30 abr 2015

Herramientas forense para ser un buen CSI. Parte LVI: Línea temporal de PDF - 2

Buenas a todos, en el post de hoy continuaremos la cadena que iniciamos ayer sobre línea temporal de documentos PDF, hablando del software "forensic-pdf.py", que desarrollaremos con el fin de dada la ruta local donde se ha localizado un documento, extraer toda la posible información sobre sus metadatos.

Para esta labor haremos uso de las librerías de PyPDF2, que podréis descargar desde el siguiente enlace:


De esta librería ya os hemos hablado en anteriores post, como éste:


Y con la que podréis de forma sencilla, mediante la llamada a la función getDocumentInfo(), extraer todos los metadatos de un PDF, pasado por cabecera.

En el siguiente código encontraréis un ejemplo de uso, que os permitirá acompañar al bat desarrollado ayer para extraer los metadatos de todos los documentos PDF alojados en un ordenador:

#!/usr/bin/python
# -*- coding: utf-8 -*-
import PyPDF2
import optparse
from PyPDF2 import PdfFileReader

def meta(fileName):
    pdff = PdfFileReader(file(fileName, 'rb'))
    doc = pdff.getDocumentInfo()
    print 'Doc: ' + str(fileName)
    for metai in doc:
        print '- ' + metai + ':' + doc[metai]

def main():
    parser = optparse.OptionParser('usage %prog "+\
      "-F <PDF file name>')
    parser.add_option('-F', dest='filename', type='string',\
      help='PDF file name')

    (options, args) = parser.parse_args()
    filename = options.filename
    if filename == None:
        print parser.usage
        exit(0)
    else:
        meta(filename)

if __name__ == '__main__':
    main()

La salida sería parecida a la siguiente:


¿Sencillo verdad? Una forma rápida sin duda para construir una línea temporal de documentos PDF de un sistema. Ahora podréis jugar con el código python y modificar la salida para adaptarla a vuestros informes o exportarla en algún formato tipo CSV, por ejemplo, para aplicar filtros con excel. Las posibilidades son infinitas.

Saludos!

29 abr 2015

Herramientas forense para ser un buen CSI. Parte LV: Línea temporal de PDF

Buenas a todos, tras varios meses volvemos a recuperar la mítica cadena de Herramientas forense para ser un buen CSI, con el post 55, que dedicaremos a la línea temporal

Dentro de los procesos de análisis forense digital, uno de los puntos clave es la línea temporal. Su objetivo es el de intentar determinar el orden en el que se han ido ejecutando los distintos acontecimientos sucedidos en los sistemas afectados, normalmente, por una intrusión maliciosa.

La línea temporal comprende una gran cantidad de análisis, en los que se deben revisar decenas y decenas de logs de servidores web, historiales de navegación, envíos de correos electrónicos, logs de auditoría de objetos del sistema, metadatos de documentos que fueron creados, eliminados o modificados, y un largo etcétera.

Para toda esta labor, yo suelo utilizar scripts propios, desarrollados en bash, batch, python, etc. que me extraigan la información que necesite en cada investigación, la filtren y me la devuelvan de una forma ordenada y fácilmente entendible. En el post de hoy, como ejemplo, os enseñaré a listar todos los documentos de tipo PDF que se encuentran en un equipo Windows, para a continuación, analizar todos sus metadatos y generar la línea temporal de creación/modificación documental.

El primero de los programas que generaremos será linea-temporal-pdf.bat. Su objetivo en primer lugar será el de listar todos los documentos PDF del disco duro, y almacenarlos en un fichero de texto (que luego podremos hashear). Esto lo conseguiremos con una instrucción como la siguiente:

dir C:\ /s /B | find ".pdf" > PDF-documents.txt

Dónde podrá sustuirse "C:\", por la ruta donde se encuentre el pendrive, disco duro o partición de la cual queremos calcular la línea temporal de los documentos PDF.

