domingo, 31 de enero de 2016

Whatsapp Web versión de escritorio en dispositivos móviles

Después de una capacitación sobre Seguridad en dispositivos móviles, al día siguiente Mr. X pregunta "Como puedo acceder a conversaciones de whatsapp" claro que no utiliza las mismas palabras pero la idea es esa.

Repito como nos gusta complicarnos la vida respondí técnicamente:
Tendríamos que utilizar ingeniería social para instalar una aplicación maliciosa que daría acceso no autorizado al smartphone (ni tan "no autorizado" porque al final el propietario aceptaría instalar la aplicación)

Entonces Mr. X saca su Smartphone y accede a https://web.whatsapp.com si ingresamos desde un Smartphone el User Agent nos delata, sin embargo podemos tener versión de escritorio desde los navegadores de los smartphones y podremos acceder como si estaríamos en un ordenador :D Todo lo demás dejo a la imaginación de cada uno.

Figura 1: Ingresar a "web.whatsapp.com" redirige a "whatsapp.com"

Figura 2: Cambiar a "versión de escritorio"

Figura 3: Código QR listo para escanear

Debemos tener cuidado a quien prestamos nuestros dispositivos y revisar sesiones abiertas en "computadoras". 

Saludos!!!

lunes, 25 de enero de 2016

Obteniendo datos, caso SERECI

Podemos obtener información a través de diferentes sitios web, en esta ocasión mostrare una debilidad que tenia el Tribunal Supremo Electoral (= 

Recordar viejos tiempos cuando desarrollaba una que otra aplicación y como la mayoría hace tiempo atrás únicamente pensaba en la funcionalidad, NO tomaba en cuenta las medidas de seguridad mínimas necesarias (antes de empezar el desarrollo, durante el diseño, durante el desarrollo, durante la implementación, mantenimiento y operaciones). Suele pasar xD

Figura 1: En fecha 05/06/2014 se podía realizar búsqueda de registros de personas únicamente con números


Figura 2: En Fecha 17/06/2014 para realizar la búsqueda era necesario conocer la fecha de nacimiento. Gameover )=

Fecha 3: Actualmente la dirección URL muestra un código 404 

Existe alguien que todo lo registra xD este pequeño detalle no podía quedar sin estar guardado en la Internet, el sitio con la debilidad puede ser revisado en archive.org. Dejo el enlace para ahorrarles la búsqueda EPIC FAIL

Desarrolladores web podrían considerar revisar Software Assurance Maturity Model (SAMM)

Saludos!!!

domingo, 24 de enero de 2016

Cuando la seguridad no es suficiente (Fuga de información)

Hoy voy a dejar a un lado la parte forense, para hablar de un tema que seguro para muchos de los que trabajamos en el área de seguridad (informática | información) es un dolor de cabeza.

Partiendo de la premisa que el uso de la tecnología genera un riesgo inherente, para evitar o prevenir la fuga de información se debería partir desde  – según el esquema de defensa en profundidad – los procedimientos, políticas, reglamentos (documentos, que norman o gestionan la seguridad).

Clasificación de la Información

Aquí en este punto ya se van complica  el asunto, hablar de un esquema de clasificación de la información a nivel de procesos del negocio es un dolor de cabeza, aprobar la política de clasificación es un parto de gemelos.

Supongamos que la política fue aprobada ¿y ahora que?, es fundamental conocer el giro de negocio de la empresa, los usuarios son pieza clave; ellos conocen el valor de su información, por lo tanto  son o deberían ser los responsables de la clasificación de la información, en ese momento es donde nosotros debemos (palabra que es considerada obligatoria en el campo de las normas ISO) apoyar con talleres de clasificación de la información a los usuarios expertos (usuarios considerados dueños de los procesos de negocio) para una correcta clasificación.

DLP (Data Loss Prevention )

¡Felicidades! Ya tenes tú política de clasificación de la información, tu matriz en Excel – para la clasificación y te leíste muchos pdf’s encontrados en internet -  , tu impecable presentación en PowerPoint para el taller de clasificación.

