30 abr 2012

Cazando Predadores en Internet (Guadalajaracon)

Buenas a todos, hace unos dias tuvo lugar la Guadalajaracon, uno de los eventos más imporantes de seguridad en América Latina y un referente a nivel internacional. En dicho evento participó nuestro gran amigo David Moreno (@4v4t4r), impulsor de la Asociación Anti-Depredadores y con la que tenemos una estrecha colaboración.

En la ponencia, David trató la temática del cibergrooming y la pedofilia en la red, exponiendo alguno de los últimos casos que ha investigado junto a fuerzas y cuerpos, con herramientas entre las que se encuentra nuestro Flu-AD.

A continuación os dejamos con la presentación en formato PDF.

Ver presentación

Saludos!

29 abr 2012

Informe Flu - 69

Comenzamos con el resumen de la semana:Lunes 23 de Abril
  • El lunes Juan Luis G. Rambla continuó con el tercer post de su cadena de diez artículos sobre su experiencia como Analista Forense en juicios, ¡no os la perdáis!: Un Forense llevado a juicio (III de X)

Martes 24 de Abril

  • El martes publicamos los dos primeros Comentarios graciosos en Flu Project (Parte I), que forman parte de una cadena de artículos en la que mostraremos algunos de los comentarios más curiosos que nos publican en el blog. Hay verdaderas joyas que no os podéis perder :)

Miércoles 25 de Abril

Jueves 26 de Abril

Viernes 27 de Abril

Sábado 28 de Abril

28 abr 2012

Viajar gratis en el transporte público de TMB (Barcelona)

[caption id="attachment_6629" align="alignright" width="215" caption="Billete con 69 viajes (vía www.elmundo.es)"][/caption]

Buenas a todos, a mediados del mes pasado saltó la noticia en meneame (y se extendió como la pólvora) sobre que Anonymous había logrado romper la seguridad de las tarjetas de transporte público del TMB de Barcelona, permitiendo conseguir así viajes ilimitados. Llevo oyendo desde hace muchos años noticias similares en otros sistemas que funcionan con este tipo de tarjetas (aparcamientos, parquímetros, etc.), lo que hace pensar que las empresas que diseñan y desarrollan estos software/hardware podrían hacer un esfuerzo en mejorar las medidas de seguridad de sus sistemas. Recordaréis el post del pago de 1€ con tarjeta en los cajeros del metro de Madrid y del que hablamos en este post.

No voy a entrar en la polémica de si entrar al TMB sin pagar es ético o no (aunque el fraude al estado es más que evidente... y está tipificado en el código penal), ni sobre si esta publicación de Anonymous como protesta hacia las subidas del transporte la veo bien o mal y solo nos dedicaremos a la parte técnica del suceso.

El material necesario para el proceso es tan simple como contar con un grabador de bandas magnéticas (que no creo que todo el mundo tenga por casa... ronda los 200 euros) y el programa en python que distribuyen desde el blog de Anonymous en Cataluña (https://anoncat.wordpress.com/2012/02/26/optmestre/). Como no tenemos grabador, ni vivimos en Barcelona os resumo a continuación los pasos teóricos a seguir, obtenidos desde su blog (si alguien ha probado el tema y quiere, nos puede poner en los comentarios sus impresiones):

  • Recomiendan el uso de una distribución basada en Debian como Ubuntu y el paquete python-qt4.
  • Una vez listo el sistema operativo se necesitaría descargar el script "opTmestre-gui.py" y que se puede encontrar desde su página web.
  • La aplicación generará los códigos a escribir en las tarjetas (en la pista 2). ´
  • Se necesitaría un grabador de tarjetas magnéticas (unos 200€), que pueda escribir la pista 2, en Hi-Co, 75bpi, en modo RAW.

Con eso tendríais todo lo necesario para crear billetes de metro. Imaginamos que pronto la empresa que haya desarrollado la tecnología y que de soporte al servicio pondrá solución al problema...¿o no?

No hagáis cosas malas, saludos!

27 abr 2012

Búsqueda en archivos cifrados con xor – xorsearch

Algunos shellcodes o malware incorporan protecciones para los curiosos, en el caso del malware por ejemplo para evitar que se pueda saber, por ejemplo, a que objetivos está enfocado el troyano. Cifran el archivo de configuración de manera que cuando el analista de malware se dedica a conseguir el archivo de configuración del troyano, se encuentra con que el archivo esta cifrado, de manera que es ininteligible a la vista del usuario.

El cifrado XOR en si, es vulnerable y se puede conseguir la clave al comparar varios mensajes cifrados en XOR

Existe una manera rápida de saber si realmente lo que estamos buscando se encuentra dentro de un archivo de configuración de esa manera podemos rápidamente hacer fuerza bruta de un string en un archivo cifrado.

La utilidad es del gran Didier Steven, el “mago de los PDF”, se llama xorsearch con esta utilidad podremos de manera muy sencilla hacer búsquedas contra un fichero cifrado con XOR.

