Professional Documents
Culture Documents
http://www.owasp.org
Mauricio Urizar
murizar@open-sec.com
@MauricioUrizar
Anlisis Forense
de un
Ataque We
Mauricio Urizar
l
Trabajando los ltimos 07 aos como parte del
euipo de hac!er eticos de "pen#$ec.
l
%nstructor de cursos de &thical 'ac!ing en (er )
&cuador.
!"#$ %!erti&ed " #thical $ac'er(
!#) %!erti&ed #!-!ouncil )nstructor(
!PT# %!erti&ed Penetration Tester(
!PT# Mile* - Authorized )nstructor
OS#$ %Open-Sec #thical $ac'er(
l
&sta presentaci*n tiene como prop*sito pro+eer nicamente in,ormaci*n. -o
aplicar este material ni conocimientos sin el consentimiento e.pl/cito ue
autorice a hacerlo. 0os lectores 1participantes2 o)entes2 +identes3 asumen la
responsabilidad completa por la aplicaci*n o e.perimentaci*n de este
material )/o conocimientos presentados. &l1los3 autor1es3 uedan
e.ceptuados de cualuier reclamo directo o indirecto respecto a daos ue
puedan haber sido causados por la aplicaci*n de este material )/o
conocimientos e.puestos.
l
0a in,ormaci*n au/ e.puesta representa las opiniones ) perspecti+as propias
del autor respecto a la materia ) no representan ninguna posici*n o4cial de
alguna organizaci*n asociada.
+#S!A,-O +#
,#SPO.SA/)0)+A+#S
Por qu estoy aqu?
1uienes deen estar aqu23 ..
Escenario
Atacante
Ser4idor We
?
1ue uscamos..
)n4esti5aci6n Forense
)n4esti5acionsore un acontecimiento del pasado con el &n de
determinar las posiles causas 7 responsales de dicho
acontecimiento.
Por qu estoy aqu?
+e&nici6n de la Metodolo52a
http://www.justice.gov/usao/eousa/foia_reading_room/usab5601.pdf
Por qu estoy aqu?
Proceso Forense Tradicional
!A+#.A +# !USTO+)A
5&l (roceso 6orense %n,orm7tico consiste en recolectar datos desde un medio para
generar in,ormaci*n ue permita encontrar e+idencia de un hecho en particular8
RE!"E#!$
%denti4cacion
de "rigenes
de 9atos
&.traccion de
%magen/9atos
E%&"'&#!$
:e+isionde
%magen/9atos
&$&"#(#(
;omparacion
de 'allazgos
con <taues
conocidos
;reacion de
&+idencia
RE)!R*E
(resentacion )
$ustento de
;aso
89 - !on&5urando WeScara
!adena de !ustodia
!on&5urando el Pro:7 89 - !on&5urando WeScara
-u2a de ,ecolecci6n
de #4idencia +i5ital
Procesos
+umpeo de memoria
)ma5en Forense
+isco !onectado
&na/i9ando #magen &d:uirida
&na/i9ando Registros .hives1 de <indows
&rchivos onocidos
$er+idor web
$er+idor de <plicaciones
<plicaci*n
0as aplicaciones web son a menudo cr/ticas)el tiempo de inacti+idad para realizar la aduisici*n
deunaimagen.Oesunaopciondesdeel punto de 4ista deelne5ocio.