Buenas a todos, el mes pasado tuvo lugar la Guadalajaracon, evento en el que participó nuestro amigo David Moreno (@4v4t4r), como os comentábamos en este post.  

Acaba de publicarse la ponencia en video que impartió sobre un caso bastante interesante que llevó desde la asociación Anti-Depredadores, con la que colaboramos estrechamente. No os la perdáis.

Os dejamos con el video a continuación:

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

Saludos!

Buenas a todos, hoy vamos a hablar de una historia basada en hechos reales pero que ha podido recibir cierto dramatismo, como los de las películas de los “States” pero a la española. Imaginaros por un momento que tenéis interés en tener todo el listado de teléfonos internos de una organización, ¿motivaciones para ello? saber por ejemplo el teléfono de alguien que no quiere ser localizado telefónicamente y solo nos deja comunicarnos con él vía email o solo nos permite llamarnos desde un número oculto (vease como ejemplo las ofertas de ADSL, que nos llaman al teléfono para ofrecernos una oferta, pero nunca nos dejan un teléfono de contacto para volver a preguntarles, aunque esto último sea un tema a tratar a parte ya que la mayoría de las veces viene motivado porque tienen bloqueadas las llamadas entrantes).

Ahora supongamos que esa organización utiliza teléfonos VOIP y tiene uno asignado a cada uno de sus miembros. Los números de los teléfonos no están publicados en Internet, así que teóricamente son imposibles de localizar… ¿o no?

Vamos a intentar probar si es posible averiguar este tipo de números de teléfono con un poco de vision, ingeniería social, algún fallo de configuración y una buena herramienta para identificarlo, pongamos como ejemplo, Anubis V1.3 [podría valernos un simple nslookup o dig, pero hay que hacer publicidad de nuestros productos ]

La teoría es la siguiente, analizaremos la página web de la organización y en casi la mayoría de las ocasiones localizaremos varios números de teléfono. Supongamos que todos ellos se caracterizan porque tienen los primeros números iguales y los últimos tres o cuatro varían. Por lo que podríamos suponer que esos últimos números fuesen consecutivos dentro de un rango.

Ya sabemos que los teléfonos de esta compañía comenzarían por 91-6-NÚMERO TAPADO-XYZ (91, si se tratase de un prefijo de Madrid), ahora nos faltaría averiguar el XYZ para terminar de averiguar todos los números que queremos localizar. Recordar que al comienzo del artículo hemos dicho que se trataría de teléfonos VOIP, y quizás hasta las letras IP del “Voz sobre IP” nos sirvan para algo…

Si consiguiesemos obtener un listado de las direcciones IP de la organización, obtendríamos también las direcciones IP de los teléfonos VOIP, hasta aquí todo bien, y… ¿cuánto os apostáis a que estas IP tienen algo que ver con el número?

En nuestro libro La biblia del Footprinting hablamos de varias maneras de conseguir direcciones IP internas de una organización. Para el ejemplo de hoy nos bastará con aprovechar un fallo de configuración en la transferencia de zona, habilitada hacia el exterior.

Tras solicitar una transferencia de zona recibiríaos el listado entero de direcciones IP de la organización (que podría llegar a ser muy denso por cierto), y entre ellos veríamos como se encuentran algunas IP que terminan exactamente igual que los teléfonos que hemos encontrado en la página web de la organización, ¿casualidad? no creo…. 

Contrastamos así que los teléfonos VOIP se construyen con un rango fijo al comienzo y los últimos números de su dirección IP. Y conseguiríamos de esta manera tan sencilla el listado completo de teléfonos de la organización. Ideal para un ataque de SPAM de marcadores automáticos y para averiguar cualquier teléfono que nos interesase.

Todas las pruebas han sido realizadas dentro de una jaula de faraday… saludos!

Si algo nos gusta a los informáticos (o eso creo), es al menos en nuestra casa tener nuestras cosas configuradas a nuestro gusto.

