Archive for the ‘Forensic’ Category

« Older Entries

Rooted CON 2010 – Call for papers

|
No Comments »

Posted in Forensic, Fraude, IDS, Malware, Pentest, SSOO on October 6th, 2009 by m313

===============================
- Rooted CON 2010 -
C A L L F O R P A P E R S
===============================

.: [ INTRO ]

Rooted CON es un Congreso de Seguridad que se celebrará en Madrid
(España) en Marzo de 2010. Nuestro objetivo es promover la seguridad,
ofreciendo charlas altamente técnicas con un enfoque práctico (combinación
de teoría / demo) y neutralidad (aunque apostamos por las empresas y
queremos que éstas participen en el congreso, deberá primar el contenido
técnico y objetivo).

También deseamos que la gente participe, se divierta… ¡y hasta se
lleve un premio a casa! Por ello, llevaremos a cabo diversos eventos
(aparte de las conferencias), siendo uno de los más importantes el
concurso CTF (”Capture the flag”), que contará con importantes premios
en metálico y que ha sido diseñado por ni más ni menos que uno de los
“Sexy Pandas” (equipo finalista del tradicional “Defcon CTF”).

Y por supuesto si todavía te quedan fuerzas también podrás aprovechar
para vivir a tope el encanto de las noches madrileñas…

.: [ FORMATO ]

Nos gustaría recibir dos tipos de propuestas:
- charlas rápidas. Duración: 20′.
- charlas normales. Duración: 50′.

Si tienes una idea loca/interesante y fresca que se puede contar en
poco tiempo, por favor, no lo dudes y propón una charla rápida. Si tu
idea es más loca todavía y necesitas más tiempo para explicarla en
profundidad usa la segunda modalidad: la charla normal.

Sólo aceptaremos propuestas en español e inglés. Haremos todo lo
posible para tener traducción simultánea en la sala pero no podemos
prometer nada ya que dependerá del presupuesto y de los patrocinadores.

.: [ TEMÁTICA ]

Nos interesa cualquier tema puntero del mercado de la seguridad. Éstos
son sólo algunos ejemplos:
- técnicas innovadoras tanto defensivas como ofensivas.
- todo lo relacionado con el fraude, phishing, troyanos en entornos
financieros, mecanismos de protección asociados, etc.
- “ingeniería inversa”, técnicas de bajo nivel, kernel, …
- descubrimiento de vulnerabilidades, “fuzzing” y técnicas relacionadas.
- ataques en entornos virtualizados, sistemas de cluster, “cloud
computing” y nuevos productos de seguridad “en la nube”.
- criptografía y criptoanálisis.
- seguridad en entornos móviles.
- herramientas de hacking: desarrollos propios.
- seguridad documental.
- voz sobre IP, “phreaking”, …
- análisis forense y contramedidas.
- seguridad en dispositivos inalámbricos.
- esteganografía y todo tipo de canales subliminales.
- seguridad en aplicaciones web.
- …

.: [ PROCEDIMIENTO PARA PRESENTAR UNA PROPUESTA ]

¿Te gustaría hablar en Rooted CON? ¡No te olvides de hacer las charlas
ilustrativas e incluir demos! :)

Envíanos tu solicitud por correo electrónico a:
cfp -AT- rootedcon.es

Para que tu charla sea aceptada en el proceso inicial de selección
*deberá* respetar el formato descrito previamente e incluir *toda* la
información siguiente:

- título
- autor (nombre completo y opcionalmente nick/apodo)
- bio (unas líneas diciendo quién eres)
- duración (¿charla normal o rápida?)
- resumen (deberá ser lo suficientemente extenso como para poder ser
correctamente evaluado)
- ubicación/nacionalidad
- medios necesarios para impartir la charla
- ¿tienes pensado dar la misma (o similar) charla en otras conferencias?
¿En cuál?

.: [ FECHAS ]

1 Octubre, 2009 – Se abre el CFP.
20 Diciemebre, 2009 – Se cierra el CFP.
31 Diciembre, 2009 – Ponentes seleccionados.
10 Enero, 2010 – Entrega del “paper” final y materiales de la presentación.