A continuación llamaremos a un segundo programa, esta vez desarrollado en Python, que se encargará de, dado un documento PDF, extraer sus metadatos. Para ello, recurriremos de nuevo al Bat, que con un bucle FOR, leerá los documentos listados en el fichero PDF-documents.txt antes generado, y extraerá sus metadatos:

FOR /F "tokens=*" %%A IN (PDF-documents.txt) DO python.exe forensic-pdf.py -F %%A

¿Sencillo, no? El código final del BAT sería algo como esto:

Código de linea-temporal-pdf.bat:

dir C:\ /s /B | find ".pdf" > PDF-documents.txt
@ECHO OFF
FOR /F "tokens=*" %%A IN (PDF-documents.txt) DO python.exe forensic-pdf.py -F %%A
Ahora solo nos quedaría desarrollar el programa forensic-pdf.py, que os mostraremos en el próximo post de la cadena.

Saludos!

23 abr 2015

OSINT: Buscando códigos fuentes en Internet. Parte 5

Buenas a todos, de sobra es conocido que los programadores no son (somos) dioses, y cada vez que se nos atasca un código, tenemos que recurrir a nuestros compañeros para que nos echen un cable. Y aún así, siempre hay casos en los que necesitamos recurrir a expertos en la materia, o a la sabiduría eterna de Internet (msdn, desarrolloweb.com, lawebdelprogramador.com, y un largo etcétera de sitios web dónde siempre habrá algún código similar en el que apoyarnos, o algún administrador o programador más ducho en el tema que sepa iluminarnos el camino).

El problema en estos casos es que cuando compartimos estos códigos fuentes en Internet, no siempre sanitizamos de forma adecuada los contenidos de las variables, comentarios, direcciones IPs, dominios, ... ¡incluso contraseñas!, exponiendo de forma temeraria la seguridad de la información de nuestra empresa, o incluso de nuestros clientes. Por ello, en las labores de investigación OSINT es habitual que se analicen todos estos sitios web de ayuda a los programadores, en busca de fugas de información de empresas, y la verdad que es muy sorprendente ver la cantidad de datos que se escapan de nuestro control, por intentar resolver un problema.

Para buscar este tipo de información en Internet se suele recurrir de dos formas principalmente (aunque existen muchas más). La primera es aprovechar el conocimiento de los buscadores con búsquedas avanzadas de Google Hacking o Bing Hacking, vease como ejemplo algo como esto:

-site:dominiodelaempresa.com inurl:palabra_de_panico texto

En los que simplemente descartaremos los resultados alojados en las webs de la empresa, y buscaremos por palabras de pánico (AYUDA, URGENTE, PROBLEMA, ERROR, EXCEPCION, FATAL ERROR, MYSQL ERROR, etc. etc.), y de saberlo, lo acompañaremos de alguna dirección IP, nombre de HOST, o similar de la empresa, para afinar los resultados. Por ejemplo, en Google Hacking algo como esto daría bastante éxito...

"Fatal error: Call to undefined function" AND (ayuda OR urgente OR problema OR password) AND nombre_servidor

La segunda de las opciones sería recurrir a los buscadores de este tipo de páginas web donde consultamos nuestras dudas. Ejemplo:


La mayoría tendrán buscadores que de forma más o menos cómoda nos permitirán recuperar estos resultados. Y muchos de ellos también nos ofrecerán APIs para que, de forma automatizada y con alguna herramienta, recuperemos los datos que nos interesen. Este es por ejemplo el caso de Pastebin:


Entre las páginas donde los usuarios suelen consultar este tipo de problemas se encuentra reddit.com, un foro masivo, muy fácil de parsear (por si trabajáis con scripts), que os permitirá localizar infinidad de códigos con problemas. Véase otro sencillo ejemplo:


En definitiva, cuidado con los códigos que publicáis, y si vuestra labor es la de auditar o localizar datos en la red..., ¡caña!

Saludos!

22 abr 2015

Inscripciones abiertas para las Jornadas #X1RedMasSegura 2015



Ya se encuentra abierto el plazo de inscripciones para las Jornadas X1RedMasSegura que se celebrarán en Madrid los días 22 y 23 de Mayo de 2015 en el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicaciones (ETSIT) de la Universidad Politécnica de Madrid.