Aquí tenemos un ejemplo del fichero en ascii, no se puede leer por lo tanto haremos una búsqueda con xorsearch

Descargamos la utilidad de aquí.

Ahora hacemos la búsqueda contra el fichero cifrado:

C:\Users\seifreed\Desktop>xorsearch config.dat credem.it Found XOR 11 position 1637: credem.it

Podemos ver que ha encontrado lo que estábamos buscando así que nos sirve para realizar las búsqueda de cosas concretas en archivos cifrados con xor.

26 abr 2012

Integrigy y el puerto 1521, de demonio en demonio y tiro porque me toca

Buenas a todos, nombrar el puerto 1521 ya causa a muchos administradores sudores y sufrimiento, es uno de esos puertos fatídicos que se suelen quedar ahí, por defecto, sin bastionar el servicio que hay detrás, esperando a que llegue alguien para encontrar un regalo.

Para los que no estén familiarizados con este puerto, se trata del lugar donde opera el receptor de escucha de base de datos de Oracle. No es ni más ni menos que un demonio que se encuentra esperando solicitudes de conexión de clientes remotos. Y ya os imagináis lo que podría ocurrir si se viese comprometido ¿verdad? He de decir que normalmente las instalaciones de Oracle vienen configuradas para que solo se pueda acceder a estos demonios desde la red interna, evitando así posibles ataques desde el exterior, pero aún así sigue quedando un amplio nido de ratones esperando su porción de queso.

Con el objetivo de solucionar estos problemas y evaluar la seguridad de este demonio nació la herramienta de Ingregy AppSentry Listener Security Check Tool, hace ya algunos años. La importancia de esta vulnerabilidad/mala configuración y herramienta es tal que OWASP definió en su dia el control CM-002 donde se analiza en profundidad:

https://www.owasp.org/index.php/Testing_for_DB_Listener_%28OWASP-CM-002%29

El funcionamiento de la herramienta de Integrigy es bastante sencillo, simplemente deberemos indicar la IP o el host en el que se encuentra la instalación de Oracle, el puerto por defecto, 1521, y se pulsa sobre el botón "play":

Una vez finalizado nos mostrará un reporte con la información que se encuentre mal configurada de cara a evaluar la seguridad de la instalación (listado de usuarios, contraseñas, versión de instalación, autenticación integrada con el sistema, etc.)

Con la herramienta lsnrctl de Oracle podremos verificar después la configuración:

Os listo a continuación los comandos que podréis ejecutar con lsnrctl:

  • start– Starts the listener with the name specified, otherwise LISTENER will be used.  For Windows systems, the listener can also be started and stopped from the Control Panel.
  • stop – Stops the listener.  For Windows systems, the listener can also be started and stopped from the Control Panel.
  • status – Provides status information about the listener, including start date, uptime, and trace level.
  • services – Displays each service available, along with the connection history.
  • version – Displays the version information of the listener.
  • reload – Forces a read of the configuration file in order for new settings to take effect without stopping and starting the listener.
  • save_config – Creates a backup of the existing listener.ora file and saves changes to the current version.
  • trace – Sets the trace level to one of the following – OFF, USER, ADMIN, or SUPPORT.
  • spawn – Spawns a program that runs with an alias in the listener.ora file.
  • dbsnmp_start – Starts the DBSNMP subagent.
  • dbsnmp_stop – Stops the DBSNMP subagent.
  • dbsnmp_status – Displays the status of the DBSNMP subagent.
  • change_password – Sets a new password for the listener.
  • quit and exit – Exits the utility.
  • set – Changes the value of any parameter.  Everything that can be shown can be set.
  • show – Displays current parameter settings.
Cuidado con vuestros Oracles ;)Saludos!

25 abr 2012

Zerobin – un Pastebin cifrado muy interesante

¿Quien no conoce hoy en día Pastebin? ¿Cuantos leaks habrán colgado ahí? Aunque Pastebin sea un sitio donde se pueden colgar de manera anónima los datos que quieras no sabemos que realiza Pastebin con esos datos, no tenemos muy claro si están almacenando esos datos, de manera interna, aunque pongas que el Pastebin se destruya por ejemplo después de terminar el día.

Pastebin permite el poder pegar código web, que además añade highlight si pegas en algun lenguaje de programación. Como Pastebin existen muchos otros, como Piratenpad, o pasteHTML y demás.

Pero hoy os traigo un servicio que además podremos gestionar nosotros mismos ya que disponemos del código fuente :D

La instalación es trivial, en la parte de servidor necesitamos:

  • php 5.2.6 or above.
  • GD
  • No database required.

Una vez instalado tiene el siguiente aspecto:

Que seguridad ofrece ZeroBin:

En este caso estamos seguros de que el servidor no guarda los pastes que introducimos en el servidor.

A pastear de manera anónima!