Estuve pensando que me gustaría tener en mi casa configurado, que servicios me gustaría tener y como me sentiría mas agusto.

No tengo la creatividad del próximo creador de Terminators, Lorenzo Martínez, pero no me hará falta lo que me configurado ya me sirve para hacer todo lo que quiera 

La red que al final me creado tiene este aspecto

Una de las cosas que creía imprescindibles es poner algo de seguridad en mi red local y controlar el tráfico entrante y saliente. Para ello cuento con la tecnología de Untangle, este UTM contiene las siguientes características

• Web Filter
•  Protocol Control
•  Virus Blocker
•  Spyware Blocker
•  Phish Blocker
• Intrusion Prevention
•  Attack Blocker
• Firewall
•  OpenVPN
• Reports
•  Spam Blocker
•  Captive Portal
•  Ad Blocker

Sin duda son características muy interesantes y que me dan una solución ya instalada para proteger el acceso a mi casa 

Lo que viene después es mi Rasberrypi, aunque se que de momento el modelo B sólo tiene una tarjeta de red, espero que en el futuro cuando monte esta red pueda tener una placa con dos tarjetas de red, en esta placa instalaré Debian, y haré toda la parte de routing de mi casa, ya que tengo varias reglas para varias cosas que no os puedo contar 

Aunque aparezca como PC físico tengo un server virtual dedicado al tema de HoneyPot, de momento tengo activo SSH, RDP y Wireless que aún no lo he publicado así que puedo obtener todos los ataques que se hacen o bien de manera automática, o bien directamente!

Luego está MI PC, que ya pondré las expecificaciones porque es donde levanto casi todo lo virtual, es una máquina potente 

Me montado un NAS casero, con FreeNAS, creo que es de las mejores soluciones para un NAS casero y con la seguridad de que está basado en FreeBSD.

En el NAS realizo los backuos cifrados y guardo toda la parte de películas, series y música, comprada toda evidentemente y la guardo ahí, puedo acceder ahí desde MI PC sin problemas.

En MI PC tengo todo un LAB virtual para hacer todos los artículos que publico aquí y todas las cosas que necesito probar, por ejemplo también de alguna formación que este realizando y demás. Ese LAB virtual sale por miVyatta, que seguro que muchos no conocéis. Para mi, Vyatta es la competencia Open Source de CISCO, para alguno seguro pero es que Vyatta tiene cosas muy, pero que muy chulas, os animo a probarlo.

Para separar el tráfico y las estadísticas en Untangle todo sale por Vyatta.

En otro ESXi Server que hay en el mapa tengo un servidor con Ubuntu, unSIEM con Alien Vault y un Windows 2008 Server con active directory instalado.

Como véis el proyecto es grande y no trivial de configurar todo, pero así ya me siento agusto. 

Hoy en día es necesario disponer de sistemas de seguridad para evitar los intentos de intrusión en nuestras máquinas y obtener privilegios sobre nuestros datos. Disponer de servicios que nos den accesos a nuestros datos de manera remota son muy útiles hoy en día, si estoy en la oficina y tengo algo en casa que quiero consultar pues, conecto con la IP de mi casa, el puerto… y consulto los datos, los cuales estarán protegidos mediante una contraseña, y alguna barrera como un firewall ¿no?

Vale, están mas o menos protegidos, pero si yo quiero que un servicio esté oculto hasta para mi, debería cerrar el puerto… pero claro no podré acceder a él tampoco. Pero ¿me conviene? la respuesta es sí, puede ser que si, un servicio concreto en un puerto puede estar expuestos a vulnerabilidades que son descubiertas en el día a día, elevación de privilegios, denegaciones de servicio, etc.

