DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 30 de noviembre de 2010

Publicados los RootedLabs 2011

Hola lectores,

Ya han salido publicadas las RootedLabs 2011.

Es un conjunto de actividades formativas que se realizarán durante los tres días previos a RootedCON 2011, es decir, Lunes 28 de Febrero, Martes 1 y Miércoles 2 de Marzo de 2011. En lo que a mi respecta impartire una formación técnica en Análisis forense en dispositivos móviles.

Si os interesa el tema y quereis tomaros unas cervezas conmigo, digo aprender sobre este tema, ya sabeis...

martes, 23 de noviembre de 2010

¿A que huelen la nubes? Una de privacidad

Hola lectores,

Hoy he escrito un post de esos que joden, de esos de pensamiento profundo, de análisis y reflexión.

Hoy muchas empresas y  muchas de ellas de seguridad hablan de la nube, esa donde todos tus datos de empleado y tus datos financieros y tus fotos de cumpleaños, de borracheras y de quien sabe qué, están allí, en poder de ellos y poco en tu mano.

No es que sea pesimista, pero los lemas de "los amigos de tus amigos son mis amigos" no me mola. Eso de que tus correos infinitos en hipermegabytes y documentos 'gdocs' son suyos pero también mios no me mola. Eso de que 'me cago' lo voy a twittear tampoco, lo siento pero soy un espécimen raro, esos de los de antes y no digo que las redes sociales sean malas solo digo que nadie se lee la letra pequeña y que se informa nada o lo justo

Y así nos van las cosas.


Cuantos problemas de privacidad no incluye una etiqueta en una foto o el cambio de tu estado
¿Donde esta la 'security by default'? ya lo dijo con toda la razón Lorenzo en su  post , pero además según dice facebook:

.- Nos concedes una licencia no exclusiva, transferible (adios foto, adios toa para ti).

.- Esta licencia finaliza cuando eliminas tu contenido o tu cuenta (a menos que el contenido se ha compartido con terceros y éstos no lo han eliminado) (usease, no te garantizo que este borrado) En este ejemplo que veis es de hace un mes y todavia me tienen localizado





Y no es que este mal ni los culpo, pero hay muy poca información para el usuario o mejor dicho, mucha pero en letra pequeña y en casos escondidas.


Me fastidia el 'es posible' y 'el gif trasparente'... es decir la trampa que utilizo para saber cuando quiero capturar un sospechoso y abre un email (solo bajo petición judicial)...increíble que aceptemos estas cosas...(yo incluido)

Y estas clausulas me dan un miedo que no veas, lo tienen todo todo.
Tu IP, tu idioma, tu localización (si utilizas latitude), si instalas y desinstalas.

Además de todas estas cosas yo me pregunto si facebook tiene 200 millones de usuarios, algo parecido así:


¿Que poder tienen los gobiernos y las legislaciones sobre este nuevo estado o país?
¿Que ocurre si algún día alguien de la nube decide que no eres nadie, que has incumplido su política de privacidad o comercial y decide desterrarte?. ¿Que pasa con tus datos?, ¿realmente sabes donde están?, cuando borras ¿realmente borras?.

¿A quien reclamas?

Claro que por otro lado con usuarios como estos...mejor me callo



Se de un colega que le han pirateado su cuenta de la nube y ahora es un desterrado digital, tienen acceso a toda su vida... es lo que toca.

Yo voy a seguir con mi disco duro en local y cifrado por si acaso...

martes, 16 de noviembre de 2010

Hardware Forensics

Hola lectores,

Hace tiempo que quiero hablaros de unos productos comerciales basados en Hardware que nos han ayudado en diversos casos forenses. No es que sea muy dado a explicar productos comerciales en el blog, dado que me gusta emplear el ingenio con las propias herramientas que tenemos de código abierto o del propio sistema operativo. Pero la verdad que para casos muy concretos, que requieran velocidad y sencillez, voy a proponer estos que nosotros estamos utilizando.