Marc Rivero López

24 abr 2012

Comentarios graciosos en Flu Project (Parte I)

Buenas a todos, desde que las visitas en Flu Project comenzaron a aumentar, y las posiciones en Google siguieron el mismo camino (sin técnicas black hat seo... prometido... }:P), muchos usuarios nos han intentado colar comentarios para aumentar el número de visitas en sus blogs y sitios Web (ingeniería social, black seo... qué os vamos a contar que no sepáis ¿verdad?). Hay otros usuarios cuyos comentarios nos han causado mayor admiración y risas, y los hemos ido almacenando para enseñaroslos :)

Así que comenzaremos hoy publicando dos comentarios correspondientes a dos "hackers" que ofrecen servicios de recuperación de contraseñas "olvidadas" y que nos han intentado colar sendos comentarios en posts clave bien posicionados en Google:

1. "Servicio hacker serio y confidencialidad" (leerlo entero, no tiene desperdicio...)

2. "Servicio experimentado" (no lo dudamos...)

Si es que la venta de contraseñas es un negocio redondo, y si encima los canales de comunicación para llegar al cliente te salen gratis, ¡qué más queremos! :)Pronto continuaremos con más comentarios curiososSaludos a todos!

23 abr 2012

Un Forense llevado a juicio (III de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


En el anterior post hablaba de la importancia de establecer un buen procedimiento para la adquisición de evidencias. Aunque lo idóneo sería contar con un equipamiento hardware para ello, existe la posibilidad de utilizar soluciones software para la realización del mismo. Prácticamente la mayor parte de ellas,  se basan en el empleo de DD para la copia de un número especificado de bytes o de bloques. Citaremos y mostraremos en esta serie de post las que proporcionan las suites forenses Helix y Caine.

La suite Helix de e-fense (http://www.e-fense.com/) nació con una inspiración diferente a la que puede encontrarse a día hoy (en lo que se refiere fundamentalmente al aspecto económico). Era de libre distribución y ofrecía funcionalidades para realizar análisis Live Forensics sobre sistemas Microsoft y Post Mortem a través de un arranque sobre distribución Linux. Totalmente gratuito tanto en el análisis Live Forensics como Post Mortem proporcionaba mecanismos para la realización de copias de evidencias digitales que podrían ser utilizadas en los casos forenses.

Aunque a día de hoy las distribuciones de este producto presentan un coste, todavía pueden encontrarse en Internet versiones de la misma que como la 1.9 o la 2008 R1 pueden ser utilizadas para la adquisición de evidencias. Basada en Knoppix puede ser utilizada su funcionalidad de live-cd para la adquisición de discos con múltiples funcionalidades.

La versión 1.9 aportaba una funcionalidad adicional para la adquisición de evidencias, con la incorporación de la aplicación Air. Aunque es cierto que ambas versiones traigan quizás mi favorita para la realización de la actividad que hoy os muestro: Adepto.

 

Img.- Helix versión 1.9

Img. Helix versión 2008 R1

Adepto permite dos formas diferentes de emplear el sistema DD para la adquisición de evidencias:

  • Adquisición en un único fichero dd volcando todo el contenido del disco seleccionado.
  • Realizando una clonación del disco, generando una copia idéntica del disco seleccionado.

La siguiente imagen muestra la operación de la adquisición de disco con Adepto. Dentro de las opciones significativas los comprenden la ruta de destino donde volcar la información, que podrá ser local o una ruta de red tipo Netbios o utilizar la salida de datos a través de  Netcat sobre la dirección IP y puerto indicado donde estará escuchando el sistema de almacenamiento destino.

 

Img.- Adquisición de disco.

También resulta sumamente importante la decisión de uso del Hash que verificará que el origen y destino son idénticos y por lo tanto que las copias son idénticas y válidas para la presentación de conclusiones partiendo de las evidencias adquiridas. Se recomienda modificar el tipo predeterminado de MD5 al menos a SHA1, por lógicas razones de seguridad (http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html). Al menos garantizan que el analista forense no ha hecho manipulación de las pruebas desde el momento de su adquisición.

Los tipos DCFLDD y AFF representan diferentes metodologías avanzadas para el uso de la aplicación dd en el campo forense. El primero fue desarrollado por el departamento de de los EEUU Defense Computer Forensics Lab. El segundo de los formatos: Advance Forensics Format, fue diseñado como un mecanismo más avanzado que el formato dd extandar siendo más flexible y permitiendo el almacenamiento de extensivo de metadatos requiriendo menos espacio de disco que otros formatos existentes en el mercado (como el de EnCase). Por el tipo de implementación suelo decantarme por el primero de ellos.

El segundo de los métodos de adquisición que proporciona Adepto se basa en la posibilidad de clonar un disco completamente, manteniendo tanto la información como la estructura física, de tal forma que será un espejo del disco origen. En esta circunstancia también se realizará una función hash del mismo, mostrado a través del sistema Log que proporciona la herramienta. También a través de este menú de restauración/clonado, se nos ofrece la alternativa para restaurar un fichero de tipo dd sobre un disco o sobre otro fichero imagen de tal forma que se verifique nuevamente la idoneidad del procedimiento mediante función hash del origen y del destino.

