Si algo nos gusta a los informáticos (o eso creo), es al menos en nuestra casa tener nuestras cosas configuradas a nuestro gusto.

Estuve pensando que me gustaría tener en mi casa configurado, que servicios me gustaría tener y como me sentiría mas agusto.

No tengo la creatividad del próximo creador de Terminators, Lorenzo Martínez, pero no me hará falta lo que me configurado ya me sirve para hacer todo lo que quiera 

La red que al final me creado tiene este aspecto

Una de las cosas que creía imprescindibles es poner algo de seguridad en mi red local y controlar el tráfico entrante y saliente. Para ello cuento con la tecnología de Untangle, este UTM contiene las siguientes características

• Web Filter
•  Protocol Control
•  Virus Blocker
•  Spyware Blocker
•  Phish Blocker
• Intrusion Prevention
•  Attack Blocker
• Firewall
•  OpenVPN
• Reports
•  Spam Blocker
•  Captive Portal
•  Ad Blocker

Sin duda son características muy interesantes y que me dan una solución ya instalada para proteger el acceso a mi casa 

Lo que viene después es mi Rasberrypi, aunque se que de momento el modelo B sólo tiene una tarjeta de red, espero que en el futuro cuando monte esta red pueda tener una placa con dos tarjetas de red, en esta placa instalaré Debian, y haré toda la parte de routing de mi casa, ya que tengo varias reglas para varias cosas que no os puedo contar 

Aunque aparezca como PC físico tengo un server virtual dedicado al tema de HoneyPot, de momento tengo activo SSH, RDP y Wireless que aún no lo he publicado así que puedo obtener todos los ataques que se hacen o bien de manera automática, o bien directamente!

Luego está MI PC, que ya pondré las expecificaciones porque es donde levanto casi todo lo virtual, es una máquina potente 

Me montado un NAS casero, con FreeNAS, creo que es de las mejores soluciones para un NAS casero y con la seguridad de que está basado en FreeBSD.

En el NAS realizo los backuos cifrados y guardo toda la parte de películas, series y música, comprada toda evidentemente y la guardo ahí, puedo acceder ahí desde MI PC sin problemas.

En MI PC tengo todo un LAB virtual para hacer todos los artículos que publico aquí y todas las cosas que necesito probar, por ejemplo también de alguna formación que este realizando y demás. Ese LAB virtual sale por miVyatta, que seguro que muchos no conocéis. Para mi, Vyatta es la competencia Open Source de CISCO, para alguno seguro pero es que Vyatta tiene cosas muy, pero que muy chulas, os animo a probarlo.

Para separar el tráfico y las estadísticas en Untangle todo sale por Vyatta.

En otro ESXi Server que hay en el mapa tengo un servidor con Ubuntu, unSIEM con Alien Vault y un Windows 2008 Server con active directory instalado.

Como véis el proyecto es grande y no trivial de configurar todo, pero así ya me siento agusto. 

Hoy en día es necesario disponer de sistemas de seguridad para evitar los intentos de intrusión en nuestras máquinas y obtener privilegios sobre nuestros datos. Disponer de servicios que nos den accesos a nuestros datos de manera remota son muy útiles hoy en día, si estoy en la oficina y tengo algo en casa que quiero consultar pues, conecto con la IP de mi casa, el puerto… y consulto los datos, los cuales estarán protegidos mediante una contraseña, y alguna barrera como un firewall ¿no?

Vale, están mas o menos protegidos, pero si yo quiero que un servicio esté oculto hasta para mi, debería cerrar el puerto… pero claro no podré acceder a él tampoco. Pero ¿me conviene? la respuesta es sí, puede ser que si, un servicio concreto en un puerto puede estar expuestos a vulnerabilidades que son descubiertas en el día a día, elevación de privilegios, denegaciones de servicio, etc.