Por experiencia propia los usuarios consideran todo “confidencial” | “reservada”  o como este categorizado en la política de tu empresa, tenemos que eliminar la subjetividad, y esto nos sirve incluso cuando estamos realizando un BIA, para el usuario todo es critico y todos los procesos son importante.

Una vez clasificada la información ¿Qué sigue? Traducir y hacer que el DLP lo entienda mediante expresiones regulares, políticas , control y seguimiento (monitoreo), acciones y otras pilchas, el proceso es largo debido a que en las primeras etapas el DLP genera muchos falsos positivos y se tiene que ir ajustando las tuercas.

El problema con los DLP (software | hardware) dependiendo de la marca tienen algunas limitaciones a nivel de protocolos de red, de aplicación y otros.

En un caso particular utilice una herramienta que mediante peticiones DNS podíamos enviar archivos “troceados” y que posteriormente serian re-construidos en el punto de destino final.

Symantec - Leak sobre las aplicaciones utilizadas, versión del soft, usuario

Checkpoint ofreciendo su solución DLP, nuestro amigo Klever y su manzana mordida.

Usuarios (Capa 8)

¡Agárrate catalina!, es la parte más “estoica” de este proceso, sin duda alguna y voy a coincidir con muchos de mis amigos de esta noble área, es la concienciación y la capacitación sobre el uso de los activos, la importancia de la información, la responsabilidad que conlleva el uso y manejo de la información.

Sin duda alguna existe un usuarios y “usuarios” (recuerdo la primera vez que escuche el termino allá por los albores del 2005) – “Insider’s” lo mas temible y riesgoso en una organización, de nada sirve tener una política (estar certificados en ISO 27001), contar con un DLP con inteligencia artificial, heurística, y lo que se te imagine, si nuestro usuario con un solo click desde su teléfono puede “obtener información” diría robar – pero robar esta definido como “la ausencia de “, Whatsapp es una de las aplicaciones mas utilizadas para el envió de imágenes y en este caso para hacer un “leak” de la información que por cierto no tiene un precio ¿o ustedes podrían decir cuanto vale la información de su empresa? (si son los que la venden seguro tienen un precio/ si son los que la cuidan seguro que no).

Para finalizar los agentes de seguridad física, su misión es controlar el ingreso/salida de equipos de la organización, pero si entras o salís con un fajo de “hojas” lamentablemente no controlan ese tema.

La yapa

¿Qué hacemos con la información considera reservada o confidencial, que es transmitida de forma oral en cualquier espacio público? , si realmente estamos jodidos.

Conclusión

Con esta entrada pretendo comentar algunas cosas vividas otras escuchadas de colegas del mismo rubro, no existe una ecuación mágica que permita controlar la seguridad en 100 % , es más seguridad al 100 % no existe, la seguridad no es un producto que se entrega, es un proceso continuo que debería ser considerado como un proceso más de negocio.

P = Procedimientos | Políticas (Clasificación de la Información, talleres) 
D = Data Loss Prevention  (Tecnología preventiva)
U = Usuarios (Concienciación, Capacitación, Talleres, Uso, transporte de la información)
A = Áreas seguras (Controles físicos, Guardas de Seguridad)
X = Alguna variable que me este olivando (jajaja)
NS = Nivel de Seguridad
NS = Σ [U*(P*D)+(A*X)] en ciclo que tiende a infinito

¿Y ustedes cómo gestionan la seguridad en su organización o que opinan sobre la fuga de información?

Saludos,

I.A

miércoles, 20 de enero de 2016

Llamada de número de teléfono móvil no registrado en tu agenda, mira quien "podría" haberte llamado

¿Cuántas veces ha pasado que recibes llamadas de números que no tienes registrados en tu smartphone? La verdad a mí no muchas, sin embargo por naturaleza somos curiosos y nos interesa saber quién fue la persona que llamo. Podríamos volver a marcar al número de teléfono y preguntar, pero como nos gusta complicarlos la vida, pensar mejor espero que vuelvan a llamar o quizá es de una persona a la cual no quiero hablar (por X motivos) mejor no llamo.

Entonces como sabemos a quién “podría” pertenecer el número de teléfono móvil si no tenemos las BBDD de las empresas de telefonía móvil.

Tenemos compañías que se preocupan por nosotros (= y nos facilitan esta información, antes daban más datos Pe. “dirección de domicilio” (hasta finales del año 2013 seguían dando estos datos). Me gustaría tener la fotografía enviada a una querida amiga con sus propios datos conseguidos únicamente con su número de teléfono celular, pero esas veces no pensaba estar escribiendo.

Al tratar de realizar el pago de servicios por Internet únicamente tenemos que elegir la empresa de telefonía móvil e introducir el número. Actualmente funciona con dos de las tres empresas de telefonía móvil, en una es necesario saber el número de carnet de identidad.

Unas cuantas imágenes de lo mencionado:

Figura 1: Empresas de telefonía móvil

Figura 2: Entel - Puedes buscar nombres con el número de teléfono o código

Figura 3: Tigo - Puedes buscar con el número de teléfono móvil y otros

Figura 4: Viva - Pide requisito número de carnet de identidad para realizar la búsqueda )=

Figura 5: Entel - Al encontrar el nombre de la persona también muestra el número de cuenta

Figura 6: Tigo - Muestra el nombre completo de la persona que "registro" el número de teléfono móvil

Figura 7: Tigo y Entel - En algunas ocasiones no se encuentra los resultados esperados

Es sencillo registrar números de teléfonos móviles a nombre de otras personas por eso el “podría”, solo necesitas conocer el nombre completo, número de carnet de identidad y fecha de nacimiento, estoy seguro que algunas personas conocen nuestros datos personales… 

Esta información en ciertas ocasiones también se puede conseguir con la red social de Facebook si el número está vinculado con alguna cuenta de usuario u otro tipo de herramientas como ser Maltego e imagino que debe haber muchas otras opciones.

Agradezco la invitación de Israel (@iara0z) para formar parte de Non Security =) donde estaremos compartiendo de todo un poco.

Un reto para mi ponerme al día con las publicaciones pendientes...

Saludos



jueves, 14 de enero de 2016

Análisis Forense Digital III (Identificando la Imagen Forense)

Continuando con la serie de entradas en esta oportunidad vamos a identificar la evidencia, es decir si es una copia parcial (partición o volumen) o una copia total del disco (lo más recomendable).

En primera instancia y solo por facilidad creamos un enlace simbólico hacia la imagen forense con el comando ln –s. La identificación de la estructura, sistema operativo y otros de la imagen forense es fundamental para determinar el uso de herramientas, técnicas y artefactos que serán analizados.

Enlace simbólico a la imagen forense y uso del mmls 
 Como se puede observar en la imagen, mediante el comando fdisk –lu identificamos primero el tamaño en este caso 931,5 GiB (1TB) , tamaño del sector 512 bytes y la cantidad de particiones en este caso son 5 algunas reservadas del sistema operativo  y las ultimas 2 podría “suponer” que son los volúmenes del S.O.

Uso de fdisk para la identificación de la imagen forense

Las particiones GPT utiliza el estándar de la tabla de particiones DOS, en la siguiente tabla se puede observar detalladamente la estructura de los primeros 92 bytes del header GPT.
Cabecera GPT
 Con estos valores, se puede determinar la distribución del disco incluyendo la ubicación de la tabla de particiones, área de partición, y copias de seguridad de la tabla de cabecera y partición GPT.

Análisis del Header GPT de la imagen forense
 Tomando en cuenta el offset de inicio de la partición que contiene datos multiplicando por el tamaño del sector de 512 bytes dan un valor de 554696704, tomando como referencia ese valor se procede a montar la evidencia solo lectura.

Punto de Montaje de la Imagen forense

El proceso de análisis de los artefactos, recuperación de archivos y generación de la línea de tiempo no es parte de la entrada, en las siguientes entradas se explicará el proceso de análisis y recuperación de información borrada.
¡Saludos!
I.A

domingo, 10 de enero de 2016

Análisis Forense Digital II

Una vez aclarado los aspectosbásicos y fundamentales del Análisis forense digital en la anterior entrada hoy vamos entrar de lleno a la parte técnica, para el uso de herramientas y sistemas operativos como laboratorio forense existe una gran cantidad de herramientas.


Para entender las diferentes capas que podrían ser analizadas podemos partir desde el medio físico de almacenamiento siguiendo por dos caminos: la adquisición de la memoria volátil (análisis en vivo) y/o adquisición del disco duro donde reside el S.O. Dependiendo del S.O nos encontramos con particiones o volúmenes, a su vez estas tienen un sistemas de archivos (ntfs, ext3, ext4, fat32, etc.)  Donde se ejecutan aplicaciones.

Capas de Análisis Forense Digital
Se puede observar que comenzando desde un dispositivo almacenamiento (disco duro) se genera un proceso para el análisis, desde el medio físico pasamos los sectores del disco, luego seguimos al análisis de las particiones o volúmenes, sobre esas particiones están los sistemas de archivos y los propios archivos analizar.

Flujo del Análisis Forense Digital
En nuestro caso en particular utilizaremos Kali 2.0 ya que viene con las herramientas necesarias para la adquisición de imágenes forense (copia bit a bit de los dispositivos de almacenamiento). Para esta entrada en particular vamos a utilizar la herramienta dcfldd que es una versión “reload” del tan utilizado dd, esta herramienta fue desarrollada por el laboratorio de informática forense del departamento de defensa de los Estados Unidos, algunas de sus características son:
  • Barra de progreso sobre los datos que ya han sido copiados o enviados.
  • Sobre-escritura de discos con patrones conocidos o pre establecidos.
  • Verificación de la integridad entre el elemento clonado y la imagen forense (bit a bit)
  • Salidas simultaneas de archivos (output)
  • Las imágenes pueden ser dividas output1.dd, output2.dd, output3.dd
  • Los registros y los datos pueden ser re direccionados a otra aplicación externa.
  • La aplicación solo produce imágenes crudas (raw).
Formato del archivo (Imagen Forense)

Cuando generamos una imagen dependiendo de la herramienta podes seleccionar el formato del archivo (la identificación de los distintos formatos queda fuera de esta entrada), nos vamos a centrar en el formato raw.
Formato de Imagen Forense
Comenzamos viendo la ayuda de la herramienta (cuando algo sale mal lea el manual).

Ayuda de dcfldd
La ayuda es muy larga -como puteada de tartamudo- pero en la imagen podemos observar los parámetros necesarios como el if (que es desde donde va a leer, es decir el elemento o dispositivo a copiar y el of que es el destino donde vamos almacenar la imagen forense (copia bit a bit), como vimos en la descripción de la herramienta podemos generar el hash para preservar la integridad al vuelo (on-the-fly) con el parámetro hashlog, otro parámetro interesante es errlog aquí configuramos la dirección donde se creara un archivo con los mensajes de error (si existiesen).

Para crear la copia, debemos identificar el dispositivo a copiar y donde vamos a copiar, mediante fdisk –l se identifica /dev/sda (disco duro donde se reside el S.O) y /dev/sdb (memoria USB), para fines didácticos vamos a generar una copia de la partición /dev/sda5 que tiene un tamaño de 466M y vamos almacenar en la memoria USB.
Identificando el origen y destino
Procedemos a crear la copia, primero creamos la carpeta evidencia, luego generamos la copia preservando la integridad de la misma firmando la imagen forense mediante sha256 volcando el resultado en un archivo de texto como se puede observar en la imagen.

Generando y Preservando la Copia

sábado, 9 de enero de 2016

Análisis Forense Digital I


Hoy vamos a dar inicio a una serie de artículos de relacionados la informática forense, seguro que para muchos será ya algo conocido, pero sin duda alguna para otros será el inicio en este rama de la informática.