Como ya anunciábamos, este año se ha incorporado una novedad, la colaboración con la Fundación Mensajeros de la Paz, por lo que todos los asistentes que quieran y puedan, y de forma totalmente voluntaria, podrán aportar alimentos no perecederos que se recogerán durante la acreditación a las Jornadas.

 Información sobre colaboración con Mensajeros de la Paz

De nuevo, y por tercer año consecutivo, desde Flu Project prestaremos todo nuestro apoyo a esta gran iniciativa, con el objetivo de que siga siendo una referencia nacional para la concienciación y la mejora de una red, cada vez más segura.

     ¡Os esperamos a tod@s! 

   ACCESO A LAS INSCRIPCIONES





21 abr 2015

4ª Edición del Curso Online de Especialización en Seguridad Informática para la Ciberdefensa

La semana pasada se publicó el curso de Ciberseguridad llevado a cabo por Criptored y Eventos Creativos. El curso tiene una duración de 40 horas y será impartido en módulos de 2 horas diarias. La fecha de inicio del curso es el Lunes 4 de Mayo de 2015 y su finalización será el Jueves 4 de Junio de 2015. Este curso es un imprescindible para la gente que está involucrada con la seguridad informática en su mundo laboral y los que quieren comenzar a meter cabeza en este mundo. Principalmente orientado a orientado responsables de seguridad, cuerpos y fuerzas de seguridad del estado, agencias militares, ingenieros de sistemas y estudiantes de tecnologías de la información.


Módulo 1: Ciberguerra y Ciberarmas: Malware dirigido, 0 days y RATs. (2 horas)
- Profesor D. David Barroso (11Paths)
Módulo 2: Atacando infraestructuras. OSINT y explotación (12 horas)
- Técnicas y herramientas OSINT (2 horas). Profesor Dr. Chema Alonso (11Paths)
- Intrusión en redes y sistemas. Metasploit Framework (4 horas). Profesor D. Alejandro Ramos (SecurityBydefault)
- Vulneración de mecanismos de identificación y autenticación (2 horas). Profesor D. Alejandro Ramos (SecurityBydefault)
- Intrusión en redes VoIP (2 horas). Profesor D. José Luis Verdeguer (ZoonSuite)
- Evasión de medidas de protección en Windows (2 horas). Profesor D. Javier Rascón (Hispasec)
Módulo 3. Protección de infraestructuras. Contramedidas (12 horas)
- Fortificación de sistemas Windows. Contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths)
- Análisis forense en sistemas Windows. Detectando intrusiones (6 horas). Profesor D. Pedro Sánchez (conexioninversa)
- Protección de infraestructuras críticas. Sistemas SCADA (2 horas). Profesor Dr. Antonio Guzmán (11Paths)
- Protección de datos y comunicaciones. Criptografía/Esteganografía (2 horas). Profesor Dr. Alfonso Muñoz (Criptored)
Módulo 4: Protección de comunicaciones en redes móviles (8 horas)
- Protección de comunicaciones en redes móviles: Bluetooth y Wifi (6 horas). Profesor D. Raúl Siles (Dinosec)
- Protección de comunicaciones en redes móviles: GSM, GPRS, 3G (2 horas). Profesor D. David Pérez y D. José Picó (Layakk)
Módulo 5: Seguridad en aplicaciones móviles (6 horas)
- Riesgos de seguridad con dispositivos móviles: IOS y Android (4 horas). Profesor D. Pablo González (FluProject y 11Paths)
- Malware en aplicaciones Android. Peligros y contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths)

Más info en el sitio web de Criptored.

18 abr 2015

Disponibles los videos de QurtubaCON 2015

Buenas a todos, ya se encuentran disponibles en Youtube, gracias al equipo de HangoutON, las conferencias del evento QurtubaCON 2015, celebrado la pasada semana en Córdoba.

Queríamos aprovechamos el post también para felicitar a todo el equipo de Qurtuba, por el gran trabajo realizado. ¡A por Qurtuba 2016!

QurtubaCON 2015 - Primera parte



QurtubaCON 2015 - Segunda parte

15 abr 2015

X1RedMasSegura 2015 colaborará con la Fundación Mensajeros de la Paz

Desde X1RedMasSegura tenemos el placer de anunciar una colaboración con la Fundación Mensajeros de la Paz en las próximas Jornadas X1RedMasSegura 2015, que como sabéis tendrán lugar el mes que viene en Madrid.