 

Img.- Clonación de un disco.

En ambas circunstancias es importante tener en cuenta una serie de detalles:

  • El tamaño de disco es relativamente importante. Los discos origen y destino no deben ser ni de las mismas características, ni tener idénticos en tamaño, pero sí el segundo en espacio ser superior al primero.
  • Tampoco deben ser idénticos en formato. Un disco tipo  IDE puede volcarse sobre un SATA o este sobre un USB. Venden para ello unos componentes que permiten la conversión y conexión de diferentes tipos de unidades de disco a  USB. Aunque es un método bastante más lento e inseguro que el uso de una clonadora convencional, resulta un proceso más económico. Permiten tratar todos los discos como de tipo externos y controlar así la identificación de unidades.
  • Sobre todo en el proceso de clonación es absolutamente imprescindible cerciorarse de cual es el disco origen y cual el destino. No sea que al final sobre el disco de las evidencias se acaben volcando ceros, y entonces más vale coger las maletas y salir corriendo.
  • También sería indispensable que el disco destino no tenga ningún dato, no sea que en el espacio no copiado se encuentren datos de otros casos y puedan llegar a mezclarse las evidencias. El consiguiente lío que tendría el analista sería interesante, sobre todo intentando desentramar la relación entre los casos. Se tratará en el siguiente post este proceso que puede ser llevado a cabo con la herramienta Air.

Utilizar un método u otro, dependerá fundamentalmente del tipo de escenario al que nos enfrentemos, el tipo análisis a efectuar y las herramientas con las que se cuente. Pero dejaremos esto para el siguiente post.

El tiempo de adquisición dependerá de varios factores: espacio a copiar/clonar, velocidad de los discos, soporte, tipo de hash a realizar, verificación de copias, etc. Si tenéis pensado utilizar este procedimiento no penséis ni mucho menos que el algo rápido. Puede llegar a tardar unas cuantas horas en concluir completamente todo el proceso sobre un disco duro convencional, si no hay errores…

Un detalle importante que proporciona la herramienta Adepto es que finalizado el proceso, aportará un fichero de suma importancia para un proceso forense: el fichero de cadena de custodia. También será objeto de tratamiento posterior la información que deberá acompañar cualquier evidencia digital de cara a la posible judicialización del caso.

La semana que viene trataremos las funcionalidades de la suite Caine para la adquisición de evidencias e iremos resolviendo algunas de las incógnitas que hemos dejado en el aire en este post.

Juan Luis García Rambla

22 abr 2012

Informe Flu - 68

Comenzamos con el resumen de la semana:Lunes 16 de Abril
  • El lunes nuestra amiga Carmen publicó el artículo Reflexiones sobre la investigación. Un post que os recomendamos visitar para que veais otros puntos de vista sobre el trabajo en el mundo de la seguridad de la información, esta vez, desde la visión de una investigadora del CSIC.
Martes 17 de Abril
  • El martes publicamos la nueva versión de Flu b0.5 que se caracteriza principalmente por la refactorización del código, muchas funcionalidades nuevas y un cambio de interfaz, ¡no os la perdáis!: Publicada la nueva versión de Flu b0.5
Miércoles 18 de Abril
  • El miércoles Juan Luis G. Rambla continuá con el segundo post de su cadena de diez artículos sobre su experiencia como Analista Forense en juicios y que está siendo un éxito de visitas: Un Forense llevado a juicio (II de X)
Jueves 19 de Abril
  • El jueves fuímos al evento de Panta Security Blogger Summit, donde se vieron los puntos de vista de numerosos profesionales del sector de la seguridad de la información acerca de la ciberseguridad: Security Blogger Summit 2012
Viernes 20 de AbrilSábado 21 de Abril
  • Volvemos con tres pantallas públicas muy curiosas (cajeros, pantallas del metro, etc.) en el post: Pantalla Pública IX. ¿Qué será lo siguiente?

21 abr 2012

Pantalla Pública IX

Buenas a todos, volvemos con tres nuevas pantallas públicas que nos habéis enviado a nuestro email info@flu-project.com, ¡gracias!

La primera nos la envía ElZ00Rro desde Colombia, os dejamos con su mensaje:

Estas son las imágenes de un cajero electrónico en el Terminal Puente Aéreo de la Ciudad de Bogotá, Colombia, y aún con Win XP? uyy!! que horror, y precisamente la semana pasada a esta Entidad Financiera Colombiana, se le presento un Incidente Tecnológico, que duro día y medio aproximadamente, y claro el publico no sabrá lo que paso.