La teoría es bastante sencilla, un servidor está a la escucha en una interfaz dedicada, esperando unas secuencias de llamadas, a unos puertos en concreto. Cuando se obtenga la secuencia correcta, se ejecuta el comando que abre el servicio al que realmente se quiere acceder. Las escuchas se realizan a nivel de la capa de enlace, por lo que no hace falta que haya puertos abiertos. Se recomienda que la secuencia no sea consecutiva, ni incremental o decremental, si no que sean aleatorios, lo más difícil de conocer por parte de un posible atacante.

El port-knocking es una técnica bastante curiosa, un tanto oscura, ya que su seguridad se basa en la oscuridad que provocan la secuencia de puertos. No es recomendable en un entorno empresarial, ya que la seguridad por ocultismo no es nada sano en un ámbito empresarial, pero en una red particular, puede ser bastante interesante, para que ataques aleatorios sobre un rango de IP, no prueben con nuestros servicios.

Un Forense llevado a juicio (I de X)
Un Forense llevado a juicio (II de X)
Un Forense llevado a juicio (III de X)
Un Forense llevado a juicio (IV de X)
Un Forense llevado a juicio (V de X)
Un Forense llevado a juicio (VI de X)
Un Forense llevado a juicio (VII de X)
Un Forense llevado a juicio (VIII de X)
Un Forense llevado a juicio (IX de X)
Un Forense llevado a juicio (X de X)

Una vez que contamos con las evidencias y teniendo claro que el procedimiento seguido ha sido el correcto, es momento de ponerse manos a la obra. No es objeto de esta serie enseñar como analizar evidencias, pero sí de ofrecer consejos para obtener buenos resultados  a la hora de realizar un análisis. Es importante tener en cuenta que cada escenario presenta sus peculiaridades y evidentemente no pueden analizarse de la misma forma un caso donde hay que buscar en un equipo una conversación mantenida de Messenger, donde se produce un acceso ilícito a cuentas de correo electrónico o el tener que detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial.

A pesar de que alrededor de la ciencia forense se encuentra rodeado por un halo de mística sensación, en las más de las ocasiones, las tareas de análisis no resultan para nada edificantes. En muchos casos las tareas resultan tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. La mayoría de casos forenses que acaban en juicio tienen mucho que ver con analizar logs o buscar cadenas de caracteres entre el sinfín de ficheros que puede tener un ordenador.

Si bien es cierto que los casos de aplicaciones maliciosas, análisis de memoria, antiforense o esteganografía por poner algunos ejemplos resultan los más interesantes, son menos las circunstancias que conlleven el poder ir a juicio. Es más, la investigación en estos casos puede tener tantos derroteros que ir con una confianza plena en la aportación de las conclusiones al juicio se antoja mucho más difícil. Es mucho más fácil desde un punto de vista formal y procedimental analizar correos, logs o ficheros y por lo tanto que resulte la forma más habitual que un caso tenga un  fin judicial.

Es más, la coyuntura económica actual incide en la proliferación de casos relacionados con despidos que buscan una causa justificada para hacer procedente el mismo (en mucha ocasiones razonada, aunque en otras no tanto). También la competitividad hace que el espionaje industrial o el robo de propiedad intelectual sean otra de los orígenes de casos que se dan a día de hoy. Este tipo de casos se resuelven habitualmente escarbando entre registros o ficheros de datos.

Hay que tener en cuenta que nadie que contrate un caso (por lo menos a día de hoy, aunque esto podría no ser así hace algunos años) lo haga sin tener un objetivo concreto. Analizar “por si tengo una aplicación maliciosa” no suele ser lo más habitual. Si está decidido ir a juicio será porque existe una clara sospecha o tiene indicios razonables. Esto tiene que ser el punto inicial de partida de la investigación. Analizar porque sí, suele ser lo más complejo y muchas veces detrás hay más fantasmas que algo tangible y concreto. Si el resultado no satisface al cliente, fundamentalmente por ver cosas donde no las hay, cobrarlo será más complejo si cabe que realizar la propia investigación.

