Curso de informática forense aplicada 2024

Este año imparto un curso de técnicas forenses aplicadas.

Este curso responde a una petición recurrente por parte de los alumnos del curso de peritajes informáticos de que explique la parte técnica de herramientas de la primera intervención en un proceso forense y de análisis de correos electrónicos e imágenes en formato JPG.

En este curso nos vamos a centrar en dos aspectos: por un lado, en la parte práctica de la figura del responsable de la primera intervención. Es decir, en la persona encargada de salvar la evidencia, y generar las imágenes. También vamos a entrar en las fases posteriores en las que se prepara la evidencia digital para el análisis forense. En esta primera parte vamos a analizar las principales metodologías de respuesta a incidentes y primera intervención: las metodologías del NIST, y las del NIJ. La recuperación de pruebas cumpliendo la UNE-EN ISO/IEC 27037:2016. Los distintos tipos de firmas hash, y sus propiedades.

En una segunda parte, nos centraremos en algunos aspectos del análisis forense; en concreto, vamos a aprender a analizar correos electrónicos y fotografías en formato JPEG; y a utilizar la aplicación forense Autopsy.

Este curso está enfocado de forma distinta al curso de peritajes informáticos. Va a ser muy práctico. Y por «muy práctico», significa que cada uno va a llevar su propia «estación forense» para trabajar en clase dos de los tres días. Vamos entrar en las herramientas que yo utilizo, y cómo las utilizo en mi día a día profesional.

La primera sesión práctica nos vamos a centrar en la adquisición forense, en las mecánicas y protocolos DEFR, y en las herramientas del primer interviniente, cuya función es preservar la prueba. Trabajaremos con Caine.

La segunda sesión práctica nos centraremos en la parte de Análisis Forense; es decir, en el trabajo que el forense realiza una vez está en su oficina, a partir de las evidencias preservadas durante la fase de DEFR. Analizaremos el caso de los correos, de las fotografías en formato JPEG, y de Autopsy sobre imágenes Windows.

En el curso no veremos la redacción de los informes periciales -lo que se entrega al tribunal-. Esto supondremos que ya lo conocéis, aunque el curso se puede completar sin saber escribir informes periciales. Intentaré repetir este año el curso de teleformación sobre peritajes informáticos, en el que sí explico la parte del trabajo que se entrega a los tribunales.

Lo que requiere el curso de base técnica es saber «cacharrear» con la consola de Linux.

El temario completo del curso es:

  • Uso de la distribución Caine para volcado forense de discos. El caso laboral.
  • Recuperación de contenido perdido, borrado o de unidades dañadas.
  • Conversión entre imágenes forenses.
  • Análisis forense de correos electrónicos.
  • Análisis forense de imágenes.
  • La aplicación forense Autopsy.

Y la distribución en fechas y horas será:

  • Sábado 23 de Noviembre de 9:00h a 14:00h: este día lo centraremos en DEFR: corresponde con la primera intervención, nuestro trabajo termina cuándo la evidencia digital está preservada.
  • Sábado 30 de Noviembre de 9:00 a 14:00h: ese día lo centraremos en el Análisis Forense: sobre copia de la evidencia preservada, realizaremos varios análisis comunes: sobre correos electrónicos, sobre imágenes en formato JPEG, recuperación de contenido, y hasta dónde podamos llegar con la aplicación Autopsy, que trabaja normalmente sobre imágenes de Windows.

Va a ser un curso de nivel bastante alto; por lo que presupongo que si lo vas a hacer, es porque ya puedes trabajar en Linux con la consola -aunque no tengas soltura, pero al menos que te aclares-, y que ya sabes de lo que van los peritajes informáticos. Un curso muy práctico, en el que te voy a mostrar los «cacharros» que yo utilizo, y vas a hacer las operaciones con tu propio equipo para que desarrolles soltura.

El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

El curso es de plazas limitadas, y es probable que se llene rápido. La matriculación puedes hacerla como muy tarde dos semanas antes del comienzo del curso, siguiendo este enlace: Curso de informática forense aplicada. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (los de seguridad, el de Kali, el de LaTeX, el de C, el de peritajes informáticos) y que te cuenten cómo les ha ido.

Espero verte en el curso.

Seguridad informática a través del engaño: honeypots, honeywebs y ocultación/reemplazo de servidores bajo ataque 2023

Este año imparto un nuevo curso de seguridad informática.

En este curso trataremos en profundidad algo que hemos tratado en otros cursos de pasada, o hemos mencionado, pero que es de mucha importancia en la práctica: la seguridad a través del engaño.