Si bien existe toda una teoría que definitivamente no debe ser “saltada” vamos a tratar de resumir un poco sobre las fases de un análisis forense digital. Primero lo primero la definición:

Análisis forense digital

"Se considera como la aplicación de la ciencia en la identificación, recolección, examinación y análisis de los datos preservando la integridad de la información y mantener una estricta cadena de custodia para los datos."



Preservación

Etapa fundamental donde se debe garantizar que no se pierda las evidencias (datos, información) que van a ser adquiridas o recopiladas para su análisis. En esta etapa aparecen aspectos críticos como el de apagar o encender un equipo o dispositivo, la correcta rotulación de los elementos que posteriormente serán analizados, la preservación de la memoria volátil.

Esta etapa da inicio a lo que se conoce como la “cadena de custodia” un documento donde se mantiene un registro continuo donde se debe detallar todos los movimientos realizados con los dispositivos a fin de preservar una validez jurídica.

En el caso de que los elementos o dispositivos deberían ser transportados, esto debe ser realizado con sumo cuidado y evitar en el transcurso la información o los datos contenidos sean alterados.

Adquisición

Etapa en la cual se recopilan las evidencias, una evidencia puede ser definida como cualquier prueba que en caso de ser necesario puede ser presentada en un proceso legal y la misma tendría valor legal. La evidencia debe tener estrictamente las siguientes características: admisible, autentica, completa, creíble, confiable.

Podemos inferir que existen dos tipos de evidencias las físicas y digitales. En el tipo de evidencia física podemos encontrar: discos duros, dispositivos de almacenamiento móviles, cualquier dispositivo que almacene información.

En el caso de la evidencia digital podríamos definir algunas como: archivos, procesos, conexiones, Archivos temporales, entrada de registros, bitácoras (logs, eventos).

Análisis

Como el nombre lo indica, etapa importante donde se debe analizar toda la evidencia adquirida o recolectada en las anteriores etapas. Punto importante a tomar en cuenta; ya entrando en lo técnico se debe considerar el tipo de incidente, la arquitectura del sistema operativo, el sistema de archivo esto determinara las herramientas, técnicas y artefactos a analizar.

Documentación

Algo fundamental en el proceso del análisis forense digital es la documentación detallada y metódica de todo lo realizado, en este caso debemos concluir desde dos puntos de vista técnico y ejecutivo. Fotografías, cadena de custodia, línea de tiempo de lo sucedido.

Presentación

Aquí se define todo tu trabajo realizado, no importa la cantidad de hojas, las técnicas de samurái utilizadas para el análisis digital de las evidencias sino se presentan conclusiones claras, precisas y entendibles, en caso de un dictamen pericial no podemos presentar algo tan técnico ya que las personas no tendrán las habilidades para entender (no es su obligación).
  

Espero que sirva de ayuda esta introducción, las siguientes entradas ya no serán "teóricas", si tienes consultas no dudes de hacerlas, deja tu comentario que responderemos todas tus inquietudes.

I.A


viernes, 1 de enero de 2016

Comenzando el ...2016

Hoy voy a escribir la primera entrada, este blog es un nuevo proyecto junto a @m13chy, donde vamos abordar temas de seguridad informática como: herramientas, técnicas, entrevistas, series, forense, Exploiting, análisis de malware, películas, chistes, videos, etc., ATMs al descubierto.
Haciendo un recuento sobre el año 2015 por mi parte considero que fue un excelente año, formamos (o eso intentamos formar) una comunidad de seguridad con el objetivo de motivar y despertar la curiosidad en jóvenes estudiantes.

Respecto al grupo debo agradecer a mucha gente que nos apoyo en la organización, logística y con los auditorios, no voy a nombrar para pecar de olvido, este año tenemos pensando mejorar la iniciativa de la comunidad incentivando a los miembros a preparar investigaciones y charlas para que se vayan haciendo mas “cancheros” hablando en publico.


Espero que el blog sea de su agrado y cualquier sugerencia o comentario son ¡bienvenidos!

Saludos.


I.A