Al afrontar el análisis deberán tenerse en cuenta una serie de criterios y obtener del cliente unos datos interesantes para la investigación:

• Definición de la línea temporal. Es crítico en casi cualquier análisis definir tiempos, tanto para acotar la investigación, como para definir las conclusiones siguiendo patrones claramente definidos. Muchas conclusiones deberán apoyarse en esta circunstancia y las vaguedades aquí suelen dar resultados poco satisfactorios.
• Búsqueda de elementos o palabras clave. En ocasiones los indicios estarán indefinidos pero resulta totalmente indispensable tener consciencia de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y suponen un buen punto de origen para analizar con consecuencia. Sin estos datos claros hay que despedirse de un análisis rápido y fructífero.
• ¿Quién es quién? Es vital conocer lo máximo posible de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenario son vitales. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí por ejemplo motes. Establecer un cuadro relacional puede resultar clarificante en determinadas circunstancias. No sería el primer caso que nos encontráramos que tras una investigación se tuviera la convicción de la existencias de relaciones sentimentales desconocidas para la propia organización (también para sus propias parejas).

Mirar más allá de lo que se tiene, resulta vital para el caso y sobre todo no perder evidencias por excesiva precaución. Nunca deberíamos descartar la posibilidad de incorporar nuevas evidencias a un escenario. Cuando se destapa el inicio del caso, por retirada de un ordenador o comunicación a los investigados, pudiera resultar que la información sensible estuviera en otro equipo y así dar margen a que estas evidencias pudieran ser eliminadas. Es importante hacer notar esta posibilidad al cliente para que puedan tomarse medidas oportunas o plantear una estrategia de adquisición de evidencias  con mayor alcance del previsto inicialmente. Por ejemplo si hay sospechas aunque no totalmente fundadas sobre una persona, debería  procederse a clonar el disco de su equipo desde el inicio por si la investigación base y conductora del caso derive también en la necesidad de tener que analizarlo a posteriori.

Este punto resulta especialmente conflictivo puesto que poner en guardia o crear supuestos sospechosos de personas que pudieran ser inocentes generan una desestabilidad palpable en el trabajo. Pero hay que valorar siempre con el cliente, si el caso está por encima de todo, a excepción de la ley. Es decir recuperar el disco sin un procedimiento válido desde el punto de vista judicial o el procedimental de la empresa recogido en el uso de medios, puede dar con un caso invalidado por muy claras que muestren ser las conclusiones. Siempre hay que tener en mente la adquisición y preservación  de las evidencias sobre el resto de circunstancias.

A la hora de analizar resulta casi imprescindible buscar en todos los lugares, incluidos en los potencialmente inexistentes. Más allá de los escenarios antiforense, muchos casos requieren de la recuperación de ficheros eliminados. Un “sospechoso” obsesivo puede tener el cuidado necesario para eliminar ficheros o datos que puedan ser contraproducentes para él. Pero también hay que ser conscientes de que lo mismo no posea los conocimientos totalmente necesarios para que la eliminación sea irreversible.

Recuperar ficheros eliminados es una tarea que lleva mucho tiempo y a veces sin resultado nada positivos y difíciles de gestionar en un juicio, pero al menos puede dar indicios importantes. Medio fichero es mejor que nada. Las herramientas forense tales como EnCase o FTK cuentan con módulos para hacer búsqueda de ficheros eliminados y sobre ellos poder hacer también uso de búsqueda de palabras o frases clave. La dificultad aquí puede residir en hacer creíble la prueba de cara al juicio.

Es también vital en muchos casos forenses, el buscar patrones más o menos definidos de conducta. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representa ejemplos de patrones. En un caso reciente una misma cuenta de usuario que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación totalmente diferentes aunque válidos (dominio\usuario y usuario@dominio).

