DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

lunes, 30 de noviembre de 2009

¡¡Ya cumplimos un Año!!


Hola lectores,

¡¡ CUMPLIMOS UN AÑO!!

Hoy conexioninversa cumple un añito. Un año plagado de casos y cosas relacionadas con el mundillo del Análisis Forense Informático.

Aunque no escribo todo lo que quisiera os prometo que iré alimentando de artículos este blog que realmente es vuestro blog.

Gracias a todos aquellos (que sois muchos) que con vuestros comentarios y ánimos me habéis hecho preocupar por la comunidad de la informática forense y como no de nuestra especialidad la seguridad.

Seguiremos e intentaremos cumplir muchos más y que vosotros lo veáis.

martes, 17 de noviembre de 2009

XSS ¿Le puede pasar a todos?

Hola lectores,

Haciendo una revisión interna sobre un aplicativo web se descubre un fallo de XSS en uno de los parámetros de entrada de un formulario. Hasta aquí nada nuevo, simplemente lo adjuntamos al informe y ponemos la recomendación de mejora para subsanar el fallo.

El responsable de la aplicación tras su comprobación una vez entregado el informe se dispone a solucionarlo, mientras llama al desarrollador le comunica por telefono, "esto del XSS le puede pasar a todos". Esa frase se quedo grabada a sangre y fuego de forma lapidaria en mi mente.

Los que nos dedicamos a seguridad, nos planteamos que esto no puede pasar a todos, actualmente cualquier persona con un minimo de orientación profesional conoce los fallos de los aplicativos en web y como mínimo conoce OWASP.

Por otro lado varios de los artículos de nuestros amigos de 'SecurityByDefault' ya nos alertaban de las cosas que se pueden hacer en su ya famosos 'Hackeos memorables' y como no también en Facebook.

Pasados unos días me dispongo a comprobar si esto del XSS la gente se lo toma en serio. Buscando por Internet me encuentro con esta magnifica base de datos de incidencias reportadas sobre XSS y disponible desde aquí

Comprobarlo vosotros mismos ya que no tiene desperdicio.

NOTA
: Muchos de estos Links en Microsoft están solucionados, aunque se mantiene u
n mirror con los fallos originales.



Imagen1: La empresa de Windows 7




Imagen2: Mis padres también se registrarón aquí




Imagen3: El rey de las busquedas también tiene fallos

Y como no, desde esta web tambien se pueden ver los ejemplos 'en vivo'



Imagen4: El principe (Bing) de las busquedas también tiene fallos






Imagen5: como dicen en mi pueblo "este es mu bonico"


Va a tener razón el programador..."esto le puede pasar a todos"

¿ y a ti, también te pasa?

lunes, 16 de noviembre de 2009

Un caso incomodo.

Hola lectores,

Lamento el haber tardado tanto en escribir, pero tengo un inmenso 'Tsunami' de trabajo.

Quiero comentar algo que es importante en uno de los casos en los que he participado y que quiero compartir con todos vosotros.


Hace un tiempo intervine en un caso muy extraño por las particularidades de las empresas que participaban.

Una empresa (vamos a llamarla A) contrata una auditoría de seguridad en redes a otra empresa (vamos a llamarla B). La empresa A quiere constatar el nivel de seguridad que dispone, dado que trabaja en el marco regulado de PCI-DSS. Es decir trabaja con datos de titulares de tarjetas de crédito.

La empresa B entre muchas de las acciones de control que realiza hace una captura de tráfico en la red local con objeto de ver que se transmite y si cumple uno de los requisitos de control. Esa información se almacena en un fichero '.PCAP'

Tras un tiempo (dos meses después de finalizar la auditoría) la empresa A denuncia a la empresa B por fuga de información de datos personales y datos financieros. Como veis el caso es muy, pero que muy complejo.

Tras pedirme colaboración se detectan las siguientes irregularidades que expongo a continuación:

  • La empresa A debería de haber realizado en el contrato de los trabajos a realizar, unas cláusulas de 'contrato de prestación de servicio' regulado en el ámbito de LOPD. También una cláusula de confidencialidad dado que se van a auditar 'zonas' criticas de información. Estas cláusulas no son complicadas y siempre está reguladas por lo que marca la ley.
  • La empresa A y B deberían de especificar y reflejar en el contrato el ámbito de trabajo a realizar, los detalles especiales que afecten a la intimidad de las personas si se produjera (como fue el caso) y la devolución de toda la información resultante de los trabajos de auditoría al finalizar esta.
  • La empresa A debería de disponer de una política que regulara o avisará a los empleados de que en los ámbitos de auditoría se puede revisar esta información
  • La empresa A si es conocedora de este trabajo de auditoría debería de haber avisado a la representación sindical o un representante de los trabajadores de la realización de estos.
  • La empresa B no explico en detalle los trabajos que iba a realizar , entre ellos la captura de tráfico.
  • La empresa B se llevo información que afecta a la intimidad de las personas y además de no quedar reflejada en el contrato .
  • La empresa B debería de disponer de protocolos de cadena de custodia en el caso de que fuera necesario llevarse información.

Este punto es muy importante por varias causas:

Derecho a la intimidad.

El principal y el que más énfasis se enmarca en derecho judicial. En este caso no se realizó correctamente dado que se capturo la información y se la llevo el auditor sin aplicar ninguna cadena de custodia. Es decir sin mala causa se llevo:

  • Transcripciones completas de correo electrónico
  • Datos de tarjetas de crédito
  • Conversaciones de Messenger
  • Otro tráfico de red

En estos casos el procedimiento debería de haber sido el siguiente:

  1. Se recopila la información y se filtra en busca de los datos necesarios que impone PCI-DSS, es decir datos de tarjeta de crédito, excluyendo todo lo demas. (Es decir el resultado es un fichero con los datos a buscar)
  2. Tres copias de este fichero PCAP y se comprueba la integridad. Original para la empresa, copia para los auditores y copia (si es necesaria) para la explotación y análisis fuera de la empresa ( es decir en la empresa que hace la auditoría)
  3. El análisis de los datos se debería de realizar dentro de la propia empresa auditada
  4. Si ha de salir algún dato de la empresa auditada para su verificación por la empresa auditora este debe de estar cifrado y autorizado expresamente por la empresa auditada
  5. Debe quedar constancia escrita (normalmente en el contrato) de la destrucción de los datos obtenidos por los auditores una vez finalizados los trabajos.

No he entrado en detalle como se produjo la fuga de información (de momento) ya que me falta los análisis previos en ambas empresas, pero prometo manteneros informados.

Ahora visto lo visto, tenemos que poner las alarmas, los ID's e IP's mentales al 100% y cuando vayamos a realizar una auditoría poner todas las cartas sobre la mesa con objeto de cubrirnos las espaldas.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...