La teoría es bastante sencilla, un servidor está a la escucha en una interfaz dedicada, esperando unas secuencias de llamadas, a unos puertos en concreto. Cuando se obtenga la secuencia correcta, se ejecuta el comando que abre el servicio al que realmente se quiere acceder. Las escuchas se realizan a nivel de la capa de enlace, por lo que no hace falta que haya puertos abiertos. Se recomienda que la secuencia no sea consecutiva, ni incremental o decremental, si no que sean aleatorios, lo más difícil de conocer por parte de un posible atacante.

El port-knocking es una técnica bastante curiosa, un tanto oscura, ya que su seguridad se basa en la oscuridad que provocan la secuencia de puertos. No es recomendable en un entorno empresarial, ya que la seguridad por ocultismo no es nada sano en un ámbito empresarial, pero en una red particular, puede ser bastante interesante, para que ataques aleatorios sobre un rango de IP, no prueben con nuestros servicios.

Un Forense llevado a juicio (I de X)
Un Forense llevado a juicio (II de X)
Un Forense llevado a juicio (III de X)
Un Forense llevado a juicio (IV de X)
Un Forense llevado a juicio (V de X)
Un Forense llevado a juicio (VI de X)
Un Forense llevado a juicio (VII de X)
Un Forense llevado a juicio (VIII de X)
Un Forense llevado a juicio (IX de X)
Un Forense llevado a juicio (X de X)

Una vez que contamos con las evidencias y teniendo claro que el procedimiento seguido ha sido el correcto, es momento de ponerse manos a la obra. No es objeto de esta serie enseñar como analizar evidencias, pero sí de ofrecer consejos para obtener buenos resultados  a la hora de realizar un análisis. Es importante tener en cuenta que cada escenario presenta sus peculiaridades y evidentemente no pueden analizarse de la misma forma un caso donde hay que buscar en un equipo una conversación mantenida de Messenger, donde se produce un acceso ilícito a cuentas de correo electrónico o el tener que detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial.

A pesar de que alrededor de la ciencia forense se encuentra rodeado por un halo de mística sensación, en las más de las ocasiones, las tareas de análisis no resultan para nada edificantes. En muchos casos las tareas resultan tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. La mayoría de casos forenses que acaban en juicio tienen mucho que ver con analizar logs o buscar cadenas de caracteres entre el sinfín de ficheros que puede tener un ordenador.

Si bien es cierto que los casos de aplicaciones maliciosas, análisis de memoria, antiforense o esteganografía por poner algunos ejemplos resultan los más interesantes, son menos las circunstancias que conlleven el poder ir a juicio. Es más, la investigación en estos casos puede tener tantos derroteros que ir con una confianza plena en la aportación de las conclusiones al juicio se antoja mucho más difícil. Es mucho más fácil desde un punto de vista formal y procedimental analizar correos, logs o ficheros y por lo tanto que resulte la forma más habitual que un caso tenga un  fin judicial.

Es más, la coyuntura económica actual incide en la proliferación de casos relacionados con despidos que buscan una causa justificada para hacer procedente el mismo (en mucha ocasiones razonada, aunque en otras no tanto). También la competitividad hace que el espionaje industrial o el robo de propiedad intelectual sean otra de los orígenes de casos que se dan a día de hoy. Este tipo de casos se resuelven habitualmente escarbando entre registros o ficheros de datos.

Hay que tener en cuenta que nadie que contrate un caso (por lo menos a día de hoy, aunque esto podría no ser así hace algunos años) lo haga sin tener un objetivo concreto. Analizar “por si tengo una aplicación maliciosa” no suele ser lo más habitual. Si está decidido ir a juicio será porque existe una clara sospecha o tiene indicios razonables. Esto tiene que ser el punto inicial de partida de la investigación. Analizar porque sí, suele ser lo más complejo y muchas veces detrás hay más fantasmas que algo tangible y concreto. Si el resultado no satisface al cliente, fundamentalmente por ver cosas donde no las hay, cobrarlo será más complejo si cabe que realizar la propia investigación.