.: [ PRIVILEGIOS PARA PONENTES ]

Los ponentes gozarán de los siguientes beneficios:
- Alojamiento gratuito.
- Acceso gratuito al congreso.
- Gastos de viaje (en la medida de lo posible).
- Tickets/bebidas gratis durante la fiesta.

.: [ PATROCINADORES ]

Todavía tienes la oportunidad de ayudarnos a organizar el mejor
congreso de seguridad de España y a la vez obtener un interesante ROI.
Si estás interesado en ser uno de nuestros patrocinadores, por favor
contacta con nosotros:

patrocinio -AT- rootedcon.es

.: [ ENLACES ]

- Sitio Web
http://www.rootedcon.es/
- Grupo en Facebook
http://www.facebook.com/group.php?gid=96410924798
- Grupo en LinkedIn
http://www.linkedin.com/groups?gid=1969438
- Lista de correo “sólo-anuncios”
https://listas.rootedcon.es/mailman/listinfo/rooted-announce

-=EOF=-

Compártelo

Tags: , , |

Esos colegas…

|
No Comments »

Posted in Forensic on October 5th, 2009 by m313

Hace poco he tenido la suerte de ver en directo a uno de los mejores profesionales forenses españoles en acción. Se trata de Pedro Sanchez, de ConexiónInversa, que nos deleitó con un curso irrepetible.

Veo en su blog que el agradecimiento es mutuo y me alegro mucho por ello, esta es la foto de grupo:


img_0008

Como dice Pedro somos muy sexys :)

Compártelo

Tags: , |

Deft Extra

|
No Comments »

Posted in Forensic on June 8th, 2009 by m313

Los chicos de la distribución forense DEFT Linux han publicado recientemente la herramienta Deft Extra. Este conjunto de herramientas vienen a rellnenar el hueco dejado por las herramientas de Helix para Windows.

La apariencia de este toolkit es muy buena, tenemos las herramientas clasificadas en pestañas según la funcionalidad:


Free Image Hosting at www.ImageShack.us

Las herramientas para adquisición de datos son:

FTK Imager
Winen
MDD
Win32dd

La pestaña de “Forensics Tools” aglomera una gran cantidad de programas:


Free Image Hosting at www.ImageShack.us
Free Image Hosting at www.ImageShack.us

Al igual que en la Helix se puede navegar el sistema de ficheros y escanear el sistema en busca de imágenes. Por último tenemos una pestaña dedicada a multitud de software diverso que puede resultarnos util en una investigación:


Free Image Hosting at www.ImageShack.us

Como conclusión decir que si bien faltan algunas herramientas (yo metería alguna más de Nirsoft) es un toolkit muy completo y rellena el hueco dejado por Helix. Hay que destacar los movimientos que se están realizando en las distribuciones. Este Toolkit se unirá a la próxima release de DEFT Linux. Junto con los avances de CAINE y de BackTrack4 en el ámbito forense nos hacen ver un futuro esperanzador para las distribuciones libres en esta disciplina.

DEFT Extra se puede descargar desde la siguiente dirección.

Compártelo

Tags: , , , , |

Migas de pan, facebook y mensajería instantánea

|
No Comments »

Posted in Forensic on April 29th, 2009 by m313

Hace poco leí un artículo muy interesante en el blog Forensics from the sausage factory que trataba sobre los rastros que dejan las conversaciones en Facebook en los sistemas y cómo recuperar fragmentos y conversaciones en los mismos.

La idea utilizada es muy simple: el chat de Facebook utiliza tecnología JSON por lo que realizando busquedas mediante patrones en expresiones regulares sería posible encontrar rastros que hayan podido quedar en cualquier parte del sistema, ficheros temporales, memoria, etc.

El artículo es muy interesante y recomiendo su lectura acompañada de algo de trasteo. Curiosamente pocos días después de publicar este artículo el blogger daba cuenta de una herramienta automática existente que realiza estas tareas, añadiendo algunos sistemas de mensajería instantánea adicionales: msn y yahoo. La herramienta se llama Internet Evidence Finder y funciona sobre plataformas Windows. Es una herramienta de facil uso, como podemos ver a continuación:


Free Image Hosting at www.ImageShack.us

Sin embargo he estado realizando pruebas con ella y no ha sido muy eficiente buscando conversaciones de chat en facebook, o quizá sea que el sistema que he utilizado para las pruebas no ha dejado migas de pan durante la conversación, cosa que sí ha hecho en el caso del archiconocido Windows Live Messenger, del que recolectó abundantes datos como el que muestro a continuación:

jajaajajjaMSG correo@hotmail.com nick_sesgado 93
MIME-Version: 1.0
Content-Type: text/x-msmsgscontrol
TypingUser: correo@hotmail.com

MSG correo@hotmail.com nick_sesgado 141
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Verdana; EF=B; CO=986332; CS=0; PF=22

eso si que es cierto

== Referencias ==

http://forensicsfromthesausagefactory.blogspot.com
http://www.jadsoftware.com/home/ief.htm
http://es.wikipedia.org/wiki/JSON

Compártelo

Tags: , , , , , |

Host Protected Area (HPA)

|
No Comments »

Posted in Forensic on April 21st, 2009 by m313

El “Host Protected Area” (HPA) es un espacio del disco duro que puede ser usado para almacenar datos y que tiene la particularidad de que los datos contenidos en dicha area no pueden ser vistos por el Sistema operativo y se situan en la parte final del mismo.

HPA fue añadida en el estandard ATA-4 y se basa en el uso de comandos ATA. Estos comandos devuelven información sobre el disco duro, veamos unos ejemplos:

READ_NATIVE_MAX_ADDRESS: devuelve la mayor dirección física.
IDENTIFY_DEVICE: devuelve el número de sectores a los que el usuario puede acceder.
SET_MAX_ADDRESS: establece la dirección máxima a la que el usuario puede acceder.

En la práctica es muy sencillo detectar cuando un disco duro tiene habilitado HPA, simplemente ver si coinciden la dirección máxima del disco (READ_NATIVE_MAX_ADDRESS) y la dirección máxima de acceso del usuario (IDENTIFY_DEVICE).
Hay que tener que cuenta que los cambios en el HPA son volátiles, se pierden al reiniciar. Es posible deshacer el direccionamiento máximo del usuario para acceder a la HPA y al reiciniar el sistema el valor de IDENTIFY_DEVICE será restablecido.

A continuación vemos el uso del binario disk_stat perteneciente al Sleuthkit con el que podemos detectar si un disco duro tiene habilitada HPA:

[root@wendigo HPA]# disk_stat /dev/sda3
Maximum Disk Sector: 268435454
Maximum User Sector: 268435449

** HPA Detected (Sectors 268435450 – 268435454) **

En el caso de discos duros Hitachi hay una herramienta que permite controlar y modificar una gran variedad de parámetros, se trata de Feature Tool.

Para trastear con el parametro SET_MAX_ADDRESS hay un pequeño programa escrito en C, se trata de setmax.c.
Como recomendación si queréis trastear os recomiendo hacerlo sobre un disco duro que no contenga datos muy valiosos ;)

== Head of the class: Device Configuration Overlay (DCO) ==

“Device Configuration Overlay” (DCO) fue añadido en el estandard ATA-6 y incorpora nuevas características que un disco puede o no implementar. Ocupa el espacio en disco inmediatamente posterior al HPA. Algunas de las características que incorpora son los siguientes comandos:

DEVICE_CONFIGURATION_IDENTIFY: devuelve las características actuales del disco y su tamaño.
DEVICE_CONFIGURATION_SET: establece el DCO
DEVICE_CONFIGURATION_RSET: elimina el DCO

Hay que tener el cuenta que los cambios en DCO son permanentes, se mantienen tras un reinicio del sistema.
En la práctica para detectar si un disco duro tiene habiliatdo DCO, simplemente hay que comprobar si coinciden la dirección máxima del disco(READ_NATIVE_MAX_ADDRESS) y la dirección máxima del disco utilizando los comandos DCO (DEVICE_CONFIGURATION_IDENTIFY).

== Referencias ==

File System Forensic Analysis, ISBN 0-32-126817-2
http://en.wikipedia.org/wiki/Host_Protected_Area
http://www.hitachigst.com/hdd/support/download.htm
http://www.thinkwiki.org/wiki/Hidden_Protected_Area
http://www.sleuthkit.org/
http://www.win.tue.nl/~aeb/linux/setmax.c

Compártelo

Tags: , , , |

« Older Entries