 

Continuamos con una pantalla pública que nos envía nuestro amigo Alberto (¡un saludo!) del Metro de Madrid:

 Finalizamos con una pantalla pública que me encontré en un centro comercial de muebles bastante conocido:

20 abr 2012

Extrayendo el password AES de una configuración de Zeus

Estaba continuando con el análisis del malware en la máquina virtual del artículo que salió ayer, sobre los Fake AV, cuando al volver a infectar la máquina virtual, ya que la tengo por snapshots para conservar las herramientas que tengo instaladas para hacer más tarde el análisis estático del malware, me encontré con ciertas sorpresas.

La máquina tenía que estar totalmente limpia y me encontré con estas peticiones DNS a servidores de Rusia…

En fin miré a que dominios hacía las peticiones y todos eran C&C de un Zeus, las búsquedas me llevaron al tracker de Zeus.

Que información útil extraemos de un tracker de Zeus, pues por ejemplo la siguiente:
También encontramos información respecto a la configuración o los binarios.
Sin duda se trataba de un Zeus, además este Zeus se podía comunicar con varios C&C, porque al no encontrar respuesta del primer C&C acudía al segundo para intentar la conexión. Esta conexión se tiene que realizar para descargarse nueva configuración o hacer el envío de datos que pueda robar de la máquina infectada.
Como ya tenía la máquina infectada quise probar una nueva herramienta que había llegado a mis oídos para poder extraer el password AES que usa Zeus para cifrar el archivo de configuración.
Para entender como Zeus cifra la configuración, podemos observar la siguiente imagen:
El que nos interesa es el esquema de la derecha el que usa AES.
Para extraer el password lo que haremos será un volcado de memoria. Esto lo podemos hacer de manera muy sencilla usando win32dd.
 
Con win32dd hacemos el volcado de la memoria de nuestra máquina.
 
Ya se ha realizado el volcado de memoria, lo siguiente con find AES es comprobar si podemos recuperar de la memoria las claves.
Ejecutamos find AES
 
Perfecto hemos podido recuperar de la memoria las claves usadas por Zeus para cifrar el archivo de configuración.

18 abr 2012

Un Forense llevado a juicio (II de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


La importancia de las evidencias

Uno de los aspectos fundamentales a la hora de afrontar un forense, constituye la necesidad de contar con unas evidencias válidas. Todas las evidencias son inicialmente válidas pero una mala práctica puede llegar a invalidarlas. Hay que tener presente en todo el procedimiento: el perito debe gozar y establecer de base el principio de independencia.

Aunque la información que proporciona el afectado es vital, hay que saber que a veces nos condiciona a ver las cosas de una manera y podemos perder esa visión esencial para hacer bien las cosas. Como técnicos que somos el primer impulso ante un comentario suele ser querer ver lo que pasa, pero eso implica tocar el equipo sin haber llevado a cabo las acciones oportunas.

Supongamos un equipo del cual se sospecha que se haya realizado una acción perniciosa, este se encuentra encendido y con evidencias interesantes que pudiera tener almacenadas. Desconocemos si las tiene o no, y quizás el primer impulso es verificarlo, pero esto constituiría el primer error. La opción más lógica es asumir que las evidencias están ahí (aunque pudiera ser posible que no) y tratarlo como un sistema con información importante y sensible para el caso. Tocar de antemano puede implicar que en caso de juicio alguien podría alegar que pudiéramos haber manipulado las evidencias (no hay que perder de vista que este argumento lo podemos usar también en un contrapericial) para favorecer o incriminar a alguien.

Y si no podemos tocar el equipo ¿qué hacemos? A día de hoy no hay nada reglado en este sentido, pero existen una serie de normas no escritas que son las aplicadas habitualmente. Si el equipo está encendido es buena opción sacar una fotografía de la pantalla y apagarlo. Puesto que pudiera haber información importante relativa a ficheros temporales o en el caso de sistemas Windows fichero de paginación, podríamos optar por apagar el equipo por vía rápida: eliminar el suministro de energía. La pérdida más importante la constituye la información de conectividad de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo de escenario al que nos enfrentamos. Si esa información resulta vital, sería imprescindible contar con testigos que pudieran refrendar las acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna acción enfocada a manipular datos, solo extraerlos (no obstante habrá que tener previsto respuesta en el juicio para una defensa de las acciones hechas).

El tema de los testigos es algo que no solo en caso de llegar a tocar el equipo se debe realizar sino en todo un proceso que pueda se comprometido. Muchas organizaciones cuentan entre sus procedimientos (formulados a través de usos de medios o bien de protocolos de seguridad internos). Para estos casos suele requerirse que todo el proceso sea llevada a cabo con la presencia de una persona del comité y el afectado, o dos personas de departamentos independientes, … Estos procedimientos ofrecen la seguridad (sobre todo de cara al juicio) de que hay unas acciones  y unos testigos que así lo afirmen. De hecho se trata de forma muy análoga estos procesos al hecho de la apertura de una taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores.

