Este año imparto por primera vez un curso de herramientas de informática forense.

Este curso responde a una petición recurrente por parte de los alumnos del curso de peritajes informáticos de que explique la parte técnica de herramientas de la primera intervención en un proceso forense.

En este curso nos vamos a centrar en la parte práctica de la figura del responsable de la primera intervención. Es decir, en la persona encargada de salvar la evidencia, y generar las imágenes. También vamos a entrar en las fases posteriores en las que se prepara la evidencia digital para el análisis forense.

Vamos a analizar las principales metodologías de respuesta a incidentes y primera intervención: las metodologías del NIST, y las del NIJ. La recuperación de pruebas cumpliendo la UNE-EN ISO/IEC 27037:2016. Los distintos tipos de firmas hash, y sus propiedades.

Este curso está enfocado de forma distinta a otros cursos que he impartido. Va a ser muy práctico. Y por «muy práctico», significa que cada uno va a llevar su propia «estación forense» para trabajar en clase el tercer y el cuarto día. Vamos entrar en las herramientas que yo utilizo, y cómo las utilizo en mi día a día profesional.

Este curso lo vamos a realizar con Kali en modo forense; aunque las mecánicas y los pasos pueden ser realizado con cualquier otra distribución forense.

El temario completo del curso es:

• Metodologías NIST de respuesta a incidentes y de manejo de pruebas.
• Metodologías del NIJ de primera intervención y análisis forense.
• La norma UNE-EN ISO/IEC 27037:2016.
• Técnicas forenses con Kali.
• Kali en modo forense.
• Instalación de Kali en Raspberry Pi.
• Clonado de discos.
• Volcado de imágenes de disco.
• Firmas hash – firmas existentes, características, diferencias; firmado de dispositivos.
• Montaje y trabajo forense con volcados.

Y la distribución en fechas y horas será:

• Viernes 20 de abril de 18 a 21h: este día explicaré las distintas metodologías, y hablaremos de la norma 27037 y de los distintos tipos de hash. Este día no os tenéis que llevar vuestro equipo.
• Sábado 21 de abril de 9:30 a 13h: Este día os comentaré cómo encarar de forma realista una intervención de las que me encuentro en mi día a día. Explicaré cómo montar una Kali en Raspberry Pi y cómo utilizarla como estación portatil forense. Este día os lleváis equipo. Vamos a trabajar el tema de los clonados y los volcados de imágenes, minimizando el tiempo de operación. También aprenderemos a hacer volcados en red -muy útil cuando tenemos que volcar un dispositivo cuyo arranque no podemos alterar, o que no podemos extraer los discos y no podemos picharle un dispositivo USB-; imágenes de trozos de un disco, imágenes que ya se graban comprimidas, volcados en los que generamos simultaneamente dos imágenes, firmamos con varias firmas hash origen y destino original y dos copias, y además las comprobamos, en una única pasada de lectura al disco original… un montón de trucos para facilitarnos el trabajo forense. Este día cada uno se debe llevar a clase un portatil, tres llaveros USB en blanco con capacidades parecidas, y un USB con Kali.
• Sábado 28 de abril de 10 a 13h: este día primero completaremos lo que quede por hacer del día anterior. Después aprenderemos a trabajar con imágenes forenses. Comenzaremos aprendiendo a importar imágenes generadas por programas forense del mercado, como pueda ser X-Ways o el Encase. Después aprenderemos a trabajarlas sin alterarlas, a generar los dispositivos lógicos que permitan el montado de particiones de una imagen de disco completo, y a convertirlas para poder analizar una copia de la imagen ejecutada desde VirtualBox (es útil a veces arrancar una copia de la imagen de una máquina desde un virtualizador para hacer alguna prueba. Una copia, la imagen original no se debe alterar.).

Va a ser un curso de nivel bastante alto; por lo que presupongo que si lo vas a hacer, es porque ya puedes trabajar en Linux con la consola -aunque no tengas soltura, pero al menos que te aclares-, y que ya sabes de lo que van los peritajes informáticos. Un curso muy práctico, en el que te voy a mostrar los «cacharros» que yo utilizo, y vas a hacer las operaciones con tu propio equipo para que desarrolles soltura.

los alumnos del curso podrán adquirir de forma presencial mi libro impreso «Pentesting con Kali» en formato de tapa blanda con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta (Si lo quieres adquirir en remoto, tengo que cobrarte también el precio del envío). Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Kali es una herramienta clave para la informática forense, y además explico en el libro cómo calcular el precio de los servicios profesionales, lo que es algo que siempre me preguntan en los cursos. El libro es con frecuencia número 1 de ventas en Amazon, y puedes ver las excepcionales valoraciones que ha recibido de lectores del libro en su página de Amazon: Libro pentesting con Kali

La Universidad de Málaga convalida un crédito ETCS para los de grados. El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

El curso es de plazas limitadas, y es probable que se llene rápido. La matriculación puedes hacerla como muy tarde una semana antes del comienzo del curso, siguiendo este enlace: Curso de informática forense con Kali. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (este mismo en formato semipresencial, el de LaTeX, el de C, el de peritajes informáticos, o el de Perl) y que te cuenten cómo les ha ido.

