[hackmeeting] Propuesta de nodo

[Daniel Fdez. Bleda]

Un saludo a los conocidos, a los que nos vemos este fin de semana en BCN y a
los que no.

Os propongo una charla/Taller sobre informática forense, pero que pretendo
que sea bastante práctica.
Aprovechando el gusanillo que A.J.G.M. nos metió el año pasado sobre la
informática forense en el Madhack, yo pretendo hacer algo más de cacharreo,
pero no orientado al 100% al análisis máquinas comprometidas sino también a
capturas de ataques reales de los que hay que entender si son tales y su
finalidad.

Bueno, ahí va.
DaniFB
--------------------------------------------------------
1. Dinamizadores/as

DaniFB

2. Título(s)

Taller de análisis forense de ataques, escaneos, capturas y máquinas
comprometidas.

3. Resumen

Mostrar los métodos de análisis de capturas de datos (a veces ataques) para
determinar sus intenciones, consecuencias, etc.

4. Palabras clave (para buscar en Internet)

Informática forense, honeynet, hacking, ...

5. Conocimientos necesarios

Sería conveniente conocer un poco TCP/IP, linux, snort, nmap, tcpdump, etc.

6. Estructura/contenido

El objetivo principal de este taller es hacer una demostración práctica de
análisis forense de capturas de ataques en diferentes formatos:
1. Capturas realizadas con tcpdump.
2. Capturas realizadas con snort.
3. Imágenes de particiones de discos duros comprometidos.
4. Imágenes de disquettes con información sensible.
5. Capturas de escaneos de nmap, hping2, nemesis, etc.

La gran mayoría de los análisis se extraeran de los Scan Of The Month que se
han ido presentando en el proyecto HoneyNet en los dos últimos años, otros
serán de pruebas de test de intrusión siguiendo la metodología OSSTMM en
entornos controlados o no. El objetivo de este taller es mostrar los métodos
y herramientas de análisis "rapido" de estas evidencias o sistemas
comprometidos con el objetivo de identificar sus intenciones, herramientas
empleadas y consecuencias en los sistemas atacados.
Ya que los resultados propuestos están disponibles para todo el mundo a
través de la web de honeynet.org así como las diferentes soluciones que se
han ido proponiendo en cada uno de los SOTM, el objetivo es introducir a las
diferentes interpretaciones que se han presentado y llevar a cabo la
reconstrucción de esas deducciones y análisis.

7. Metodología: exposición, discusión, cacharreo, etc.

Parte explicación (la menor) y parte cacharreo (la mayor).

8. Duración

1h30'-2h

9. Lecturas recomendadas

Cualquier cosa de Informática forense, manuales de snort, ethereal, nmap,
hping2, tcpdump, RFCs de TCP, IP, UDP e ICMP.

10. Material necesario (incluyendo tipo de espacio por si hace falta un
espacio abierto sin sillas o lo que sea, proyector, etc.)

Proyector, punto de red a Internet (por si decidiese hacer alguna prueba al
exterior, que intentaría evitar)

11. Preferencias de horarios

Sábado tarde o domingo.

12. Seguridad de la asistencia (del 1 al 10)

11?

13. Documentación de la charla (si la hay, para colgar en la web del HM)

El día después de la charla.
-----------------------------------------------------------