Al afrontar el análisis deberán tenerse en cuenta una serie de criterios y obtener del cliente unos datos interesantes para la investigación:

• Definición de la línea temporal. Es crítico en casi cualquier análisis definir tiempos, tanto para acotar la investigación, como para definir las conclusiones siguiendo patrones claramente definidos. Muchas conclusiones deberán apoyarse en esta circunstancia y las vaguedades aquí suelen dar resultados poco satisfactorios.
• Búsqueda de elementos o palabras clave. En ocasiones los indicios estarán indefinidos pero resulta totalmente indispensable tener consciencia de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y suponen un buen punto de origen para analizar con consecuencia. Sin estos datos claros hay que despedirse de un análisis rápido y fructífero.
• ¿Quién es quién? Es vital conocer lo máximo posible de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenario son vitales. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí por ejemplo motes. Establecer un cuadro relacional puede resultar clarificante en determinadas circunstancias. No sería el primer caso que nos encontráramos que tras una investigación se tuviera la convicción de la existencias de relaciones sentimentales desconocidas para la propia organización (también para sus propias parejas).

Mirar más allá de lo que se tiene, resulta vital para el caso y sobre todo no perder evidencias por excesiva precaución. Nunca deberíamos descartar la posibilidad de incorporar nuevas evidencias a un escenario. Cuando se destapa el inicio del caso, por retirada de un ordenador o comunicación a los investigados, pudiera resultar que la información sensible estuviera en otro equipo y así dar margen a que estas evidencias pudieran ser eliminadas. Es importante hacer notar esta posibilidad al cliente para que puedan tomarse medidas oportunas o plantear una estrategia de adquisición de evidencias  con mayor alcance del previsto inicialmente. Por ejemplo si hay sospechas aunque no totalmente fundadas sobre una persona, debería  procederse a clonar el disco de su equipo desde el inicio por si la investigación base y conductora del caso derive también en la necesidad de tener que analizarlo a posteriori.

Este punto resulta especialmente conflictivo puesto que poner en guardia o crear supuestos sospechosos de personas que pudieran ser inocentes generan una desestabilidad palpable en el trabajo. Pero hay que valorar siempre con el cliente, si el caso está por encima de todo, a excepción de la ley. Es decir recuperar el disco sin un procedimiento válido desde el punto de vista judicial o el procedimental de la empresa recogido en el uso de medios, puede dar con un caso invalidado por muy claras que muestren ser las conclusiones. Siempre hay que tener en mente la adquisición y preservación  de las evidencias sobre el resto de circunstancias.

A la hora de analizar resulta casi imprescindible buscar en todos los lugares, incluidos en los potencialmente inexistentes. Más allá de los escenarios antiforense, muchos casos requieren de la recuperación de ficheros eliminados. Un “sospechoso” obsesivo puede tener el cuidado necesario para eliminar ficheros o datos que puedan ser contraproducentes para él. Pero también hay que ser conscientes de que lo mismo no posea los conocimientos totalmente necesarios para que la eliminación sea irreversible.

Recuperar ficheros eliminados es una tarea que lleva mucho tiempo y a veces sin resultado nada positivos y difíciles de gestionar en un juicio, pero al menos puede dar indicios importantes. Medio fichero es mejor que nada. Las herramientas forense tales como EnCase o FTK cuentan con módulos para hacer búsqueda de ficheros eliminados y sobre ellos poder hacer también uso de búsqueda de palabras o frases clave. La dificultad aquí puede residir en hacer creíble la prueba de cara al juicio.

Es también vital en muchos casos forenses, el buscar patrones más o menos definidos de conducta. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representa ejemplos de patrones. En un caso reciente una misma cuenta de usuario que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación totalmente diferentes aunque válidos (dominio\usuario y usuario@dominio).

Analizar patrones, a priori puede resultar algo complejo,  sin embargo con una buena tabla delante puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva de John Forbes Nash, pero sí es una capacidad interesante para un forense contar con capacidades de razonamiento.  En muchos de los casos en los que he participado acaban destacando determinados patrones que dan pie para la elaboración de las conclusiones. También he observado que convenientemente introducidas en el juicio, citar los patrones constituye un puntal esencial para conducir las alegaciones y/o conclusiones que se presentan ante el Juez.