Analizar patrones, a priori puede resultar algo complejo,  sin embargo con una buena tabla delante puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva de John Forbes Nash, pero sí es una capacidad interesante para un forense contar con capacidades de razonamiento.  En muchos de los casos en los que he participado acaban destacando determinados patrones que dan pie para la elaboración de las conclusiones. También he observado que convenientemente introducidas en el juicio, citar los patrones constituye un puntal esencial para conducir las alegaciones y/o conclusiones que se presentan ante el Juez.

Fuente: "Life"

Los patrones deberían ser cotejados con el cliente, puesto que a veces se pueden observar apreciaciones muy interesantes. Por ejemplo todos los días se producen conexiones desde una misma máquina pero un día determinado no se produjeron. Cotejándolo con información mantenida por la organización, puede resultar que ese día la persona sospechosa no acudió a trabajar puesto que fue al médico. Estos datos deberán ser introducidos en el informe como parte esencial de las conclusiones derivadas.

Es muy importante ser escrupuloso con los análisis. Ser un buen analista forense, implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos pero sin desdeñar alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se refleja indefectiblemente sobre el informe y como no en un mal trabajo.  Hay que anotar cualquier apreciación relativa a información obtenida o el cruce de resultados. No hay que confiar nunca en la buena cabeza puesto que ante la avalancha de información que se obtendrá, se acabarán perdiendo muchos detalles importantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres, etc.

Las herramientas son una parte importante de los análisis, pero ni mucho menos la más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas sin unas manos que las dirijan no servirán de nada. La experiencia me ha mostrado lo potente que pueden ser aplicaciones “de andar por casa” en manos expertas. No existen varitas ni teclas mágicas para afrontar un caso. Cada uno de ellos es un mundo y es muy importante sobre todo perder prejuicios y  conclusiones preconcebidas. El asesino no siempre es el mayordomo. Y a veces también una visión lejana de un tercero en momentos de bloqueo puede dar aire fresco.

Comenzamos con el resumen de la semana:

Lunes 7 de Mayo

• El lunes Marc nos trajo su artículo Listado de ExploitPacks, en el que hablaba sobre los precios de estos peculiares kits.

Martes 8 de Mayo

• Juan Luis G Rambla llega al ecuador en su cadena de artículos: Un Forense llevado a juicio (V de X), la cosa se pone interesante

Miércoles 9 de Mayo

• El miércoles publicamos un videotutorial sobre la herramienta Wikto, en el que enseñamos a utilizarla como ejemplo contra el panel de control de Flu: Videotutorial sobre Wikto

Jueves 10 de Mayo

• El jueves Marc arrancaba una cadena de artículos sobre su Laboratorio de malware, no os la perdáis!

Viernes 11 de Mayo

• El viernes hablamos sobre la extración de datos de backups de Nokia con Noki. Tener siempre una herramienta de estas a mano cuando realicéis auditorías Analizando backups de terminales Nokia con Noki v2.1

Sábado 12 de Mayo

• Ayer Jesusdml publicó un curioso artículo sobre los mayores fracasos de la informática en La cagaste, Burt Lancaster – Los peores fracasos de la informática I.

A los que tengamos un 3 delante de nuestra edad, nos sonará la expresión “La cagaste, Burt Lancaster”  pronunciada tal cual, puesta de moda por Hombres G y que intentaron usar como título de su segunda película (por problemas legales, al final se llamó “Suéltate el Pelo“).

No temais, que no se me ha ido la cabeza (no más de lo habitual) y no voy a hacer un post ni de Hombres G, ni de Burt Lancaster. El tema del post va a ser de “cagadas” del mundo de la informática, algunas realmente sorprendentes. Me ha inspirado el hecho de recibir hoy un mail de google avisando que Google Wave está exhalando sus últimos extertores antes del apagón final el 30 de Abril de este mismo año. En el mundo de la informática, igual que en el resto de los “mundos”, ser grande no es garantía de triunfo.

