver con los documentos que nos certifican para estar en un determinado tiempo en un determinado lugar.

Por ejemplo cuando tengo que extraer un disco duro de madrugada tengo que tener diversos documentos como por ejemplo un correo electrónico impreso de un director o gerente quien autoriza la extracción del disco en horas no estándares, y la cadena de correos y comentarios que esto pueda generar, un correo de la persona encargada del área donde se realizara la extracción y por ultimo una confirmación por parte de seguridad física de que estaremos trabajando de noche  y se dará el apoyo.

Así el poli que está en la madrugada que seguramente no es el mismo que esta durante el día te pida ver autorización y te diga que “a el nadie le aviso que habría gente trabajando de noche”, pueda ver que todo está en orden y no sea un obstáculo que represente un atrasa en nuestro trabajo.

Es también necesario contar con los accesos necesarios, en la actualidad la mayoría de los edificios dan accesos restringidos a diferentes áreas del mismo. Es decir mi credencial solo funciona con el lector de mi área si yo intento ir a un piso diferente no abra forma de abrir esa puerta. Es importante contar con estos permisos actualizados o bien con algún personal del área involucrada que te de acceso libre a los controles de seguridad de las puertas. 

Preparación de hardware y software

La preparación de hardware y software se refiere a mantener todas nuestras herramientas actualizadas, los fabricantes actualizan su firmware con nuevas características, con parches de seguridad, con arreglos de algunas fallas.  Estas actualizaciones son críticas para el buen funcionamiento de todas las herramientas, en mi laboratorio el último jueves de cada mes se revisa cada pieza de software y hardware por nuevas actualizaciones. 3

En caso de usar software comercial es importante revisar el estado de nuestras licencias, hace un par de meses me llamaron a dar una asesoría ya que había diversas inconsistencias en el proceso, al revisar el proceso me di cuenta que el problema real residía en que su hardware llevaba más de 5 años sin actualizar y que sus licencias estaban vencidas, horas de trabajo se perdieron en tratar de solucionar los problemas aunque la solución realmente era mucho más sencilla.

Este es el final de la primera fase de UMDI recuerden que esto que posteo es en base a lo que yo eh experimentado a lo que yo eh probado, si alguien de nuestros lectores tiene una opinión diferente o quisiera agregar algo, bienvenido! 

Sigan pendiente para la siguiente fase en la que aprenderemos a identificar y levantar evidencia de nuestra escena del crimen. 

**Bu5t3R**

Cyber Intelligence: ¿Qué es?, ¿Cómo se come? Y ¿A que sabe? (Parte 1)

Que tal Bug Bu5t3r5, antes que nada quiero dar las gracias al creador de este blog por permitirme participar como un bu5t3r más en este gran proyecto, yo soy “B0s5” y recientemente me integre al equipo de BugBu5t3r5. Me da mucha alegría y entusiasmo el poder compartir con ustedes un poco de conocimiento que pueda ayudarlos en su desempeño del día a día, espero de antemano que podamos tener ese match entre redactor y lector y que todas las entradas que publique sean para un beneficio mutuo y podamos crecer juntos de la mano.

Hoy voy a tocar un tema que si bien no es nuevo a nivel global al menos en la región de Latinoamérica es muy poco escuchado, se trata de “Cyber Intelligence”. Tal vez algunos de ustedes hayan escuchado este término en alguna ocasión, inclusive se encuentren relacionados directamente en su empleo o sus actividades cotidianas, sin embargo aún existe un gran hueco que nos impide familiarizarnos por completo con el tema y que a los ojos del mundo continua observándose como un gran misterio del que todo el mundo sabe pero que nadie exactamente lo define, es por eso que dentro de las siguientes líneas de este blog el cual dividiré en varias partes, se encontraran con una breve introducción a este gran mundo y que a pesar de ser breve espero que les muestre un panorama claro sobre que es Cyber Intelligence, y pues nada vamos al lío!!.

Antes que nada comencemos por definir ¿qué es la inteligencia? en general y después lo enfocaremos a la parte de “Cyber”, que por definición se refiere a la cultura cibernética, a todo aquello relacionado a la tecnología avanzada o que tiene interacción directa con los sistemas informáticos.

Quiero comenzar la definición de inteligencia especificando que las TTPs (Tactics, Techniques and Procedures), “Técnicas, Tácticas y Procedimientos” que son los principales elementos en los que se basa la inteligencia ya existían incluso antes que existiera como tal el mismo ciber-espacio; ¿por que menciono esto?, la respuesta es simple, la ciber inteligencia esta basada en modelos militares los cuales han sido desarrollados desde hace ya muchos años y evolucionando a lo largo del tiempo, es por eso que no se sorprendan si dentro de esta área ustedes encuentran varios conceptos que suenen 100 % parte de la milicia, sin embargo el concepto de "ciber" unificado al de "Inteligencia" adecua todos estos enfoques en el ámbito 100% digital e informático. 

Por ejemplo desde un punto militar táctico la inteligencia se observa como una fortaleza ofensiva y defensiva, por ejemplo a un comandante militar dentro de cualquier campo de batalla le interesaría conocer de manera anticipada cuáles son los pasos que el adversario va a realizar para de esta manera él poder preparar una efectiva ofensiva o para poder preparar una sólida defensiva ante algún ataque. Dentro de Cyber Intelligence nos encontramos un enfoque muy parecido sin embargo el campo de batalla principalmente son todos nuestros sistemas informáticos y la ofensiva y defensiva son nuestros TTPs que utilizaremos para prevenir o realizar ciber ataques en contra de nuestra tecnología. 