Aunque con una orientación diferente sirva como ejemplo una sentencia de noviembre de 2000 de la Sala de lo Social en Málaga del Tribunal Superior de Justicia de Andalucía, en la que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le intervino y copió todos sus correos y ficheros personales, aún en presencia del comité de empresa. La sentencia se inclina por el criterio empresarial, (a pesar de que la sentencia en cuestión da la razón al trabajador, pero solo por el hecho de que no se justificó el registro como obliga el artículo 18). La resolución afirma, aún implícitamente, que el artículo 18 del Estatuto de los Trabajadores autoriza el registro en la terminal de ordenador que utiliza el trabajador. A todos los efectos un equipo se asimila a la taquilla, basándose en que el ordenador es un instrumento de trabajo propiedad de la empresa. Por lo tanto no deberá ser utilizado con otros fines diferentes que la realización de la propia actividad laboral.

No obstante nunca hay que olvidar que en el caso de un juicio la palabra y la interpretación última la tiene el juez y ahí la cosa no siempre está tan clara.

Teniendo esto presente es hora de adquirir las evidencias, ¿Cuál es el procedimiento adecuado? Como muchas otras veces, no hay un único procedimiento, ni unas herramientas “validadas”. Nuevamente hay que tener presente que en España (y en muchos países de la Unión Europea) no hay una legislación para el análisis forense, por lo tanto no puede indicarse que tal proceso es el bueno y qué herramientas han sido validadas y cuáles no. Básicamente hay que plantearse los siguientes elementos

  • ¿Cuál es el escenario en el que nos encontramos?
  • ¿Qué quiere analizarse: un fichero, un directorio, un disco o todo un sistema?
  • Todo proceso llevará su tiempo, ¿de cuánto dispongo para hacer la adquisición?
  • ¿Dónde se almacenarán las evidencias?
  • ¿Cuántas copias deben realizarse?

Normalmente los escenarios, requieren la copia de uno o más discos duros (bien por la importancia del sistema operativo, o por saber de la existencia de ficheros pero no conocer dónde se ubican).  Con lo cual, habitualmente tendremos presente esa circunstancia. Esto no puede tomarse a la ligera (copiar todo lo existente) puesto que el tiempo invertido será alto y el coste en recursos también. Este proceso de copiado de un disco (o de determinados ficheros) no puede hacerse de cualquier manera, hay que garantizar:

  • Que las copias deben ser idénticas (bit a bit) y sin ninguna alteración del origen.
  • Deberá copiarse también el supuesto espacio libre. Muchas veces aparece allí información interesante, sobre todo en circunstancia de uso de herramientas antiforense.
  • Deberá aplicarse una función hash que garantice que el origen y el destino es idéntico.

Esto último es vital porque garantiza que las conclusiones a las que se lleguen de las evidencias adquiridas, parten de un disco (o ficheros) idéntico al original y por lo tanto no ha habido una manipulación del mismo tras la copia. Con respecto a esto, el planteamiento inicial consiste en determinar cuántas copias deberían realizarse. Yo suelo recomendar dos, además de mantener el original. Una copia para el analista forense, una copia para la empresa o el afectado y el original que deberá salvaguardarse, bien presentándose junto a la denuncia,  salvaguarda por un notario o puesto a buen recaudo teniendo en cuenta su importancia de cara a un juicio.

El hash garantizará que el disco no ha sido manipulado y por lo tanto las pruebas reproducibles si llegara el caso por un contrapericial. Las herramientas enfocadas a este tipo de procedimientos utilizan habitualmente la función dd para el copiado. Bien clonando el disco o generando un único fichero de imagen que pueda ser tratado directamente por las herramientas forenses.

Existe para ello elementos hardware que permiten realizar estos procesos de forma cómoda, precisa y con altas garantías. Aunque no es la solución más económica si es la que ofrece mayor profesionalidad y seguridad para un analista forense. Hay que tener presente no obstante que la diversidad de tipos de discos existentes en el mercado y su evolución, podría llegar a suponer que un determinado hardware pudiera no ser válido en un proceso de copiado al no disponer de los accesorios adecuado para copiar un tipo de disco específico. Existen conversores no obstante que facilitarán la labor. A modo de ejemplo pongo a continuación algunos enlaces que pueden servir de orientación sobre dispositivos existentes en el mercado.

La semana que viene abordaremos los procedimientos que aunque siendo más modestos, nos permitirán hacer copiados de disco a través de soluciones Software que serán también válidas.

Juan Luis García Rambla

17 abr 2012

Publicada la nueva versión de Flu b0.5

Buenas a todos, acabamos de publicar la nueva versión de Flu (b0.5). Esta versión se caracteriza principalmente porque se ha refactorizado el código fuente, se han reordenado las clases del núcleo y se ha comentado el código en más profundidad para mejorar su comprensibilidad y obtener un código más limpio y escalable.

