[hackmeeting] Propuesta de nodo

[Daniel Fdez. Bleda]

Un saludo a los conocidos, a los que nos vemos este fin de semana en BCN y a
los que no.

Os propongo una charla/Taller sobre inform�tica forense, pero que pretendo
que sea bastante pr�ctica.
Aprovechando el gusanillo que A.J.G.M. nos meti� el a�o pasado sobre la
inform�tica forense en el Madhack, yo pretendo hacer algo m�s de cacharreo,
pero no orientado al 100% al an�lisis m�quinas comprometidas sino tambi�n a
capturas de ataques reales de los que hay que entender si son tales y su
finalidad.

Bueno, ah� va.
DaniFB
--------------------------------------------------------
1. Dinamizadores/as

DaniFB

2. T�tulo(s)

Taller de an�lisis forense de ataques, escaneos, capturas y m�quinas
comprometidas.

3. Resumen

Mostrar los m�todos de an�lisis de capturas de datos (a veces ataques) para
determinar sus intenciones, consecuencias, etc.

4. Palabras clave (para buscar en Internet)

Inform�tica forense, honeynet, hacking, ...

5. Conocimientos necesarios

Ser�a conveniente conocer un poco TCP/IP, linux, snort, nmap, tcpdump, etc.

6. Estructura/contenido

El objetivo principal de este taller es hacer una demostraci�n pr�ctica de
an�lisis forense de capturas de ataques en diferentes formatos:
1. Capturas realizadas con tcpdump.
2. Capturas realizadas con snort.
3. Im�genes de particiones de discos duros comprometidos.
4. Im�genes de disquettes con informaci�n sensible.
5. Capturas de escaneos de nmap, hping2, nemesis, etc.

La gran mayor�a de los an�lisis se extraeran de los Scan Of The Month que se
han ido presentando en el proyecto HoneyNet en los dos �ltimos a�os, otros
ser�n de pruebas de test de intrusi�n siguiendo la metodolog�a OSSTMM en
entornos controlados o no. El objetivo de este taller es mostrar los m�todos
y herramientas de an�lisis "rapido" de estas evidencias o sistemas
comprometidos con el objetivo de identificar sus intenciones, herramientas
empleadas y consecuencias en los sistemas atacados.
Ya que los resultados propuestos est�n disponibles para todo el mundo a
trav�s de la web de honeynet.org as� como las diferentes soluciones que se
han ido proponiendo en cada uno de los SOTM, el objetivo es introducir a las
diferentes interpretaciones que se han presentado y llevar a cabo la
reconstrucci�n de esas deducciones y an�lisis.

7. Metodolog�a: exposici�n, discusi�n, cacharreo, etc.

Parte explicaci�n (la menor) y parte cacharreo (la mayor).

8. Duraci�n

1h30'-2h

9. Lecturas recomendadas

Cualquier cosa de Inform�tica forense, manuales de snort, ethereal, nmap,
hping2, tcpdump, RFCs de TCP, IP, UDP e ICMP.

10. Material necesario (incluyendo tipo de espacio por si hace falta un
espacio abierto sin sillas o lo que sea, proyector, etc.)

Proyector, punto de red a Internet (por si decidiese hacer alguna prueba al
exterior, que intentar�a evitar)

11. Preferencias de horarios

S�bado tarde o domingo.

12. Seguridad de la asistencia (del 1 al 10)

11?

13. Documentaci�n de la charla (si la hay, para colgar en la web del HM)

El d�a despu�s de la charla.
-----------------------------------------------------------