Aunque la seguridad a través de la oscuridad es una muy mala práctica y hay que evitarla por ser una política de seguridad deficiente, los mecanismos de engaño al atacante son muy útiles: cebos que nos permitan detectarlo de forma temprana, y que nos hagan ganar tiempo para dar una respuesta de seguridad eficaz. Poner cebos al atacante para obtener información estratégica de cuales son sus objetivos y táctico de su nivel técnico y de las vulnerabilidades que conoce y que puede buscar, así como de hacerle perder tiempo para que se le detecte de forma temprana y se puedan emprender acciones de protección y se gane tiempo para recopilar rastros de extrema volatilidad, se considera una herramienta clave en seguridad. Honeypots, honeynets, y sustitución condicional y transparente de servidores reales por servidores cebo son herramientas y metodologías avanzadas de seguridad de gran utilidad. En este curso aprenderemos a utilizar estas soluciones para los más diversos tipos de servicios y servidores, y vamos a dar un repaso por las distintas técnicas y herramientas de engaño y distracción al atacante, en los más diversos entornos tecnológicos.

El temario completo del curso es:

  • Honeypots y honeynets: conceptos. Niveles de interacción.
  • Instalación configuración y uso de honeypots: Honeypots para ssh, RDP, correo electrónico, aplicaciones web, bases de datos, wordpress, IOT y honeypots industriales (de PLC).
  • Distribuciones honeypot.
  • Honeynets.
  • Ocultamiento y sustitución transparente en caliente vía túneles ssh, iptables y port knocking.

Y la distribución en fechas y horas será:

  • 18 de noviembre de 2023 de 9:30 a 13:30: Este día daremos la introducción teórica a los honeypots y los honeynets. Hablaremos de iniveles de interacción, y cómo instalarlos y sustituir servidores reales por honeypots cuándo un IDS detecta un perfil de intrusión. Hablaremos de ocultamiento y sustitución transparente en caliente de servidores reales por honeypots y honeynets empleando túneles ssh, iptables y port knocking. También enseñaré toda la teoría que necesitaréis para hacer la parte de teleformación durante la semana siguiente, así como la configuración del entorno de trabajo.
  • 24 de noviembre de 2023 de 19:00 a 21:00: Este día todos venimos con un portátil con varias máquinas virtuales con Linux, y practicaremos todo lo estudiado en la clase anterior. Ya habréis hecho un primer intento desde la fase de teleformación, por lo que resolveremos dudas. También comenzaremos a ver y a probar distintos tipos de honeypots y honeywebs.
  • 25 de noviembre de 2023 de 9:30 a 13:30:Este día estudiaremos la instalación, uso y configuración de los honeypots restantes: honeypots para ssh, RDP, correo electrónico, aplicaciones web, bases de datos, wordpress, IOT y honeypots industriales (de PLC).

Va a ser un curso de nivel medio; por lo que presupongo que si lo vas a hacer, es porque ya puedes trabajar en Linux con la consola -aunque no tengas soltura, pero al menos que te aclares con la consola-.

Las sesiones presenciales del curso a las que no se acuda pueden ser sustituidas por actividades sustitutorias para tener acceso al diploma de aprovechamiento.

El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

El curso es de plazas limitadas, y es probable que se llene rápido. La matriculación puedes hacerla como muy tarde una semana antes del comienzo del curso, siguiendo este enlace: Seguridad informática a través del engaño: honeypots, honeywebs y ocultación/reemplazo de servidores bajo ataque. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (el de herramientas de pentesting, el de metasploit, el de LaTeX, el de C, el de peritajes informáticos, el de criptografía, o el de Perl) y que te cuenten cómo les ha ido.

Espero verte en el curso.

Curso de Informática Forense y Peritajes Informáticos 2019

Por noveno año consecutivo vamos a impartir otra vez el Curso de Informática Forense y Peritajes Informáticos.

Como en las últimas convocatorias, el curso seguirá una mecánica semipresencial. Utilizaremos una mecánica tarde viernes/mañana sábado; aunque, después de la experiencia de los últimos años, se hará en tres jornadas: viernes, sábado inmediatamente posterior, y sábado de la semana posterior. Así, además de compatible con la actividad profesional, es más razonable para la gente que viene de fuera de Málaga. También es posible sustituir los días de presencialidad por actividades sustitutivas, realizándolo así en teleformación.

Como los años anteriores, los alumnos del curso podrán adquirir de forma presencial mi libro en formato de tapa blanda «Pentesting con Kali» con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta. Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Kali es una herramienta clave para la informática forense, y además explico en el libro cómo calcular el precio de los servicios profesionales, lo que es algo que siempre me preguntan en los cursos.

También podrán adquirir de forma presencial mi libro impreso «La Biblia de LaTeX». LaTeX es la herramienta que yo utilizo para la escritura de los informes periciales, y los entregables de auditoría. Es un excelente libro de 680 con todo lo que hace falta para obtener exactamente los resultados que quieres con LaTeX. Para alumnos de este curso, se puede adquirir antes o después de las clases a con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta (Si lo quieres adquirir en remoto, tengo que cobrarte también el precio del envío). Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Puedes descargarte el índice y algunas páginas de prueba de aquí.