Fuente: "Life"

Los patrones deberían ser cotejados con el cliente, puesto que a veces se pueden observar apreciaciones muy interesantes. Por ejemplo todos los días se producen conexiones desde una misma máquina pero un día determinado no se produjeron. Cotejándolo con información mantenida por la organización, puede resultar que ese día la persona sospechosa no acudió a trabajar puesto que fue al médico. Estos datos deberán ser introducidos en el informe como parte esencial de las conclusiones derivadas.

Es muy importante ser escrupuloso con los análisis. Ser un buen analista forense, implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos pero sin desdeñar alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se refleja indefectiblemente sobre el informe y como no en un mal trabajo.  Hay que anotar cualquier apreciación relativa a información obtenida o el cruce de resultados. No hay que confiar nunca en la buena cabeza puesto que ante la avalancha de información que se obtendrá, se acabarán perdiendo muchos detalles importantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres, etc.

Las herramientas son una parte importante de los análisis, pero ni mucho menos la más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas sin unas manos que las dirijan no servirán de nada. La experiencia me ha mostrado lo potente que pueden ser aplicaciones “de andar por casa” en manos expertas. No existen varitas ni teclas mágicas para afrontar un caso. Cada uno de ellos es un mundo y es muy importante sobre todo perder prejuicios y  conclusiones preconcebidas. El asesino no siempre es el mayordomo. Y a veces también una visión lejana de un tercero en momentos de bloqueo puede dar aire fresco.

Buenas a todos, aunque en los últimos años el imperio Nokia cae en picado con el crecimiento de los iPhone y los terminales con Android, siguen siendo muchos usuarios los que prefieren este tipo de móviles, destacando a las empresas que tienen este tipo de terminales como móvil corporativo de trote por su robustez y bajo coste.

En muchas ocasiones, en procesos de auditoría me he encontrado con backups de móviles nokia en discos duros y PCs (administradores que hacen backups antes de reinstalarlos o formatearlos y se olvidan los backup “por ahí”, usuarios que realizan backups de sus móviles y los dejan en sus equipos, móviles antiguos que reutilizan de otros empleados y que guardan backups antes de comenzar a utilizarlos, etc.)

Estos backup suelen contener información muy interesante, agendas con los teléfonos de contactos, calendario de eventos, cumpleaños y fechas señaladas, fotografías, notas, etc. Esta información puede ser muy interesante de cara a realizar ataques de ingeniería social y obtener más información o incluso adivinar contraseñas (recordar que habremos conseguido nombres de amigos y familiares y fechas señaladas, si es un usuario que utiliza el móvil para ello claro).

Para reconstruir los backup de los móviles nokia la herramienta que más me gusta es Noki de NokiSoft.  Esta herramienta soporta los formatos .nbu, .nfb, .nfc, .cdb y .arc.

El uso de esta herramienta es básico, se selecciona el archivo con el backup y automáticamente se recupera.

Así que nota importante, no os dejéis vuestros backups de móviles por el disco duro, que puede ser una fuga de información bastante peligrosa.

Saludos!

Llevo muchos días preparando dos presentaciones relacionadas con temas de malware, cuando te dedicas a hacer ingeniería inversa, haciendo análisis estático de malware o símplemente realizar un análisis dinámico del sample, requiere, o al menos es importante, el tener un laboratorio montado para realizar estas pruebas. Haré una serie de artículos de como montar un laboratorio de malware para el análisis de muestras y que herramientas se pueden usar, tanto en análisis estático como en análisis dinámico.

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox oVMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla 

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual deVMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real

Un Forense llevado a juicio (I de X)
Un Forense llevado a juicio (II de X)
Un Forense llevado a juicio (III de X)
Un Forense llevado a juicio (IV de X)
Un Forense llevado a juicio (V de X)
Un Forense llevado a juicio (VI de X)
Un Forense llevado a juicio (VII de X)
Un Forense llevado a juicio (VIII de X)
Un Forense llevado a juicio (IX de X)
Un Forense llevado a juicio (X de X)

La cadena de custodia

Tal y como he comentado en los anteriores artículos, uno de los fundamentos principales para llegar en una buena posición a un proceso judicial, se basa en garantizar la consistencia de las evidencias. Desde un punto de vista formal esto se consigue mediante un procedimiento válido y la garantía de no alteración de las pruebas.