Precisamente, como hay demasiadas, lo he dividido en un par de entradas. Hoy, la primera de ellas 

Apple III: La compañía que hoy tiene un valor en bolsa igual que todo el mercado selectivo español IBEX35, estuvo mucho tiempo con las patitas en arenas movedizas. Tras el éxito comercial del Apple II, el primer PC que Apple comercializó de forma masiva, los chicos de la manzana se la pegaron (y mucho) sacando al mercado un producto con problemas en su hardware y que para colmo era inferior y más caro a lo que había en el mercado (todavía no contaban con fan boys como los de ahora) por lo que el fracaso fue estrepitoso. Además, muchos de los usuarios que esperaban esta renovación, se pasaron directamente al mundo IBM-PC que estaba dando unos resultados muy buenos. Modelos posteriores del Apple III no le hicieron levantar cabeza y la situación tampoco mejoró con la llegada del Apple Lisa. A pesar de incluir algo novedoso como en interfaz de usuario gráfico y un ratón en el mundo de los ordenadores personales, su alto precio (cerca de 10.000$) y la lentitud de su interface gráfica, hicieron que no cuajara más allá que en algunos nichos muy concretos.

IBM PCjr: Los chicos del gigante azul, intentaron sacar al mercado unaversión barata de su PC, que tan buenos resultados les estaba dando en el terreno empresarial. A pesar de contar con novedades tan interesantes para la época como incluir un teclado inalámbrico (por infrarrojos) o una arquitectura de 16 bits (por entonces, el mundo digital se movía en 8bits) estas se convertirían en parte de las causa de su fracaso. El teclado no se podía alejar más de un metro de la CPU, y las baterías tenían una duración muy corta. Por ambos motivos, el uso de este teclado era más un snobismo que algo práctico. La arquitectura,  introdujo problemas de compatibilidad con muchísimas aplicaciones. IBM ofreció una serie de parches, cambió el teclado e intentó sacar algún kit de ampliación, pero tuvo que asumir la derrota discontinuando el PCjr a los 3 años de salir al mercado.

Palm: Corrian los locos 90 cuando Palm Inc, sacaba al mercado Palm Pilot. La empresa había fracasado anteriormente con su primera PDA (Zoomer) y se había sacado un dinerete vendiendo su sistema de reconocimiento de caracteres (graffiti) a Apple y su software de sincronización con el PC de escritorio a HP. La salida al mercado de Palm Pilot, es un boom. Su sistema operativo, PalmOs, e incluso el diseño, es licenciado a casi 20 marcas y se convierte en el objeto de deseo entre frikis y los nuevos yupiesDotCom. Bendecida por los “tecnomesías” de la época, comienza su ocaso ante la espectacular subida de HP con WindowsCE, y las primeras uniones entre PDA y teléfono móvil como los Nokia Communicator. Aunque reacciona, sacando los PalmTreo, la lentitud de su sistema y su alto precio, termina por hundir la compañía, que incluso saca una versión con Windows Mobile. En 2010, Palm, o lo que queda de ella, es adquirida por HP.

Google SC (Shit Collection): Que google es la caña es una opinión. Que es una de las mejores empresas como tal, es algo que pocos se atreverán a negar. No obstante, lleva consigo unos cuantos fracasos mas o menos sonados.

Líder en buscadores y publicidad on-line, no ha sido capaz de cuajar en redes sociales ni en comunicación p2p, ni en prácticamente cualquier otra cosa.

- Orkut: La red social Orkut, fue adquirida por Google Brasil en 2004. Fundada por uno de sus empleados, actualmente es muy popular en Brasil y en India. No obstante, en el resto de los países su cuota es ínfima y superada en mucho por otras redes sociales.

- Waves: El experimento que iba a ser la joya de la corona de las comunicaciones. Tenía la intención de unificar el concepto de email, Redes sociales, Wikis, pero su dificultad de uso y la falta de penetración entre usuarios con un nivel medio-bajo, lo condenó al fracaso rápidamente. En Abril de este año, se irá a negro.

