Forensics in Spanish
Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 04 2011 07:49PM
gorka - (ray bradbury9 gmail com) (4 replies)
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 05 2011 08:36AM
Jose Selvi (jselvi pentester es) (2 replies)
RE: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 06 2011 10:46AM
Wilfredo Fabricio Sanchez (wsanchez ctj com ar)
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 05 2011 11:29AM
gorka - (ray bradbury9 gmail com) (1 replies)
En resumen,

Obviando SystemRescueCd, que parece una herramienta interesante si se joden
particiones pero no da garantias forenses, las mas populares por lo que veo
son:

Helix
Deft
Caine
Sift

Con eso creo que tengo para trastear y probar bastante :-) Ahora estoy
mirando Deft y Caine.

Muchas gracias por la información, y siento haber respondido antes en
inglés, se me fue la olla.

El 5 de enero de 2011 09:36, Jose Selvi <jselvi (at) pentester (dot) es [email concealed]> escribió:

> ¿Hay alguna distribucion linux con todo el software instalado y
>> preconfigurada para que tenga ese comportamiento o tengo que partir de
>> alguna distribucion, agregarle el software y configurarla? ¿Se puede
>> personalizar una ISO de Fire, Trinux o similar?
>> ¿La eleccion de herramientas es la adecuada? El libro de referencia ya
>> tiene unos años, aunque parece certero estoy en duda.
>> ¿Es logica la eleccion de un unico DVD para la recoleccion de datos
>> volatiles y obtencion de las imagenes de los discos?
>>
>
> Hola Gorka, hay un montón de LiveCD's Linux enfocados en Forensics. En
> general, se recomienda usar uno de estos, porque otros no específicos no te
> garantizan que se monten las unidades en solo lectura, ni otros requisitos
> indispensables para hacer un forense.
>
> Te paso una lista de 3 o 4 distribuciones que conozco yo para que les
> pegues un vistazo:
>
> - Helix 3 (http://www.e-fense.com/products.php): Antes era una referencia,
> de hecho se sigue usando en los cursos del SANS Institute de Forensics &
> Incident Response, pero en un momento dado la hicieron de pago. No la he
> probado desde entonces, pero por lo que he mirado en la web, no es cara
> ($125, unos 95? al cambio actual).
>
> - SIFT (http://computer-forensics.sans.org/community/downloads/): Es la
> "SANS Investigate Forensics Tookit", una máquina virtual o ISO creada por
> los especialistas de Forensics del SANS Institute. Tiene la ventaja de que
> en ocasiones SANS crea "Forensics Challenges" sobre temas para los que no
> existen herramientas, y al que gana el reto, además de darle un premio,
> incluye su herramienta en la distribución, lo cual puede ser MUY
> interesante. Yo desde luego, la tendría a mano en cualquier caso.
>
> - CAINE (http://www.caine-live.net/): Esta leí hace tiempo que fue una
> Tesis de unos estudiantes italianos que intentaban una integración más
> profunda de todas las herramientas de Forensics habituales. No sé que tal
> les quedaría "la mezcla", pero si lo pruebas... cuentanoslo :)
>
> - DEFT (http://www.deftlinux.net/): Otra distro interesante. No la he
> usado mucho, pero la oigo bastante y en la web pone que la usan en Italia
> algunos cuerpos de policía antimafia.
>
> Yo generalmente uso las dos primeras, pero pegale un vistazo a todas, a ver
> si encuentras la que más se adapta a tus gustos y necesidades, que eso es lo
> bueno de que haya variedad (y lo malo que si se concentraran esfuerzos quizá
> tendríamos productos mucho mejores, o no?)
>
> Espero que te sirva mi respuesta.
> Saludos!
>
> --
> Jose Selvi.
> Security Technical Consultant
> CISA, CISSP, CNAP, GCIH, GPEN
>
> http://www.pentester.es
>
> SANS Mentor in Madrid (Spain). September 23 - November 25
> SEC560: Network Penetration Testing and Ethical Hacking
> http://www.sans.org/mentor/details.php?nid=24133
> http://www.pentester.es/2010/12/nuevo-grupo-y-descuento-para-network.htm
l
>
En resumen,<br><br>Obviando SystemRescueCd, que parece una herramienta interesante si se joden particiones pero no da garantias forenses, las mas populares por lo que veo son:<br><br>Helix<br>Deft<br>Caine<br>Sift<br><br>Con eso creo que tengo para trastear y probar bastante :-) Ahora estoy mirando Deft y Caine.<br>
<br>Muchas gracias por la información, y siento haber respondido antes en inglés, se me fue la olla.<br><br><br><div class="gmail_quote">El 5 de enero de 2011 09:36, Jose Selvi <span dir="ltr"><<a href="mailto:jselvi (at) pentester (dot) es [email concealed]">jselvi (at) pentester (dot) es [email concealed]</a>></span> escribió:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