Además, se han añadido las siguientes funcionalidades:

  • Posibilidad de descargar archivos en la máquina infectada
  • Envío de correos a través de un servidor de correo externo
  • Apertura de archivos de audio/vídeo en la máquina infectada
  • Recuperación de la siguiente información del registro de Windows: Vídeos editados con MovieMaker, información acerca de la navegación con Internet Explorer, usuarios autenticados de Gmail en el PC, ruta donde se almacenan los archivos con las conversaciones del MSN para poder extraerlas mediante el comando "getfile" y blogs añadidos a Live Writter.
  • Ocultación del proceso de Flu en el TaskManager en Windows XP.
  • Recuperación automática del archivo donde se almacena la información recuperada por el keylogger.
  • Posibilidad de matar procesos remotamente
  • Modificación del fondo de pantalla por una imágen a través de una URL
  • Firma sha1 y md5 de los archivos extraídos del equipo infectado para verificar que no han sido modificados
  • El ejecutable de flu y el archivo del keylogger se almacenan de manera oculta y como archivo protegido del sistema en la carpeta Datos de programa, con un nombre aleatorio
  • Se ha actualizado la vacuna para eliminar la nueva variante de Flu

Por otro lado, hemos modificado el diseño del panel de control web y hemos añadido más información de la máquina que se muestra en el listado de la botnet, como la versión de Windows o la última hora de conexión. También hemos añadido un botón para actualizar la página en la tabla de máquinas.

Es la versión en la que más novedades se han incluido, esperamos que os guste :)

Aprovechamos para agradecer a VagabundoRadiactivo que ha colaborado refactorizando el código fuente del núcleo de Flu y con algunas funcionalidades, ¡gracias!.

Os dejamos con el vídeo que publicamos hace algunas semanas adelantando varias funcionalidades de la nueva edición de Flu b0.5:

[youtube Gh_vcRrExxA nolink]

Tenemos muchas más ideas que estamos avanzando y de las que esperamos pronto poder daros noticias. Como habitualmente, cualquier problema o fallo que os encontréis podéis notificarnoslo a info@flu-project.com y nos pondremos manos a la obra. De igual manera podéis hacernos llegar a esa misma dirección o a nuestro foro de consulta, nuevas ideas y códigos.

La nueva versión de Flu, así como todas las anteriores las podéis descargar gratuitamente desde el siguiente enlace:

http://code.google.com/p/flu-project/downloads/list

Para concluir os dejamos con un adelanto de lo que veréis próximamente por estos lares y que servirá para explicar a los que se preguntaron porqué mutó de color mi avatar de Flu en twitter... y hasta aquí podemos leer... ;)

¡Disfrutarlo!

16 abr 2012

Reflexiones sobre la investigación

¡Hola a tod@s!

Como dijo anteriormente en este blog mi buen amigo Pablo, el día 15 de Marzo tuve la oportunidad de dar una charla en la Universidad Rey Juan Carlos por motivo del TechFest que tuvo lugar allí (por cierto, muy bien organizado :) ).

El objetivo de la charla es dar una visión general sobre la investigación como salida profesional, para que podáis identificar si es lo vuestro y tengáis a mano alguna información de utilidad. La charla está especialmente centrada en la investigación en los Organismos Públicos de Investigación (OPIS) y en la investigación en Informática. Además podéis encontrar información del Instituto de Seguridad de la Información del CSIC y algunos truquillos que considero útiles para l@s que os queráis dedicar a esto.

Para l@s que no pudisteis asistir, aquí os dejo un resumen de la charla y las transparencias más abajo:

En primer lugar veamos qué es la investigación. La RAE lo define como la realización de actividades intelectuales y experimentales de modo sistemático con el propósito de aumentar los conocimientos sobre una determinada materia.

¿Y dónde se investiga? En OPIS, centrados principalmente en la investigación, y universidades, en las que además hay docencia. También en los departamentos de I+D de empresas, centros tecnológicos o por cuenta ajena. Entre los OPIS se puede destacar al CSIC (Consejo Superior de Investigaciones Científicas), ya que es la mayor institución pública dedicada a la investigación en España y la tercera de Europa.

Bien, hablemos ahora del doctorado. El doctorado es una inversión en formación que lleva a la especialización en un determinado tema o área de investigación. Se puede dividir en tres etapas fundamentalmente:

(el Real Decreto 99/2011 regula los nuevos estudios de doctorado)

  • Periodo de formación. Se cursa un máster oficial durante 1 ó 2 años.
  • Periodo de investigación. Estudio profundo sobre un tema. La duración es de 3 años ampliables a 5 y 8 años en el caso de dedicación a tiempo parcial.
  • Tesis doctoral que recoge toda la investigación anterior y la plasma en un documento. Da acceso al grado de Doctor (puede optarse por la mención europea). Como cada universidad tiene sus propias normas,  es importante informarse de las normas que se aplicarán en cada caso concreto. Últimamente es bastante habitual que se pidan   como requisito para presentar la tesis doctoral 1 ó 2 artículos publicados en revistas incluidas en el Journal Citation Reports, del que hablaremos más adelante.