Oficialmente en España (aunque sí en otros países) no se encuentra en estipulado el procedimiento para garantizar la custodia de las pruebas. Se estima que a efectos reales España contará a finales de 2012 o principios del 2013 con una norma que regulará y garantizará custodia de las pruebas policiales. La elaboración de dicha normativa se ha encargado al Instituto Universitario de Investigación en Ciencias Policiales. Actualmente existen protocolos internos pero no unificados.

Aunque no exista la oficialización del procedimiento, está ampliamente aceptada la figura de la cadena de custodia como norma de facto para dar garantías al proceso de mantenimiento de las evidencias. La cadena de custodia ofrece en cualquier proceso, sea o no informático, que las pruebas que se aportan y las conclusiones a las que se ha llegado partiendo de las mismas son consistentes y válidas no habiendo sido alteradas con ningún fin desde su adquisición.

De una u otra forma la transmisión de las evidencias se da entre cada perito o persona desde el momento en que recogen. Sobre ellas recae el compromiso de mantenimiento de las pruebas. Por lo tanto la cadena de custodia recoge precisamente los siguientes elementos:

• ¿Quién?
• ¿Cuándo?
• ¿Por qué?

A través de este hecho podrá identificarse quién ha estado en posesión de las evidencias. Por lo tanto hay que tener en cuenta que podrían llegar a ser testigos en el juicio si quedarán en entredicho las evidencias motivadas por defectos, que arrojaran duda sobre los procedimientos efectuados. Queda recogido en la Ley 1/2000 de Enjuiciamiento Civil el objeto y finalidad del dictamen de peritos a través de su artículo 335:

“Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad.

1. Cuando sean necesarios conocimientos científicos artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en esta Ley, que se emita dictamen por perito designado en el Tribunal.
2. Al emitir el dictamen todo perito deberá manifestar, bajo juramento o promesa de decir la verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podrá incurrir si incumpliere su deber como perito.”

La custodia de las pruebas, se convierte por lo tanto en una máxima permitiendo al perito garantizar la independencia y objetividad en la elaboración de sus conclusiones, sin haber realizado manipulación de las evidencias para favorecer a alguna de las partes. Desde un punto de vista formal sería necesario incorporar un fichero de cadena de custodia por cada evidencia existente. En mi caso lo hago tanto para cada elemento adquirido, como de las posibles copias derivadas de los mismos.

Estrictamente no existe un fichero formal que recoja la información necesaria. Pueden encontrarse en Internet diferentes formularios que podrían ser válidos. A continuación se muestra el que genera la herramienta Adepto que fue objeto de análisis en post anteriores.

Img. Funcionalidad de cadena de custodia.

Utilizando la funcionalidad que aporta el módulo de cadena de custodia, se puede generar un fichero PDF que contendrá la información correspondiente al procedimiento realizado y  permitirá acompañar a la prueba desde el inicio. Tal y como se ve en la siguiente imagen, tras la realización de una adquisición de disco, se inicia la custodia con la generación del fichero correspondiente donde se incorporan los datos que dan validez al procedimiento.

Img.- Fichero de cadena de custodia.

El paso de la evidencia de un perito a otro, debe conllevar también el traspaso del fichero de cadena de custodia y la anotación en el mismo de los datos requeridos, incluyendo como parte esencial la motivación para ello.

Un kit de explotación, o exploit kit o exploit pack, es una recopilación de exploits, ya conocidos o no, que se usa para infectar a un usuario final, mediante ingeniería social, ataques drive-by explotando vulnerabilidades.

Los kits de explotación suelen venderse en el mercado negro, sobre precios asequibles, por ejemplo:

• $ 200 x 1 semana
• $ 300 x 2 semanas
• $ 400 x 3 semanas
• $ 500 mensuales
• $ 50 x 24 horas de prueba 

Estas estadísticas pertenecen al blog de Malware Intelligence

De los kit de explotación, creo que el mas famoso actualmente se trata delBlackhole y el más caro ya que se actualizar muy rápido.

Si miramos una gráfica del año pasado segun Kaspersky, aquí tenéis un ejemplo de la detección:

Lo mas importante de los kits de explotación es la rapidez con la que se puedan actualizar, cuando te encuentras uno de estos kits de explotación suelen estar protegidos con usuario y password.

Estos paneles no suelen ser vulnerables a inyecciones SQL y las contraseñas no son las típicas pues ya se cuidan de proteger estos paneles.

Los kits suelen contener la parte de servidor web, donde se aloja el kit, además contiene estadísticas de usuarios infectados, o de acceso a los exploits, además suelen alojasrse en servidores Bullet-PROFF Hosting o incluso en algún host legítimo comprometido.

Si quieres conocer un listado actualizado y una review de los kits de explotación, puedes consultar la siguiente lista.

Update Exploits kit

Un Forense llevado a juicio (I de X)
Un Forense llevado a juicio (II de X)
Un Forense llevado a juicio (III de X)
Un Forense llevado a juicio (IV de X)
Un Forense llevado a juicio (V de X)
Un Forense llevado a juicio (VI de X)
Un Forense llevado a juicio (VII de X)
Un Forense llevado a juicio (VIII de X)
Un Forense llevado a juicio (IX de X)
Un Forense llevado a juicio (X de X)

Si el otro día hablábamos de HELIX como una herramienta interesante, tanto para la adquisición de evidencias, como la realización de otras tareas relacionadas con los procesos forense, hoy mostramos otra suite: CAINE (http://www.caine-live.net/). Computer Aided INvestigative Environment es un conjunto de herramientas de libre distribución, agrupadas en una suite GNU/Linux Live basado en UBUNTU. De origen italiano, se encuentra dirigido por Nanni Bassetti. Ofrece un conjunto de herramientas que al igual que en el caso de HELIX, aporta una buena dosis de interactuación con discos y la adquisición de los mismos.

Img.- Utilizades forense de CAINE V 2.5.1

En este sentido la más destacada corresponde a AIR (Automated Imaged and Restore), con la cual adquirir y realizar algunas operaciones interesantes con los discos que se tratan en los procedimientos forenses.  En esencia aporta funcionalidades muy similares a la aplicación Adepto ya comentada previamente. Tal y como se aprecia en la imagen siguiente, aunque presenta una interface diferente, aporta características semejantes a la anterior aplicación.

Img.- Aplicación AIR.

Los procesos en este sentido son similares, estableciendo los orígenes y destinos bien de ficheros o bien de dispositivos completos, procediendo así a la adquisición de un fichero tipo dd o a un clonado de disco. Estos procesos deben ser realizados también mediante el procedimiento de comprobación de hash.

Esta herramienta cuenta con una función muy interesante para limpiar discos: Disk Wiping. A través de este proceso se vuelcan sobre un disco que será seleccionado como destino, datos de tipo 0 que serán identificados como origen.

Img.- Funcionalidad para realizar Disk Wiping.

Tal y como se comentó la semana pasada, esto constituye un procedimiento indispensable para garantizar una higiene en el tratamiento y posterior análisis del caso. Tal y como se aprecia en la siguiente imagen se ha seleccionado como origen el conjunto de bits ZERO y como destino la unidad SDA. El proceso será iniciado tras aceptar el mensaje de advertencia que se proporciona por pantalla.

Img.- Inicio del proceso de eliminación de datos.

Todo el proceso puede ser revisado a través del módulo de mostrar el estado que proporciona AIR. En la siguiente imagen puede verse el estado  del proceso de volcado de bist 0 sobre el disco SDA. Tal y como comentaba en el post anterior, estos procesos son lentos y requieren de un tiempo el que sean completados.

Img.- Estado del procedimiento.

Este proceso de Disk Wiping que se ha mostrado, no debe confundirse con el de eliminación segura del que se habla en ocasiones, con objeto de garantizar la no recuperación de la información que existe en un disco. Este último requiere de varias pasadas de bits de 1 y 0 para garantizar que una información no es recuperable. Aunque se pudiera realizar con esta herramienta, es más aconsejable utilizar otras, como la aplicación DBAN (http://www.dban.org/) que ha sido específicamente diseñada para ello.

Una aplicación más simple (por lo menos en el aspecto inicial) que aporta CAINE para el tratamiento de disco, aunque no por ello menos interesante es Guymager. Permite también la funcionalidad de adquirir y clonar discos mediante una interface bastante sencilla.

Img.- Guymager.

Como comentaba la sencillez no está reñida con potencia, puesto que cuando se selecciona la opción requerida (adquirir o clonar), permite introducir un gran número de parámetros y seleccionar opciones para realizar el proceso. La imagen siguiente muestra las opciones para la adquisición del fichero, donde permite por ejemplo realizar una adquisición en un único fichero, no solo mediante dd como se ha mostrado hasta ahora, sino también exportarlo en el formato propio de Encase. Como se ve, se puede proporcionar toda la información importante que debe acompañar a una evidencia y que permitirá identificar entre otras los datos del caso y el analista encargado de realizar la operación.

Img.- Adquisición de discos.

 Esta semana hemos tratado otras alternativas para la adquisición de evidencias. Si bien este procedimiento es esencial, la semana que viene hablaremos de otro no menos importante, la  cadena de custodia de las evidencias, de cara al juicio.

Billete con 69 viajes (vía www.elmundo.es)

Buenas a todos, a mediados del mes pasado saltó la noticia en meneame (y se extendió como la pólvora) sobre que Anonymous había logrado romper la seguridad de las tarjetas de transporte público del TMB de Barcelona, permitiendo conseguir así viajes ilimitados. Llevo oyendo desde hace muchos años noticias similares en otros sistemas que funcionan con este tipo de tarjetas (aparcamientos, parquímetros, etc.), lo que hace pensar que las empresas que diseñan y desarrollan estos software/hardware podrían hacer un esfuerzo en mejorar las medidas de seguridad de sus sistemas. Recordaréis el post del pago de 1€ con tarjeta en los cajeros del metro de Madrid y del que hablamos en este post.

No voy a entrar en la polémica de si entrar al TMB sin pagar es ético o no (aunque el fraude al estado es más que evidente… y está tipificado en el código penal), ni sobre si esta publicación de Anonymous como protesta hacia las subidas del transporte la veo bien o mal y solo nos dedicaremos a la parte técnica del suceso.

El material necesario para el proceso es tan simple como contar con un grabador de bandas magnéticas (que no creo que todo el mundo tenga por casa… ronda los 200 euros) y el programa en python que distribuyen desde el blog de Anonymous en Cataluña (https://anoncat.wordpress.com/2012/02/26/optmestre/). Como no tenemos grabador, ni vivimos en Barcelona os resumo a continuación los pasos teóricos a seguir, obtenidos desde su blog (si alguien ha probado el tema y quiere, nos puede poner en los comentarios sus impresiones):

• Recomiendan el uso de una distribución basada en Debian como Ubuntu y el paquete python-qt4.
• Una vez listo el sistema operativo se necesitaría descargar el script “opTmestre-gui.py” y que se puede encontrar desde su página web.
• La aplicación generará los códigos a escribir en las tarjetas (en la pista 2). ´
• Se necesitaría un grabador de tarjetas magnéticas (unos 200€), que pueda escribir la pista 2, en Hi-Co, 75bpi, en modo RAW.

Con eso tendríais todo lo necesario para crear billetes de metro. Imaginamos que pronto la empresa que haya desarrollado la tecnología y que de soporte al servicio pondrá solución al problema…¿o no?

No hagáis cosas malas, saludos!