Volviendo al curso.

Las clases serán el viernes 22 de Noviembre de 18:00 a 21:00, Sábado 23 de Noviembre de 10:00 a 13:30, y Sábado 30 de Noviembre de 10:00 a 13:30. El resto del tiempo, hasta completar las 25 horas, será no presencial. Eso no quita que si alguien no puede acudir algún día, es posible sustituir la presencialidad de ese día por una tarea sustitutiva para obtener el certificado de aprovechamiento. (Aunque es importante recordar que el curso es semipresencial, y que personalmente creo que aprenderás más yendo todos los días al curso)

En el curso también se hablará de la norma UNE de peritajes informáticos, publicada el 9 de septiembre del 2015; por lo que es de los primeros cursos que imparte la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)» como parte de temario. No repartiré la norma -es ilegal-, pero sí la explicaré hasta el grado de detalle suficiente como para poder realizar solo con lo aprendido en el curso una pericia según norma.

Certificado de aprovechamiento emitido por la Universidad de Málaga

Esto es interesante para los colegiados en el Colegio Profesional de Ingeniería en Informática de Andalucía: permite acceder al turno de actuación profesional, y en las pericias que visemos en el colegio y que cumplan la norma lo especificaremos en el visado -las que no cumplan norma, no pondrá nada al respecto-; y puede ser útil por lo tanto conocer la norma.

Descripción

El objetivo de este curso es formar a una persona con conocimientos suficientes de informática en la mecánica propia de la informática forense; cómo poner mecanismos de detección temprana en intrusos de sistemas informáticos, cómo poner señuelos para distraerles y que ataquen a falsas vulnerabilidades mientras se recoge información, cómo manipular un sistema informático comprometido para no destruir las evidencias, y en cómo redactar un informe pericial. Nos centraremos en un enfoque de realización de las pericias según la norma UNE 197010:2015.

Programa (estará impreso en el título):

  • La pericia informática.
  • El marco legal de las pericias informáticas.
  • El perito informático. Deberes y responsabilidades.
  • Redacción de informes periciales informáticos.
  • El reglamento de listas de peritos del Colegio Profesional de Ingenieros en Informática de Andalucía.
  • La norma UNE 197010:2015 de peritajes TIC.
  • La informática forense.
  • Preservación de la prueba digital. La cadena de custodia.
  • Cómo actuar ante intrusiones y conservar las evidencias.
  • Señuelos: honeypots y honeynets.

Las clases presenciales irán sobre temas concretos, que serán:

Viernes 22 de Noviembre: El perito informático.

Este día hablaré de la figura del perito informático. También de cómo funcionan los procesos penales, de los órdenes del derecho, y del perito de parte y perito de tribunal. Comentaré el reglamento de peritajes del CPIIA. Este es el día más importante de todos; por lo que recomiendo encarecidamente la asistencia este día.

La asistencia a este día la veo tan importante, que si planeas no asistir, te ruego contactes conmigo antes de matricularte en el curso, ya que la actividad que reemplaza la asistencia a este día será específica, y dependerá de tu perfil formativo y experiencia profesional: no es lo mismo un abogado en ejercicio, que un estudiante de primer año de grado, de cara a enfocar con la seriedad y la formalidad mínima defender una pericia en un juicio. Hacer el tonto en un tribunal te puede llevar a la cárcel varios años, y este es el día que te diré qué es «hacer el tonto en un tribunal», y cómo no hacerlo.

Sábado 23 de Noviembre: Redacción de informes periciales informáticos según norma UNE 197010:2015

Este día comentaré cómo se hace una buena pericia, y los defectos que tienen las malas pericias. También comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas. Nos centraremos en la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)»

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Sábado 30 de Noviembre: Las pericias informáticas, Informática forense

Este día comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas que no dio tiempo de impartir el día anterior. Hablaremos de cómo facturar las pericias, y de tasación de equipos informáticos. Este día también analizaremos la problemática específica de la informática forense, desde un punto de vista profesional. Porqué es complicada. Aquello que es transferible del principio de Locard a la informática forense, y qué no lo es. Cómo actuar ante una intrusión. Hablaremos de los honeypots, las honeynets, y de la privacidad en la red. Hablaremos también de Kali, que es mi herramienta preferida -y una de las más utilizadas- para informática forense.