¿Hay alguna distribucion linux con todo el software instalado y<br>
preconfigurada para que tenga ese comportamiento o tengo que partir de<br>
alguna distribucion, agregarle el software y configurarla? ¿Se puede<br>
personalizar una ISO de Fire, Trinux o similar?<br>
¿La eleccion de herramientas es la adecuada? El libro de referencia ya<br>
tiene unos años, aunque parece certero estoy en duda.<br>
¿Es logica la eleccion de un unico DVD para la recoleccion de datos<br>
volatiles y obtencion de las imagenes de los discos?<br>
</blockquote>
<br></div>
Hola Gorka, hay un montón de LiveCD's Linux enfocados en Forensics. En general, se recomienda usar uno de estos, porque otros no específicos no te garantizan que se monten las unidades en solo lectura, ni otros requisitos indispensables para hacer un forense.<br>

<br>
Te paso una lista de 3 o 4 distribuciones que conozco yo para que les pegues un vistazo:<br>
<br>
- Helix 3 (<a href="http://www.e-fense.com/products.php" target="_blank">http://www.e-fense.com/products.php</a>): Antes era una referencia, de hecho se sigue usando en los cursos del SANS Institute de Forensics & Incident Response, pero en un momento dado la hicieron de pago. No la he probado desde entonces, pero por lo que he mirado en la web, no es cara ($125, unos 95? al cambio actual).<br>

<br>
- SIFT (<a href="http://computer-forensics.sans.org/community/downloads/" target="_blank">http://computer-forensics.sans.org/community/downloads/<
/a>): Es la "SANS Investigate Forensics Tookit", una máquina virtual o ISO creada por los especialistas de Forensics del SANS Institute. Tiene la ventaja de que en ocasiones SANS crea "Forensics Challenges" sobre temas para los que no existen herramientas, y al que gana el reto, además de darle un premio, incluye su herramienta en la distribución, lo cual puede ser MUY interesante. Yo desde luego, la tendría a mano en cualquier caso.<br>

<br>
- CAINE (<a href="http://www.caine-live.net/" target="_blank">http://www.caine-live.net/</a>): Esta leí hace tiempo que fue una Tesis de unos estudiantes italianos que intentaban una integración más profunda de todas las herramientas de Forensics habituales. No sé que tal les quedaría "la mezcla", pero si lo pruebas... cuentanoslo :)<br>

<br>
- DEFT (<a href="http://www.deftlinux.net/" target="_blank">http://www.deftlinux.net/</a>): Otra distro interesante. No la he usado mucho, pero la oigo bastante y en la web pone que la usan en Italia algunos cuerpos de policía antimafia.<br>

<br>
Yo generalmente uso las dos primeras, pero pegale un vistazo a todas, a ver si encuentras la que más se adapta a tus gustos y necesidades, que eso es lo bueno de que haya variedad (y lo malo que si se concentraran esfuerzos quizá tendríamos productos mucho mejores, o no?)<br>

<br>
Espero que te sirva mi respuesta.<br>
Saludos!<br>
<br>
-- <br>
Jose Selvi.<br>
Security Technical Consultant<br>
CISA, CISSP, CNAP, GCIH, GPEN<br>
<br>
<a href="http://www.pentester.es" target="_blank">http://www.pentester.es</a><br>
<br>
SANS Mentor in Madrid (Spain). September 23 - November 25<br>
SEC560: Network Penetration Testing and Ethical Hacking<br>
<a href="http://www.sans.org/mentor/details.php?nid=24133" target="_blank">http://www.sans.org/mentor/details.php?nid=24133</a><br>

<a href="http://www.pentester.es/2010/12/nuevo-grupo-y-descuento-para-netwo
rk.html" target="_blank">http://www.pentester.es/2010/12/nuevo-grupo-y-descuento-
para-network.html</a><br>
</blockquote></div><br>

[ reply ]
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 11 2011 10:17AM
Francisco J. Tsao Santin (tsao members fsf org)
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 04 2011 10:53PM
Gonzalo Asensio Asensio (gonzalo seguridadeninternet es)
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 04 2011 10:49PM
Ricardo David Carrillo Sanchez (dominus ceo gmail com)
Re: Creacion de un kit de respuesta ante incidente: Preguntas de un novato Jan 04 2011 09:31PM
Daniel Firvida (dfirvida gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus