Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

Guidance Software esta publicando algunos videos en linea que contienen material de capacitación sobre computo forense y Encase.

Contenido ya publicado:

Webcast: iPhone Forensics

Webcast de O'Reilly titulado: iPhone Forensics-Live Recovery over USB

Jonathan Zdziarski shares his latest technique to recover the live user disk from an iPhone. He shows how his existing technique, documented in his book iPhone Forensics, can be improved to transfer a disk image across USB in about 30 minutes, and without the need to bypass the iPhone passcode secuity or re-enable a disabled phone. You'll learn about Jonathan's new open source recovery agent and how this simplifies the process. If you have a copy of the book, you can follow along and learn where to apply these new techniques.


Cuando hablamos de análisis forense de base de datos Oracle, estamos hablando de David Litchfield, que investigo y desarrollo herramientas para el análisis de Oracle desde el punto de vista forense.

David Litchfield es un reconocido experto en seguridad, que en el 2003 fue reconocido por la Revista Information Security Magazine como el mejor cazador de bugs. Su trabajo se centra en el descubrimiento y publicación de vulnerabilidades, en especial vulnerabilidades en bases de datos, la mayoría de las vulnerabilidades que ha encontrado son de productos de Microsoft y Oracle.

Él es el autor de Oracle Forensics Using Quisix, The Oracle Hacker's Handbook: Hacking and Defending Oracle, The Database Hacker's Handbook: Defending Database Servers, y SQL Server Security y es co-autor de The Shellcoder's Handbook: Discovering and Exploiting Security Holes.

El ha documentado en una serie de papers de cómo realizar un análisis forense de un servidor de base de datos comprometido, estos papers pueden ser de mucha utilidad para un examinador forense. Oracle Forensics Parts 1 to 7

Oracle Forensics
  • Since the state of California passed the Database Security Breach Notification Act (SB 1386) in 2003 another 34 states have passed similar legislation with more set to follow.
  • In January 2007 TJX announced they had suffered a database security breach with 45.6 million credits card details stolen – the largest known breach so far.
  • In 2006 there were 335 publicized breaches in the U.S.; in 2005 there were 116 publicized breaches; between 1st January and March 31st of 2007, a 90 day period, there have been 85 breaches publicized.
  • Never has Oracle forensics and incident response been so important. These papers should help forensic examiners and incident responders to find evidence after a database intrusion has occured.

También puedes comprobar algunas de sus presentaciones y ponencias sobre el tema en este enlace. http://www.databasesecurity.com/oracle-forensics.htm

Hay pocas personas que trabajan en este campo además de David Litchfield, podemos hacer referencia a Paul M. Wright, autor del primer Libro Oracle Forensics: Oracle Security Best Practices. Puedes comprobar su blog en este enlace. http://www.oracleforensics.com/wordpress

Usando RegMon: Observar la Actividad del Registro de Windows en Tiempo Real

RegMon es una herramienta utilizada en la administración de sistemas, análisis forense y depuración de aplicación (debugging), fue creado por Mark Russinovich, y Bryce Cogswell, empleado por SysInternals antes de ser comprado por microsoft en el 2006.

RegMon supervisa y registra todas las actividades que se llevan acabo en el Registro de Windows. Regmon puede utilizarse para detectar intentos fallidos al intentar leer y escribir claves en el Registro, también puede ser utilizado para examinar las escrituras hechas en el registro por la instalación de malware o código malicioso, esto con el fin de ver su impacto en el sistema. Y de igual manera permite el filtrado de teclas específicas, procesos, identificadores de proceso, y valores.

RegMon puede ser descagado desde el sitio web de Sysinternals. Una vez descargado y extraido en el disco duro, solo tenemos que hacer doble clic en regmon.exe para iniciarlo. Automaticamente al ejecutarlo empezara a iniciar la captura actual de cualquier actividad en el registro de windows y lo mostrara en la ventana principal de regmon, como se muestra en la siguiente imagen.
Ventana principal de RegMon.

La mayor parte de la pantalla esta dedicada a mostrar la actividad del registro, las otras dos partes son la barra de menú y la barra de herramientas, en la barra de menú contiene los principales parámetros de configuración y la barra de herramientas contiene botones que nos permiten realizar tareas rápidamente, como por ejemplo guardar la actividad en un archivo, cargar un archivo anteriormente guardado, detener e iniciar procesos de captura y demás. Así que no tiene nada de ciencia :) es muy sencillo utilizar Regmon.

Por ejemplo para iniciar o detener la captura de la actividad sólo tenemos que hacer clic en la lupa de la barra de herramientas.
Si Regmon está en modo de captura, al hacer clic en el botón (lupa) pondrá una barra de color rojo a través de él, lo que significa que regmon esta detenido. Para empezar de nuevo el proceso de captura sólo tenemos que hacer clic en botón (lupa) de nuevo.

Si en algún momento deseamos modificar una entrada del Registro, podemos simplemente hacer doble clic en la entrada, al hacer esto abrirá el Editor del registro (regedit.exe) y nos llevará directamente a la clave correspondiente. Desde ahí podemos ver las claves y los valores asociados.

Tambien para copiar una entrada de la Lista en el portapapeles, solo seleccione la entrada y el tecleamos Ctrl + C para copiar la combinación de líneas seleccionadas y asu podemos pegar las líneas en otra aplicación que elijamos. Para eliminar las entradas solo selecciónamos la que deseamos eliminar y a continuación pulsamos la tecla Suprimir y listo!!.

Configuración de Filtros

Si haz ejecutado Regmon ya te habrás dado cuenta de la cantidad de actividad que ocurre en el registro, si buscamos alguna entrada en particular nos sera muy difícil encontrarla por la cantidad de actividad que ocurre en el equipo, pero aquí entra en juego los filtros. ¿Que significa esto de filtros? esto significa que Regmon nos permite añadir filtros para la salida, de modo que solo nos encuentre la información que necesitamos del alguna actividad especifica.

Para establecer un filtro solo tenemos que ir al menú Options - Filter/Highlight.
Interfaz de Filtro de Regmon.

La interfaz contiene una serie de campos de texto y casillas que nos permiten personalizar la forma en que los datos se mostraran. Los campos de texto nos permiten entrar en los diversos procesos o entradas que deseemos incluir o excluir del registro, y las casillas determinan el tipo de actividad que se desea filtrar.

Examinando el Registro

Aunque existe un numero infinito de ejemplo posibles de utilizar Regmon para poder ver dónde y cómo se almacenan los diversos ajustes del nuestro sistema en el Registro, la metodologia es la misma independientemente del ejemplo.

Bueno lo que aremos es ejecutar regmon, empezaremos a capturar los datos, hacer algun cambio, detener la captura de los datos y examinaremos lo que se escribio en el registro, con esta metodología, se puede determinar definitivamente dónde y cómo se almacenan los datos en el Registro.

¿En que lugar del registro se almacena la dirección IP de nuestra interfaz de red?
En este ejemplo se mostrara como se almacena la direccion IP de una interfaz de red en el registro, y para determinar esto, vamos a cambiar la direccion IP a un valor conocido mientras se este ejeutando Regmon y agregaremos la direccion IP conocida al filtro, de esta manera vamos a limitar la informacion que regmon nos mostrara filtrando la direccion IP.

Lo primero que debemos hacer es ejecutar Regmon (regmon.exe) y establecer un filtro, que se encuentra en Optiond - Filter/Highlight, como se muestra en la siguiente imagen.
Configurando un filtro en Regmon, para una nueva direccion IP a la que va cambiar la interfaz de red.

En la imagen anterior se muestra la configuracion de un filtro para la direccion IP 192.168.1.110, esta direccion IP es la valos al que se va cambiar la IP actual. Una vez que hallamos configurado el filtro dando clic en OK, iniciamos la captura de los datos dando clic en la lupa (Capture).

Una vez hecho lo anterior, ahora el siguiente paso es cambiar las propiedades de TCP/IP de nuestra interfaz de red. Para hacer esto damos clic en Inicio - Panel de Control - Conexiones de Red y seleccionamos nuestra interfaz de red, hacemos clic derecho y seleccionamos Propiedades. En los elementos seleccionamos Protocolo de Internet TCP/IP y hacemos clic en Propiedades como se muestra en la siguiente imagen.

Estando en propiedades de protocolo internet (TCP/IP) vamos a cambiar la direccion IP que tenemos 192.168.1.109 por una nueva direccion IP 192.168.1.110 (es la que establecimos en el filtro), como se muestra en la siguiente imagen.
Cuando hallamos terminado de hacer lo anterior solo hacemos clic en Aceptar para cerrar el cuadro de dialogo del Protocolo Internet (TCP/IP) y de nuevo hacer clic en el boton Cerrar en el cuadro de dialogo de conexión de área local.

Después de un segundo, la nueva dirección IP (192.168.1.110) se escribe en el Registro y se aplica al sistema, como se muestra en la siguiente imagen.
Filtrado que muestra la salida de tres claves del registro en donde se almacena la direccion IP.

Esta metodologia se puede adaptar y crear una amplia variedad de situaciones en las que nosotros podemos cambiar la configuracion del sistema y monitorear sus resultados con la ayuda de Regmon, de esta manera podemos ver claramente donde y como se almacenan los datos.

Saludos!.

Análisis Forense en Firefox 3.x

Leyendo en SANSforensics me encontré con un post de Keven Murphy que me pareció interesante sobre la herramienta utilizada llamada Firefox 3 Extractor. Esta herramienta forense de linea de comandos lo que hace es analizar la base de datos SQLite del navegador y generar un informe completo de los sitios webs visitados, descargas, marcadores y cualquier otra información que puede ser muy útil para un examinador forense.

Base de datos en SQLite?
Esto es porque a partir de la version 3 de firefox se utiliza un nuevo formato para registrar información sobre el historial de navegación en el navegador, en lugar de almacenar la información en un archivo usando el formato de archivo Mork, la información se guarda en una base de datos SQLite.

Es muy sencillo de utilizar, después de que el programa lee los archivos de SQLite en la carpeta del perfil de firefox nos genera un panorama muy completa en formato HTML o también puede extraer los datos a un archivo CSV, este tipo de archivos es un tipo de documento sencillo para presentar datos de forma de tabla, y con un programa de calculo como exel nos ayudara a clasificar los datos.

Firefox 3 Extractor actualmente tiene las siguientes características:
  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.
  • Crear un archivo CSV con un informe del Historia del uso de Internet
  • Crear un archivo HTML con un informe del Historia del uso de Internet
  • Descodificación de PRTime.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.
PRTime
Es el formato de fecha utilizado en firefox, este formato se utiliza en la base de datos de SQLite que firefox utiliza para registrar el historial de navegación.

Un ejemplo de PRTime: 1221842272303080
Que decodificada: 16:37:52 19/09/2008 UTC

Ejecutando Firefox 3 Extractor (f3e)


En la siguiente imagen se muestra lo que nos pedirá que tecleemos al ejecutar f3e.
Menú Principal de Firefox 3 Extractor

Solo tecleamos la tarea a realizar y listo.

Una vez haciendo esto nos generara un informe de los datos…

En la siguiente imagen se muestra la salida del archivo cookies.sqlite moz_cookies.csv

Todas las cookies del navegador

Y en esta siguiente imagen se muestra la salida del archivo downloads.sqlite moz_downloads.csv

Salida del archivo downloads.sqlite moz_downloads.csv que contiene información de las descargas realizadas.

Muestra la salida del nombre del archivo descargado (name), la dirección de donde fue descargado (source) y la dirección donde se almaceno (target).

Pero eso no es todo, hay mas información referente a la fecha en que fue descargada y si se realizo desde algún buscador tal como se muestra en la siguiente imagen claramente nos indica que el documento redesinalambricas.pdf fue descargado desde el servidor http://blyx.com/public/wireless/redesInalambricas.pdf y utilizando de referencia la siguiente dirección. http://www.google.com.mx/search?hl=es&q=redes+wireless+pdf&btnG=Buscar+con+Google&meta=
También tenemos la posibilidad de todos los datos no los genere en un archivo HTML como este ejemplo.

¿Dónde podemos encontrar los archivos de SQLite?

Firefox - GNU/Linux
/home//.mozilla/firefox//
Firefox - Windows XP
C:\Documents and Settings\\Application Data\Mozilla\Firefox\Profiles\\
Firefox - Windows Vista
C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\
Chrome - Windows XP
C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\User Data\Default\
Referencias:
http://sansforensics.wordpress.com/2009/03/13/firefox-3x-forensics-using-f3e/
http://www.firefoxforensics.com/f3e.shtml

Instalación de Caine, LiveCD orientada al Análisis Forense

Caine (Computer Aided Investigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense (Forense Digital) para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia. Proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes y resultados.

Algunas herramientas incluidas son:
  • Grissom Analyzer
  • Automated Image & Restore (AIR)
  • Guymager
  • Foremost and Scalpel
  • Autopsy 2.20 and TSK 3.0
  • SFDumper
  • Fundl
  • Stegdetect
  • Ophcrack
Descargar Caine:
http://www.caine-live.net/page5/page5.html

Este tutorial esta enfocado para instalarlo en nuestro disco duro sin compartirlo con otro sistema operativo.

Al iniciar la computadora con nuestro CD de Caine insertado en la lectora, después de unos segundos nos aparecerá lo siguiente.

Solo seleccionamos Install CAINE Live CD y pulsamos Enter para empezar la instalación de Caine.


Después de un minuto aparecerá la primera pantalla de instalación de Caine, solo seleccionamos nuestro idioma en la lista y hacer clic en Adelante, como se muestra en la siguiente imagen.

Seleccionar el idioma.

En el siguiente paso debemos seleccionar en que parte del mundo estamos ubicados, podemos hacer clis en el zoom del mapa para seleccionar el lugar con mas facilidad.

Ubicacion.

Cuando hallamos elegido la ubicación solo damos clic en Siguiente para continuar con la instalación.

Configurar el teclado:
En el siguiente paso debemos configurar el teclado.

Configuracion del Teclado.

Seleccionamos la configuración correcta de nuestro teclado, esto nos garantizara de que todas las teclas deben funcionar correctamente.

Podemos seleccionar nuestro país en la lista para seleccionar el modelo de teclado, también podemos utilizar el recuadro de la parte inferior de la ventana para comprar que funcionan todas las teclas de nuestro teclado.

Espacio del Disco:
En el siguiente paso del proceso de instalación particionaremos el disco duro para instalar todas las herramientas de Caine, el disco duro se dividen en particiones y cada partición se reserva una parte especifica del disco para el uso de otro sistema operativo, por ejemplo podemos utilizar todo el disco duro para instalar Caine o también podemos compartir el disco para tener instalado un Windows y Caine.

En esta parte de la instalación, la parte de crear las particiones es la mas delicada, ya que si tenemos particiones existentes donde podemos tener instalado un Windows podemos dañar la particion si no lo realizamos correctamente, así que recomiendo hacerle un backup por si las moscas, pero como lo mencione antes de empezar el turorial nuestro caso no compartiremos el disco duro con otro sistema operativo, solo instalaremos Caine, solito.

Partición Manual:
Particionaremos el disco manualmente, y para esto solo seleccionamos Manual y damos clic en Adelante.

Partición Manual

En la siguiente parte nos mostrara las unidades disponibles, solo seleccionamos la unidad de disco y damos clic en Nueva tabla de Particiones.

Disco a particionar.

Al dar clic en Nueva tabla de Particiones se nos preguntará si estamos seguro, solo hacemos clic en Continuar.

Continuar.

A continuacion nos aparecera lo siguiente, solo hacemos clic en Nueva Particion.

Al realizar el paso anterior nos aparecera una ventana como se muestra en la siguiente imagen.

Configuración de la partición

Tecleamos la cantidad de espacio deseado, el sistema de archivos por defecto de Caine es ext3, y en la sección de punto de montaje seleccionamos / como partición raíz y hacemos clic en OK para terminar la configuración de la partición.

Al realizar le paso anterior las particiones se mostraran como la siguiente imagen.


Ahí un espacio libre que lo ocuparemos para la partición de intercambio, la seleccionamos y damos clic en Nueva partición, y en la sección de Utilizar como: seleccionamos Área de Intercambio, y hacemos clic en OK.

De tal forma que las particiones nos quedaran de la siguiente manera.

Particiones listos.

Identificación:
El siguiente paso es añadir algunos datos acerca de nosotros que se utilizara para crear una cuenta de usuario en el equipo, y esta cuenta de usuario se utiliza como el principal administrador del sistema.

Rellenar los Datos.

En la primero casilla debemos escribir nuestro nombre completo, en la segunda casilla debemos escribir el nombre de usuario y en los siguientes dos casillas debemos de teclear nuestra contraseña, esta contraseña se utilizara para acceder a la computadora con nuestro nombre de usuario

Y en el ultimo recuadro debemos añadir un nombre de la maquina, este nombre identificara el equipo en una red local, al terminar de rellenar todos los recuadros solo damos clic en Adelante.

En el siguiente paso nos mostrara la siguiente ventana, donde nos muestra el resumen de las opciones que realizamos, revisamos y confirmamos las opciones haciendo clic en Instalar.

Resumen.

Y automáticamente empezara la instalación del sistema copiando todos los archivos al disco duro.
Al terminar la instalación, nos pedirá que reiniciemos la maquina y hacemos clic en Reiniciar Ahora.

Al reiniciar iniciara el sistema con el sistema ya instalado y solo tecleamos nuestro nombre de usuario y contraseña y listo!!..

CISSP - Certified Information Systems Security Professional

GCFA - GIAC Certified Forensics Analyst

CHFI - Certified Hacking Forensic Investigator

CCE - Certified Computer Examiner

CCFT - Certified Computer Forensic Technician

EnCE - EnCase Certified Examiner

ACE - AccessData Certified Examiner

CPE - Certified ProDiscover Examiner

De lo que he leído las certificaciones mas solicitadas son ECA y ENCE.

Fport: Analizar Puertos Abiertos

Es muy recomendable verificar que puertos están abiertos en nuestro equipo y que aplicaciones están utilizando dichas conexiones, para verificar esto podemos utilizar una herramienta gratuita llamada Fport, distribuida por Foundstone, Inc. http://www.foundstone.com.

Fport es una herramienta de linea de comandos que muestra un informe de todos los puertos abiertos y aplicaciones que utilizan para su conexión, sean puertos TCP y UDP, es similar al netstat-an, con esta herramienta es muy fácil encontrar conexiones no autorizadas mediante una simple verificación.

El uso de Fport es muy sencillo, lo primero que debemos hace es descargarlo de aquí.

Una vez descargado y descomprimido, copiamos el Fport.exe a C:\, en la raiz del disco esto es para que cuando entremos a la ventana de comandos sea mas sencillo ubicarlo..

Una vez copiado, abrimos la ventana de comandos en Inicio - Ejecutar y escribir cmd y al dar clic en aceptar se abrirá la ventana MSDOS.

En la ventana MSDOS ubicamos la dirección donde se encuentra ubicado el fpot.exe una vez ubicado solo tecleamos Fport y nos mostrara los todos los puertos abiertos y aplicaciones que están utilizando dichas conexiones..

Ejecutando Fport.

La forma mas sencilla de trabajar con Fport es guardar el resultado en un documento de texto para despues analizarlo, esto se puede hacer con el comando fport > test.txt esto creara un documento de texto con el nombre de test.txt en el directorio raíz de Fport.

Resultado de Fport en un archivo de texto.

Una herramienta similar con una interfaz gráfica de usuario es CurrPorts.

Saludos!!

Un libro interesante

Ultimadamente me a estado interesando el campo de análisis forense y es por eso que eh adquirido este libro para aprenderm el libro se titula Windows Forensics: The Field Guide for Corporate Computer Investigations lo eh adquirido en Amazon y tiene muy buena pinta... así que a leer!!