DISPOSITIVOS MOVILES

UFED (Universal Forensic Extraction Device)

Maravilloso producto distribuido por CELLEBRITE capaz de extraer datos de la mayoría de dispositivos móviles del mercado, incluidos los smartphones y dispositivos PDA (Palm OS, Microsoft, Blackberry, Symbian, iPhone y Google Android).

Entre las cosas que es capaz de adquirir se encuentran las mas usuales:
  • Contactos
  • Mensajes de texto SMS
  • Mensajes de texto eliminados (SIM/USIM)
  • Historial de llamadas (recibidas, realizadas, perdidas)
  • Audio
  • Vídeo
  • Fotos e imágenes
  • Melodías
  • Datos del teléfono (IMEI/ESN, número de teléfono)
 Para nosotros nos parece una herramienta imprescindible sobre todo cuando tienes que clonar un móvil casi sin tocarlo.

Aquí tenéis unas fotos en acción obteniendo datos de un Iphone:

Copia los datos del Iphone a un pendrive


Progreso de la copia

Proceso de recuperación de la información del iphone a un portátil

Otro de los productos que más solemos utilizar son las clonadoras.

CLONADORES DE DISCO


VOOM HARDCOPY III

Si lo que queremos es una copia lo más rápidamente posible hemos de ir por este hardware duplicador de disco duro portátil, con capacidad de protección de disco y con doble salida para realizar desde clonados a discos idénticos o a imagen en formato dd. También una de las características que mas me gusta es la posibilidad de calcular el HASH de los discos.
Estas son algunas de sus capacidades:
  • La velocidad de clonado a dos unidades de destino es de hasta 7.1 GB / min.
  • Posibilidad de realizar uno o dos pases con MD5 y SHA256
  • Extremadamente sencillo de utilizar
  • Actualizaciones de por vida
  • Adaptadores IDE incluidos.
Y aquí lo tenemos en acción:

Vista global del clonador


Calculando el hash
WIFI

WIRELESS DETECTIVE

Este producto es una de nuestras mejores adquisiciones más o menos resumiendo es un sistema de interceptación en redes wifi.

Esto permite un fácil seguimiento y captura de las actividades de Internet del sospechoso, especialmente si se mueve de un lugar a otro.  

Las características son las siguientes:
 
  • Detecta el acceso no autorizado WIFI / intrusos (IDS).
  • Proporciona información detallada de la AP, routers inalámbricos y estaciones inalámbricas (como el canal, Mbps, la seguridad (encriptación), IP, intensidad de la señal, fabricante, MAC)
  • Proporciona la captura de paquetes WLAN de un solo canal, AP STA, o de múltiples canales mediante la implementación de distribución / sistemas múltiples.
  • Proporciona descifrado de claves wi-fi, la clave WEP (LLeva un módulo WPA de pago)
  • Proporciona decodificación y la reconstrucción de los servicios de Internet diferentes y protocolos mostrando los datos reconstruidos de forma gráfica
  • Permite grabar en archivo los datos capturados (para su posterior análisis en caso necesario)
  • Proporciona la función de localización de equipos inalámbricos
 Básicamente es un software que viene integrado en un portátil de la marca Lenovo con una antena extensible y una tarjeta wifi especifica en modo promiscuo .

BORRADO SEGURO

Si quieres eliminar tus datos de empresa de forma segura disponemos de una unidad especial de borrado de discos duros llamada Drive eRazer. El Drive eRazer se conecta a un disco duro y este hace todo el trabajo de borrado. Borra el disco a razón de 35 MB/s, mucho más rápido que hacerlo por software y por su puesto sobreescribe en ceros, muy empleado por el ejercito de los EEUU y por nosotros mismos cuando queremos 'destruir' un disco.

Tengo más juguetitos, pero estos son quizás los mas espectaculares...


Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...