Además de este curso, también oferto otro curso de teleformación sobre LaTeX: curso de LaTeX; y uno de teleformación sobre Pentesting con Kali: Pentesting con Kali.

Espero verte en el curso.

Después de varios años impartiendo el curso de informática forense y peritajes informáticos, y ya haber impartido varios cursos de tests de penetración -es decir, de la parte de herramientas de auditoría de seguridad activa-, vamos a impartir un curso sobre otras de las «patas» de la ingeniería informática que ahora se están monetarizando bien: la auditoría informática.

El objetivo de este curso es formar al estudiante en los procedimientos y mecánicas propios de la auditoría informática. Esto incluye qué es auditar sistemas de información, y cómo se auditan. Nos vamos a centrar en la norma de seguridad de sistemas de información -realmente la familia de normas UNE-ISO/IEC 27000:2012-, y la LOPD; especialmente la mecánica de altas de ficheros de datos y la auditoría obligatoria bianual.

Actualmente las altas de ficheros de datos y las auditorías bianuales están generando mucho negocio. Vamos a ver de forma práctica cómo hacer estas dos operaciones. También se está despertando un interés importante en comenzar a dictar políticas de seguridad, y la 27000 da un marco ideal para el desarrollo de documentos de política de seguridad de la información. Veremos cómo hacer los distintos niveles de documentación: manual de seguridad, procedimientos, instrucciones, checklists, formularios y registros.

El porqué los nuevos grados en informática y los nuevos másters en informática por regla general no estudian auditoría es para mí un misterio. En cualquier caso, vamos a cubrir en este curso este déficit, explicando cómo se hace realmente una auditoría. Veremos las checklists, las listas de no conformidades; veremos la mecánica de trabajo, y cuales son los entregables que espera el cliente.

Programa:

• La auditoría. Principios. Normas, leyes y reglamentos.
• Tipos de auditorías. Internas y externas. De sistemas y de procesos.
• Metodología de la auditoría.
• Proceso de auditoría, preparación y ejecución de la auditoría.
• Documentación de una auditoría.
• Checklists, formularios, pautas, e informes de auditoría.
• No conformidades, desviaciones, solicitud de acciones correctivas, observaciones, sugerencias, incidencias.
• El sistema de Información.
• El sistema de gestión de seguridad de la información.
• Auditando una norma: la ISO 27000.
• Auditando una ley y un reglamento: la LOPD y su reglamento.

Este curso vamos a aprovechar todo lo aprendido de las mecánicas semipresenciales. El viernes 21 de abril por la tarde (de 17:30 a 21:30) y el sábado 22 de abril por la mañana (de 10:00 a 13:00) os explicaré cómo se hace una auditoría, la ISO 27000 y la LOPD. Dejamos un par de semanas para que trabajéis los ejercicios, y el sábado 29 de Abril de 10:00 a 13:00 corregimos los ejercicios, analizamos las diferentes soluciones, y si sobra tiempo hablamos de cómo facturarlas y cobrarlas.

El curso, en principio, es semipresencial, de 25 horas. Serán 10 horas presenciales y 15 online. Sin embargo, pensando en aquellos que tengan problemas en acudir, se pueden sustituir jornadas presenciales del curso por actividades sustitutivas, de forma que es posible hacerlo de forma completamente no presencial desde el campus virtual (aunque recomiendo asistir al menos el primer día, para «coger» la filosofía de la auditoría informática)

Este curso está relacionado con los cursos que imparto de peritajes informáticos -que corresponde con la forma de presentar ante un tribunal los resultados-, y con el de pentesting -que nos centramos en las herramientas tecnológicas-. Es, pues, sinérgico con ambos, pero no se requiere haber estudiado ninguno de esos cursos para cursar el de auditoría.

Cuesta 50 euros a la comunidad UMA y a los colegiados en el Colegio Oficial de Ingenieros en Informática de Andalucía (lo siento, no hay convenio con el CPITIA). Para el resto de las personas, costará 70 euros. Un enlace para matriculación lo tienes aquí.

Si eres de la Universidad de Málaga, puedes solicitar un crédito ECTS por el curso.