Para hacer el doctorado son recomendables una serie de habilidades, entre las que se pueden destacar:

  • Perseverancia y trabajo duro.
  • Capacidad de innovación.
  • Ser autosuficiente e independiente.
  • Buena capacidad de expresión, organización y claridad.
  • Capacidad crítica y de análisis.
  • Resolución de problemas.
  • Trabajo por objetivos.
  • Conocimientos técnicos.
  • Gestión de proyectos.
  • Trabajo en equipo.
  • Realización de presentaciones en público.
  • Predisposición para viajar.
  • Nivel alto de idiomas (inglés).

Entonces, ¿Cuáles son las tareas en las que nos veremos involucrados si hacemos un doctorado?

  • Lectura de textos científicos.
  • Innovación y planificación.
  • Experimentación.
  • Escritura y publicación de artículos científicos.
  • Idiomas: nivel alto de inglés.
  • Congresos (realización de presentaciones en público).
  • Estancias de investigación (en el extranjero).
  • Docencia.
  • Petición de proyectos.
  • Dirección de personal.

La publicación de artículos es importante en investigación, de hecho, se evalúa al investigador tanto por la cantidad como por la calidad de sus publicaciones.

Los artículos se pueden enviar a congresos o a revistas para su publicación.

El Journal Citation Reports (JCR) es una base de datos con determinadas revistas que se consideran de impacto, junto con su índice de impacto, que da una idea de la relevancia y de las citas de las publicaciones de la revista. Cuando más alto sea el índice de impacto, de mayor impacto y prestigio se considera la revista. Este índice se actualiza anualmente.

Es muy importante tener en cuenta que la publicación de artículos puede ser un proceso bastante lento.

En cuanto a las becas para hacer el doctorado (predoctorales), las más populares son:

FPI, FPU, JAE Predoc, Marie Curie. Se deben consultar las particularidades de cada una de ellas.

¿Y cuáles son las salidas tras terminar el doctorado?

Es posible trabajar como profesor en la universidad, investigar en OPIS o en centros tecnológicos. Otra posibilidad es ir a la empresa privada o ejercer como autónomo. La opción de contratos en el extranjero también es bastante popular.

En cuanto a los contratos predoctorales, destacan:

Juan de la Cierva, Ramón y Cajal, Torres Quevedo, JAEDoc, Marie Curie o contratos en algún país extranjero (deben consultarse las condiciones de cada uno de ellos en particular). También es posible conseguir contratos a cargo de proyectos.

Para l@s que quieran más, aún hay más carrera científica. En la escala científica del CSIC existen las figuras de Científico Titular, Investigador Científico y Profesor de investigación. A estos puestos se accede por medio de una oposición y dan acceso a una plaza de funcionario. Estas figuras son las equivalentes en la universidad a Profesor Contratado Doctor, Profesor titular, etc.

Después de haber visto aspectos más generales de la investigación, me gustaría hablaros más en concreto de un centro en el que es posible realizar investigación en Informática en el CSIC. De todos los institutos del CSIC, destaco el recién formado Instituto de Seguridad de la Información, recomendable para todos aquell@s interesados en el área de la Seguridad. Esta es la web http://www.isi.csic.es, en la que podéis consultar más detalles y aquí podéis consultar las principales líneas de investigación del grupo de Criptología y Seguridad de la Información.

 Como todo, el doctorado tiene ventajas e inconvenientes. De hecho muchos doctorandos definen el doctorado como una montaña rusa por los grandes altibajos por los que se pasa.

Como inconvenientes se pueden citar:

  • Es un camino largo y duro en el que se pasa por muchas etapas.
  • La investigación conlleva un riesgo.
  • El sueldo no es alto y se suelen hacer muchas horas extras.
  • Contratos sin estabilidad (a menos que se consiga una plaza de funcionario).
  • En general el doctorado está poco valorado en España.
En contraposición, se pueden destacar las siguientes ventajas:
  • Es una inversión en formación y especialización.
  • Suele haber gran flexibilidad y libertad (horarios, vestimenta, control del trabajo, etc.)
  • Se puede investigar en temas muy interesantes y motivadores.
  • Se aprende mucho, además de poder estudiar un tema en profundidad.
  • Ofrece la posibilidad de viajar y conocer a personas muy interesantes tanto a nivel  profesional como personal.
  • Es un proceso que abre la mente y es un camino de superación personal.

Para cualquiera que esté interesad@ (tesis, proyectos de fin de carrera, colaboración en proyectos) o tenga cualquier pregunta, os dejo la web del Instituto de Seguridad de la Información del CSIC http://www.isi.csic.es y también podéis contactarme por email (carmen.torrano@iec.csic.es).

Aquí podéis echar un vistazo a las transparencias.

Espero que os haya gustado y os haya sido de utilidad.

Gracias y hasta la próxima!

Carmen Torrano