- DodgeBall: Muchos de los usuarios de Foursquare, quizá no sepamos que sus fundadores vendieron la idea y la compañía a Google en 2005. Abandonado en 2009 para crear Google Lattitude, ni uno pudo ni otro puede hacer sombra a Foursquare.

- Jaiku: En 2007, Google compra una red social de microblogging centrada en finlandia (sus creadores eran consejeros de Nokia), con la intención de ser competidora directa de Twitter. Jaiku tiene muy pocos usuarios por aquel entonces, y técnicamente es muy superior a esta (jaiku por aquel entonces ya tenia la misma capacidad que twitter en la actualidad con twitter images, por ejemplo). A los dos años, google decide por sorpresa darle carpetazo, en pleno apogeo de las redes sociales.

- Buzz: Atacada por los defensores de la privacidad desde sus comienzos, Google arranca Buzz a principios de 2010, cerrándolo a finales de 2011. Sin saber muy bien para que sirve y con empresas que no terminan de saber como explotarla, los usuarios se muestran desconcertados, y a penas se le da utilidad a la red social.

- Google+: A pesar de que incluso yo mismo pensé que podría ser el principio de una gran amistad, lo cierto es que Google+ no termina de despegar y, tras un comienzo espectacular (a base de heredar los usuarios y contactos de gmail) la desidia comienza a hacer estragos en esta red social.

Buenas a todos, aunque en los últimos años el imperio Nokia cae en picado con el crecimiento de los iPhone y los terminales con Android, siguen siendo muchos usuarios los que prefieren este tipo de móviles, destacando a las empresas que tienen este tipo de terminales como móvil corporativo de trote por su robustez y bajo coste.

En muchas ocasiones, en procesos de auditoría me he encontrado con backups de móviles nokia en discos duros y PCs (administradores que hacen backups antes de reinstalarlos o formatearlos y se olvidan los backup “por ahí”, usuarios que realizan backups de sus móviles y los dejan en sus equipos, móviles antiguos que reutilizan de otros empleados y que guardan backups antes de comenzar a utilizarlos, etc.)

Estos backup suelen contener información muy interesante, agendas con los teléfonos de contactos, calendario de eventos, cumpleaños y fechas señaladas, fotografías, notas, etc. Esta información puede ser muy interesante de cara a realizar ataques de ingeniería social y obtener más información o incluso adivinar contraseñas (recordar que habremos conseguido nombres de amigos y familiares y fechas señaladas, si es un usuario que utiliza el móvil para ello claro).

Para reconstruir los backup de los móviles nokia la herramienta que más me gusta es Noki de NokiSoft.  Esta herramienta soporta los formatos .nbu, .nfb, .nfc, .cdb y .arc.

El uso de esta herramienta es básico, se selecciona el archivo con el backup y automáticamente se recupera.

Así que nota importante, no os dejéis vuestros backups de móviles por el disco duro, que puede ser una fuga de información bastante peligrosa.

Saludos!

Llevo muchos días preparando dos presentaciones relacionadas con temas de malware, cuando te dedicas a hacer ingeniería inversa, haciendo análisis estático de malware o símplemente realizar un análisis dinámico del sample, requiere, o al menos es importante, el tener un laboratorio montado para realizar estas pruebas. Haré una serie de artículos de como montar un laboratorio de malware para el análisis de muestras y que herramientas se pueden usar, tanto en análisis estático como en análisis dinámico.

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox oVMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla 

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual deVMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real

Buenas a todos, en el post de hoy os traemos un videotutorial acerca de la herramienta Wikto, en el que probaremos esta herramienta contra el panel de control Web de Flu.

Wikto es una aplicación desarrollada por Sensepost, con la que podremos desde localizar directorios, ficheros o la huella del servidor hasta localizar varias de las vulnerabilidades más comunes. Además, automatiza algunas búsquedas de Google Hacking para recuperar información de interés.

Os dejamos con el video, disfrutarlo:

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

saludos!