El objetivo de esta colaboración es apoyar a su banco solidario y a los comedores infantiles entre todos los asistentes, ponentes y organizadores de las jornadas y aportar nuestro granito de arena a esta magnífica labor, sin ánimo de lucro, para ayudar a los que por desgracia no pueden tener un plato para comer todos los días.

Para llevar a cabo la recogida de alimentos, habilitaremos en la entrada del evento un lugar donde depositarlos. Es importante que se trate de comida no perecedera (pasta, legumbres, aceite, etc.)

Para más información sobre esta gran iniciativa os dejamos con el dossier del banco de alimentos de la Fundación:


¡Contamos con vosotros!



También os dejamos a continuación otra interesante manera con la que podéis colaborar con Mensajeros de la Paz:



14 abr 2015

Viernes 17 de Abril: Hack & Beers vol. III

Se acerca la fecha de celebración del tercer Hack & Beers que se celebra en Madrid. Con los ponentes confirmados y esperando a que los más de 92 registrados al evento se pasen por el + Ke Copas de la calle Infantas 13 os esperamos con gran ilusión. En la siguiente imagen os dejamos el mapa dónde poder encontrar el sitio:


Tenemos ganador del rincón de la propuesta, esta vez se han recibido 5 propuestas de gran nivel, por lo que ha sido difícil escoger un ganador. Si aún no te has apuntado vente a pasar una tarde de hacking y cerveza con nosotros, os esperamos!

En esta edición tendremos como ponentes a:
  • Óscar Tebar (Kifo, infiltrándome, etc etc). La charla que me comentó en su día es interesante, nos hablará de bots? nos hablará de routers? Óscar ha sido ponente en CONs importantes como Navaja Negra o Gsick Minds, ha descubierto diversas vulnerabilidades en routers, y es un pentester puro y duro.  (45 minutos)
  • Daniel García (aKa cr0hn). Nos hará disfrutar con la charla, risa asegurada y conocimiento técnico garantizado. Pilar fundamental de Navaja Negra, cr0hn te esperamos con los brazos abiertos. (45 minutos)
  • David Martínez. Nos hablará de expresiones regulares y ejemplos en el mundo laboral dónde llevarlas a cabo. (25-30 minutos)
Os esperamos! El horario de entrada son las 16.30, para que a todos nos de tiempo de llegar después del trabajo. Recordad! Es totalmente gratis la asistencia.

REGISTRO

13 abr 2015

Últimas plazas para el curso de Hacking Ético y Auditoria Informática en Valencia


El próximo día 18 de Abril (Sábado) se lleva a cabo el curso de hacking ético y auditoria informática en Valencia. Toda la información respecto a este curso se encuentra en la dirección URL del centro dónde se llevará a cabo, TAES. El curso tiene un horario de 10.30 a 14.00 y de 15.30 a 20.00 horas. En el curso se verán los siguientes conceptos:

1. Conceptos sobre Ethical Hacking y Auditoria Informática.
2. Fingerprinting
3. Análisis Web y Auditoria Web
4. Vulnerabilidades y técnicas realizadas en Auditoria de Sistemas
5. Diferentes escenarios con ejemplos prácticos
6. Pentesting con diferentes herramientas (Nativas y de terceros)
7. Tricks sobre sistemas operativos enfocados al pentesting


HORARIOS
Sábado 28 de marzo y 18 de Abril de 2015
De 10:30h a 14:00 h
15:30h a 20:00 h

PRECIO
Precio: 160€
Precio socios de ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica): 100€. Además, descuento de 60€ en la cuota de alta de la asociación por inscribirse al curso.
50% de descuento para estudiantes (adjuntar justificante)
Curso Bonificable a través de la Fundación Tripartita
Comida incluida

LUGAR
TÉCNICAS AVANZADAS DE ESTUDIO S.L. Pasaje Ventura Feliu 10-12

Para inscripciones dirigirse por email a taes@taesformacion.es o al teléfono 963413537
Os esperamos en Valencia,