m313 Security Blog

Hace poco leí un artículo muy interesante en el blog Forensics from the sausage factory que trataba sobre los rastros que dejan las conversaciones en Facebook en los sistemas y cómo recuperar fragmentos y conversaciones en los mismos.

La idea utilizada es muy simple: el chat de Facebook utiliza tecnología JSON por lo que realizando busquedas mediante patrones en expresiones regulares sería posible encontrar rastros que hayan podido quedar en cualquier parte del sistema, ficheros temporales, memoria, etc.

El artículo es muy interesante y recomiendo su lectura acompañada de algo de trasteo. Curiosamente pocos días después de publicar este artículo el blogger daba cuenta de una herramienta automática existente que realiza estas tareas, añadiendo algunos sistemas de mensajería instantánea adicionales: msn y yahoo. La herramienta se llama Internet Evidence Finder y funciona sobre plataformas Windows. Es una herramienta de facil uso, como podemos ver a continuación:

Sin embargo he estado realizando pruebas con ella y no ha sido muy eficiente buscando conversaciones de chat en facebook, o quizá sea que el sistema que he utilizado para las pruebas no ha dejado migas de pan durante la conversación, cosa que sí ha hecho en el caso del archiconocido Windows Live Messenger, del que recolectó abundantes datos como el que muestro a continuación:

jajaajajjaMSG correo@hotmail.com nick_sesgado 93
MIME-Version: 1.0
Content-Type: text/x-msmsgscontrol
TypingUser: correo@hotmail.com

MSG correo@hotmail.com nick_sesgado 141
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Verdana; EF=B; CO=986332; CS=0; PF=22

eso si que es cierto

== Referencias ==

http://forensicsfromthesausagefactory.blogspot.com
http://www.jadsoftware.com/home/ief.htm
http://es.wikipedia.org/wiki/JSON

Compártelo

El “Host Protected Area” (HPA) es un espacio del disco duro que puede ser usado para almacenar datos y que tiene la particularidad de que los datos contenidos en dicha area no pueden ser vistos por el Sistema operativo y se situan en la parte final del mismo.

HPA fue añadida en el estandard ATA-4 y se basa en el uso de comandos ATA. Estos comandos devuelven información sobre el disco duro, veamos unos ejemplos:

READ_NATIVE_MAX_ADDRESS: devuelve la mayor dirección física.
IDENTIFY_DEVICE: devuelve el número de sectores a los que el usuario puede acceder.
SET_MAX_ADDRESS: establece la dirección máxima a la que el usuario puede acceder.

En la práctica es muy sencillo detectar cuando un disco duro tiene habilitado HPA, simplemente ver si coinciden la dirección máxima del disco (READ_NATIVE_MAX_ADDRESS) y la dirección máxima de acceso del usuario (IDENTIFY_DEVICE).
Hay que tener que cuenta que los cambios en el HPA son volátiles, se pierden al reiniciar. Es posible deshacer el direccionamiento máximo del usuario para acceder a la HPA y al reiciniar el sistema el valor de IDENTIFY_DEVICE será restablecido.

A continuación vemos el uso del binario disk_stat perteneciente al Sleuthkit con el que podemos detectar si un disco duro tiene habilitada HPA:

[root@wendigo HPA]# disk_stat /dev/sda3
Maximum Disk Sector: 268435454
Maximum User Sector: 268435449

** HPA Detected (Sectors 268435450 – 268435454) **

En el caso de discos duros Hitachi hay una herramienta que permite controlar y modificar una gran variedad de parámetros, se trata de Feature Tool.

Para trastear con el parametro SET_MAX_ADDRESS hay un pequeño programa escrito en C, se trata de setmax.c.
Como recomendación si queréis trastear os recomiendo hacerlo sobre un disco duro que no contenga datos muy valiosos

== Head of the class: Device Configuration Overlay (DCO) ==

“Device Configuration Overlay” (DCO) fue añadido en el estandard ATA-6 y incorpora nuevas características que un disco puede o no implementar. Ocupa el espacio en disco inmediatamente posterior al HPA. Algunas de las características que incorpora son los siguientes comandos:

DEVICE_CONFIGURATION_IDENTIFY: devuelve las características actuales del disco y su tamaño.
DEVICE_CONFIGURATION_SET: establece el DCO
DEVICE_CONFIGURATION_RSET: elimina el DCO

Hay que tener el cuenta que los cambios en DCO son permanentes, se mantienen tras un reinicio del sistema.
En la práctica para detectar si un disco duro tiene habiliatdo DCO, simplemente hay que comprobar si coinciden la dirección máxima del disco(READ_NATIVE_MAX_ADDRESS) y la dirección máxima del disco utilizando los comandos DCO (DEVICE_CONFIGURATION_IDENTIFY).

== Referencias ==

File System Forensic Analysis, ISBN 0-32-126817-2
http://en.wikipedia.org/wiki/Host_Protected_Area
http://www.hitachigst.com/hdd/support/download.htm
http://www.thinkwiki.org/wiki/Hidden_Protected_Area
http://www.sleuthkit.org/
http://www.win.tue.nl/~aeb/linux/setmax.c

Compártelo

El viernes ocho de Mayo de 2009, ISSA organiza en colaboración del Consejo Superior de Investigaciones Científicas la primera edición de las Conferencias ISSA de Seguridad. La conferencia se celebrará en el edificio del Instituto de Física Aplicada del CSIC.

Programa:
- 18:00 Apertura a cargo de Gonzalo Álvarez Marañón (CSIC)
- 18:05 “Seguridad de Servicios Web de Código Abierto” – Victor Manuel Fernandez (OpenSolaris)
- 19:10 “Retos para la Seguridad de Cloud Computing” – Oscar Delgado (CSIC)
- 20:00 Descanso
- 20:15 “Métricas y Madurez de Procesos de Seguridad” – Vicente Aceituno, (ISSA)
- 21:00 Despedida

Dado que el aforo está limitado a 80 plazas recomendamos inscribirse suscribiéndose a la lista de Eventos ISSA enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Los inscritos tienen preferencia sobre los no inscritos para acceder a la sala antes de las 17:55

El Instituto de Física Aplicada está en la Calle Serrano, 144.

Para recibir una invitación para los próximos eventos de seguridad organizados por ISSA unos días antes de su anuncio público, lo que da mayores oportunidades de asistir cuando el aforo es limitado, recomendamos suscribirse enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Compártelo

winAUTOPWN es una herramienta que permite atacar automáticamente sistemas Windows. Tiene una gran cantidad de exploits integrados y a diferencia de otras soluciones como Metasploit, Immunity Canvas o Core Impact apenas tiene dependencias.

Funciona en linea de comandos e incluye exploits en perl, php, python y cygwin dlls.
Ejecutarlo es tan simple como lanzar el binario, y nos va preguntando por datos sobre la víctima:

No he trasteado demasiado con la herramienta, aunque la he lanzado sobre la máquina Windows que utilizé de demo en los artículos sobre Metasploit y Meterpreter y no han tenido éxito los exploits sobre las mismas vulnerabilidades (ms08-067), tal como puede verse a continuación:

La principal ventaja es que se actualiza constantemente y es gratuita.
winAUTOPWN puede descargarse aqui. La página oficial es la siguiente:

http://winautopwn.co.nr/

Compártelo