Incident Respond - Computer Forensics - Threat Hunting

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

viernes, 27 de agosto de 2010

Ciberterrorismo y propaganda







Hola lectores,

Durante estas semanas estoy al tanto de como se utiliza internet como medio de explotación indirecta para la 'guerra de información" desde ella se utiliza métodos para engañar e influenciar el comportamiento de un público normalmente joven que tiene los suficientes medios técnicos y recursos para utilizarlos.

No olvidemos que los jóvenes de hoy son o pueden ser potencialmente 'bombas' tecnológicas en el futuro.

Es decir no deja de ser guerra psicológica.

 El Departamento de Defensa de EE.UU, define la guerra psicológica como:

"El uso planificado de propaganda y otros psicológicos acciones con la finalidad primordial de influir en las opiniones, emociones, actitudes y comportamiento de grupos extranjeros hostiles de tal manera que contribuya a la consecución de los objetivos nacionales.

Durante la semana pasada, he estado siguiendo y consiguiendo un perfil de posibles sitios legítimos de ISP's que sabiéndolo o no, hospedan sitios web islamistas con información propagandística sobre la guerra y terrorismo internacional. Desde ellos se puede sacar un perfil más exacto de personas, ideologías y sus seguidores. (podéis alucinar lo que se encuentra por estos lares)

Para ello he seguido una pauta muy sencilla, primero me he creado un 'robot-araña'  que me pudiera buscar sitios web con palabras clave, una vez lanzado he utilizado MALTEGO  para poder profundizar sobre alguno de los personajes que aparecen en este listado. (Joder con el Facebook, es mas sencillo), aunque maltego, cumple al 100% con esa información.

Aquí teneis algunos listados:

Disclaimer

Atención!! alguno de ellos contiene datos y vídeos ofensivos, no me hago responsable de lo que se siente.

http://weekly.ahram.org.eg/

¿Que pasa?  yo lo veo claro...

Post dedicado:

Dos guardias civiles destinados en Afganistán -un capitán y un alférez- y su intérprete  (de Zaragoza) -iraní nacionalizado español, de 54 años- han fallecido este miércoles en un tiroteo en la base de Qala e Naw

jueves, 19 de agosto de 2010

Que cosas me pasan...










Hola lectores,

No es que sea muy dado a estas cosas pero el 'Security Porn Star' de Chema Alonso, está cociendo un Calendario Tórrido para el año 2011. El dinero será destinado a una ONG

Y si, ¡¡voy a participar!!, junto a mi amigo Juanito. Seremos la portada del mes de Noviembre (Ya estoy buscando tanga y poniéndome cachas)

Entre otros estaremos: 

  • Marcelo de InfoSpyware
  • Rubén Santamarta de 48 bits
  • Cristian Borghello de Segu-Info
  • Silverhack de Informática64
  • Raúl Benito de Google, y más por confirmar.
Por lo demás deciros que voy a participar en una ponencia en el ASEGURA IT CAMP2, así que animaros todos los que podáis y acercaros dado que nos lo pasaremos 'pipa' ese fin de semana en cabañas de madera a lo más puro estilo militar, yo soy el encargado de levantaros a las 6:30 de la mañana.

Mientras tanto en esta época estival lo que toca este próximo fin de semana es hacerse una bajada de barrancos, que estoy muy nervioso con esto de las relaciones personales ;-) Hala a pasarlo bien. Y la semana que viene volvemos con fuerza.

lunes, 9 de agosto de 2010

Web Historian




Hola lectores,

Hace mucho tiempo que voy siguiendo la evolución de la empresa MANDIANT que dispone de muchos productos curiosos y productos FREE de lo más interesantes.

Hoy quiero hablar de una herramienta que me ha ayudado en la búsqueda de evidencias forenses en la navegación web y que es de una ayuda incalculable  (¡¡ Bravo por los chicos de MANDIANT !!)

Ni que decir tiene existen muchas herramientas en modo comando como 'pasco' o 'galleta', pero he seleccionado esta por su sencillez y rapidez a la hora de elaborar un informe forense.

Estamos hablando de Web Historian.

Web Historian es un programa que permite a un investigador reunir, mostrar y analizar datos de la navegación que se haya producido en un equipo. Más allá de esta simple definición, la herramienta ofrece una interfaz gráfica pero simplista de ver y navegar con grandes volúmenes de datos.

Tal vez la característica más potente es la capacidad de relacionar y ofrecer múltiples puntos de vista de los datos (incluyendo gráficos y línea de tiempo) a través del analizador y la herramienta web de perfiles, con la esperanza de que los investigadores podamos llegar a conclusiones acerca de los datos que nos proporciona.

En la siguiente imágen podemos apreciar la cantidad de navegadores que soporta


Una vez que pulsamos el boton de 'start' comienza el escaneo del equipo en busca de la información de navegación, también es interesante resaltar que podemos copiar los ficheros de historico de otro equipo al que previamente hemos clonado y obtenido sus huellas, para posteriormente tratarlo en el equipo del investigador con el objeto de no alterar posibles pruebas.


Esta pantalla es el resultado del escaneo: (se han tapado datos por motivos de confidencialidad)





Desde ella podemos filtrar, en busca de objetos, imágenes, campos ocultos, etc. Como se puede apreciar dispone de muchos de ellos ya predefinidos y también podemos crearnos los nuestros.

Otra de las carácterisiticas importantes es la obtención de miniaturas ya algunos navegadores graban una instantánea de la imagen de las páginas web que se han accedido. Actualmente, Chrome y Safari son los únicos navegadores que recogen imágenes en miniaturas.

Para ver las miniaturas, disponemos de la ficha "thumbnails". 




Website Analyzer

El analizador de sitios web es una representación gráfica muy útil para reducir el tiempo de análisis de grandes conjuntos de datos del historial web con estadísticas e informes visuales.


Para iniciarlo tenemos en Herramientas-> Analizar, en esta versión de momento hay cuatro informes que se pueden ejecutar sobre los datos. Para ejecutar un informe, primero debemos cargar los datos del historial web.

 
Cualquier informe generado o gráficos se pueden guardar como una imagen PNG para su inclusión en un informe externo.Los informes que puede generar son variados, por ejemplo el circular por dominio permite ver la frecuencia de visita de cada sitio web en el conjunto de datos, y el de línea de tiempo es perfecto para ver la frecuencia por horas.


 Y por último otra de las grandes utilidades es el Web Profiler, que permite disponer de una visión completa del sitio visitado.

  
Lo dicho, otra herramienta (gratuita) que debemos de tener en nuestra caja de herramientas.

Podemos descargarnos esta utilidad desde la web de MANDIANT desde aquí :

 http://www.mandiant.com/products/free_software/web_historian/

martes, 3 de agosto de 2010

Buena noticia

 Muy bien por la Ertzaintza!!!



Desde primeras horas de la madrugada de hoy, martes, agentes de la División Antiterrorista y de Información de la Ertzaintza desarrollan un operativo contra la organización terrorista ETA en la localidad guipuzcoana de Hernani. Fruto del mismo ha sido la detención de dos presuntos terroristas a los que, entre otros actos delictivos, se les imputa su participación en el asesinato de Joseba Pagazaurtundua, en febrero de 2003.

Visto en: 

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...