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Algunas cosas más que son importantes:

Lugar: E.T.S.I. Telecomunicaciones. Días 22 y 23, aula 2.0.6, día 30 aula 1.0.2A.
Fecha y horario: Viernes 22 de Noviembre, Sábado 23 de Noviembre, Sábado 30 de Noviembre. Los Viernes de 18:00 a 21:00, los Sábados de 10:00 a 13:30.
Matriculación: https://www.uma.es/vrue/formacion_fguma.html

Si formas parte de la comunidad universitaria de la Universidad de Málaga, el precio es de 50€. Si eres colegiado en el Colegio Profesional de Ingenieros en Informática, el precio será de 50€. En otro caso, es de 70€.

Curso de Pentesting con Kali 2019

Después del éxito de las tres últimas convocatorias de este curso, repetimos con una cuarta convocatoria del curso de Pentesting con Kali.

La idea de este curso es enseñar una aproximación práctica y profesional al pentesting real como opción laboral. En este curso no solamente se explica qué se hace y cómo se hace. También cómo calcular cuando tenemos que cobrar, cómo cobrarlo, y qué problemas nos encontraremos en el ejercicio profesional. La documentación que acompaña al curso, por lo tanto, no solo toca la parte técnica, sino también lo que realmente nos permite «ganar dinero».

Los tests de penetración corresponden con auditorías de seguridad proactivas, en las que el auditor analiza la seguridad de un sistema verificando in situ si el sistema es vulnerable. Para ello, después de la firma de los respectivos contratos y autorizaciones, el auditor ataca la infraestructura de red y los servidores con objeto de validar si son vulnerables a ataques concretos conocidos por la comunidad de seguridad.

Los alumnos del curso podrán adquirir de forma presencial mi libro impreso «Pentesting con Kali» en formato de tapa blanda con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta (Si lo quieres adquirir en remoto, tengo que cobrarte también el precio del envío). Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Kali es una herramienta clave para la informática forense, y además explico en el libro cómo calcular el precio de los servicios profesionales, lo que es algo que siempre me preguntan en los cursos. El libro es con frecuencia número 1 de ventas en Amazon, y puedes ver las excepcionales valoraciones que ha recibido de lectores del libro en su página de Amazon: Libro pentesting con Kali. Puedes descargarte el índice y algunas páginas de prueba de aquí.

También podrán adquirir de forma presencial mi libro impreso «La Biblia de LaTeX». LaTeX es la herramienta que yo utilizo para la escritura de los informes periciales, y los entregables de auditoría. Es un excelente libro de 680 con todo lo que hace falta para obtener exactamente los resultados que quieres con LaTeX. Para alumnos de este curso, se puede adquirir antes o después de las clases a con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta (Si lo quieres adquirir en remoto, tengo que cobrarte también el precio del envío). Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Puedes descargarte el índice y algunas páginas de prueba de aquí.

La documentación del curso, por cierto, es ese libro de Kali, en formato PDF, enviados en un envío de 168 páginas y otro de 146 páginas de material; con un total de 314 páginas de material docente. Un material excelente, cuyo contenido corresponde con el del libro que tengo publicado en Amazon, más las páginas del curso.

Dado que los peritajes pueden derivar en auditorías de seguridad, y las auditorías de seguridad en peritajes, este curso es fuertemente sinérgico tanto con los cursos de peritajes como con la profesión de perito informático.

A diferencia de los otros cursos que imparto, que pueden ser seguidos por personas que no son necesariamente de la informática, este va a ser un curso muy práctico y muy técnico, que tiene requisitos básicos de conocimientos. Para poder seguir este curso es fundamental tener conocimientos instrumentales de Linux. Con conocimientos básicos de cualquier otro sabor de Unix y ganas de aprender también es posible aprovechar el curso. El año pasado lo estudió con éxito gente con buenos conocimientos de informática pero con pocos conocimientos de Linux o Unix; aunque les supuso un trabajo adicional el «ponerse al día».

El temario completo del curso será:

Fases de una instrusión.
La distribución de Linux Kali.
Recogida de información inicial con Kali.
Análisis básico de vulnerabilidades.
Ataques a contraseñas.
Auditorías a redes Wifi, ataques a redes Wifi.
Auditorías a aplicaciones web, ataques a aplicaciones web.
Exploits.
Metasploit: conceptos y comandos.

A esto se incluyen temas adicionales en la documentación sobre aspectos legales de la profesión -cómo no meterse en follones, para que nos entendamos-, cómo buscar los primeros clientes, qué ofrecerles, cómo calcular el precio de nuestros servicios, y cómo conseguir cobrarlos.

El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

Si tienes interés en saber cómo es el material del curso, puedes descargarte el índice y algunas páginas de prueba de aquí.

La matriculación puedes hacerla aquí: Curso de pentesting con Kali. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (este mismo en formato semipresencial, el de LaTeX, el de C, el de informática forense, o el de Perl) y que te cuenten cómo les ha ido.

Además de este curso, también oferto otro curso de teleformación sobre LaTeX: curso de LaTeX. Y uno semipresencial sobre herramientas de informática forense.