El departamento de defensa de los EUA publicó un paper en Octubre de 2013 el cual fue titulado como “Joint Intelligence”, dicho documento contiene 144 paginas donde se puede encontrar una gran cantidad de información sobre la inteligencia militar; independientemente de que el paper contenga definiciones militares existen varios elementos que pueden ser rescatados para definir y comprender de mejor manera que es la Ciber Inteligencia. Según este documento la inteligencia es “El producto resultante de la recolección, el procesamiento, la integración, evaluación, análisis  e interpretación de la información disponible en relación con las naciones extranjeras, fuerzas o elementos hostiles o potencialmente hostiles y/o zonas de operación actuales o potenciales”, ahora si tomamos aquellos elementos generales e intercambiamos aquellos elementos militares para cambiar el contexto y enfocarlo a la ciber inteligencia, lo podríamos definir más o menos así “El producto resultante de la recolección, el procesamiento, la integración, evaluación, análisis  e interpretación de la información disponible en relación con todos aquellos individuos u elementos tecnológico y no tecnológicos que representen una amenaza en contra de los sistemas informáticos, dispositivos y/o tecnologías que son utilizadas para un objetivo en común dentro de alguna organización”

La imagen de arriba muestra de manera clara lo que la definición nos dice en donde podemos identificar algunos elementos que pertenecen al ciclo de vida del proceso de obtención de Inteligencia, este tema me gustaría discutirlo en la segunda entrada del blog donde les explicare algunos conceptos que veremos más adelante así como el life cycle completo de la Inteligencia, por el momento describiré de manera breve los elementos que tenemos en la imagen.

El Operational Environment, u ambiente operacional se refiere a todo el entorno en donde se genera la data en crudo para ser explotada, esta puede ser un ambiente informático/digital o físico.

La Data, se refiere a toda aquella información en crudo que ha sido obtenida del ambiente operacional después de haber aplicado un proceso de colección de información.

La Información, se refiere al resultado de toda la data después de haber sido sometida a un procesamiento y explotación, lo cual quiere decir que de toda la información en crudo que teníamos al inicio solamente nos queda toda aquella información digerida que puede ser utilizada por los analistas de manera sustancial.

Y por último la Inteligencia que como ya lo revisamos es el resultado de la información después de haber sido sometida hablando de manera muy general a una serie de procesos de colección, procesamiento y análisis.

Ahora bien una característica importante que debe de contener la inteligencia para cualquiera que fuese el fin de la misma es que siempre debe estar enfocada a obtener un resultado y cumplir con un objetivo.

Dentro del mismo documento del departamento de defensa de los EUA se mencionan más elementos que son utilizados en la Ciber Inteligencia como lo son las diferentes disciplinas de la inteligencia, no voy a indagar dentro de ellas en este blog por que se extendería demasiado, pero sin duda alguna en la siguiente entrada tocaremos cada uno de estas y su definición, en esta ocasión solamente mencionare a manera informativa cuales son algunas de las más comunes. Por ejemplo una de las más conocidas es la derivada de la interacción humana “Human Intelligence” (HUMINT), todos hemos visto en alguna ocasión alguna película en donde es clásico la escena del “Tehuacanazo” bueno, si bien esta no es la mejor manera de obtener información, si es un buen ejemplo para ilustrar a que se refiere esta disciplina jejeje.

Por otro lado tenemos la Inteligencia geoespacial “Geospatial Intelligence” (GEOINT), esta me gustaría ilustrarla con gran ejemplo actual (No es que yo lo haga, pero dicen!!) imaginen que poseen un dron, ya saben esas pequeñas mini navecitas con cámaras de vídeo digitales muy de moda últimamente, y que se la pasan tomando fotos y vídeos a medio mundo, al vecino o la vecina, lo usan para curiosear en lugares prohibidos, en fin insisto “dicen”, pero bueno esta es una buena manera de mostrar cómo se obtiene  información a través de esta disciplina.

 Por ultimo tenemos la que yo pienso que es la más común y que incluso es utilizada por todos nosotros al realizar la búsqueda de nuestra tarea en internet, o buscar el perfil de aquel chico o chica que te gusta etc, me refiero a la inteligencia basada en búsqueda de fuentes de investigación abierta “Open Source Intelligence” (OSINT), esta disciplina se basa en obtener información de toda aquella fuente abierta disponible para todo público y que en verdad es muy útil y muy empleada en la Ciber Inteligencia.

Aún existen otras disciplinas de inteligencia y sub disciplinas que voy a mencionar posteriormente en la segunda parte de este blog, no quiero que las entradas del blog sean tan prolongados por que el concepto de ciber inteligencia es bastante amplio y me gustaría que lo fuéramos desmenuzando poco a poco.

Por el momento Bug Bu5t3r5 esto es todo de mi parte y espero que les agrade esta mi primera participación dentro del equipo de Bug bu5t3r5, y los invito a que compartan y comenten cualquier duda, observación, sugerencia, etc, siempre será bien bienvenida por un servidor y como ya lo ha dicho el creador de este blog en posts anteriores, no sabemos todo y la idea es crecer juntos, recuerden que el conocimiento es la mejor arma que tendrás en tu vida, fue un placer, por el momento me despido no sin antes desearles Happy Bu5ting!! y hasta la próxima \m/.

-B0s5-