.: [ INTRO ]

Rooted CON es un Congreso de Seguridad que se celebrará en Madrid
(España) en Marzo de 2010. Nuestro objetivo es promover la seguridad,
ofreciendo charlas altamente técnicas con un enfoque práctico (combinación
de teoría / demo) y neutralidad (aunque apostamos por las empresas y
queremos que éstas participen en el congreso, deberá primar el contenido
técnico y objetivo).

También deseamos que la gente participe, se divierta… ¡y hasta se
lleve un premio a casa! Por ello, llevaremos a cabo diversos eventos
(aparte de las conferencias), siendo uno de los más importantes el
concurso CTF (”Capture the flag”), que contará con importantes premios
en metálico y que ha sido diseñado por ni más ni menos que uno de los
“Sexy Pandas” (equipo finalista del tradicional “Defcon CTF”).

Y por supuesto si todavía te quedan fuerzas también podrás aprovechar
para vivir a tope el encanto de las noches madrileñas…

.: [ FORMATO ]

Nos gustaría recibir dos tipos de propuestas:
- charlas rápidas. Duración: 20′.
- charlas normales. Duración: 50′.

Si tienes una idea loca/interesante y fresca que se puede contar en
poco tiempo, por favor, no lo dudes y propón una charla rápida. Si tu
idea es más loca todavía y necesitas más tiempo para explicarla en
profundidad usa la segunda modalidad: la charla normal.

Sólo aceptaremos propuestas en español e inglés. Haremos todo lo
posible para tener traducción simultánea en la sala pero no podemos
prometer nada ya que dependerá del presupuesto y de los patrocinadores.

.: [ TEMÁTICA ]

Nos interesa cualquier tema puntero del mercado de la seguridad. Éstos
son sólo algunos ejemplos:
- técnicas innovadoras tanto defensivas como ofensivas.
- todo lo relacionado con el fraude, phishing, troyanos en entornos
financieros, mecanismos de protección asociados, etc.
- “ingeniería inversa”, técnicas de bajo nivel, kernel, …
- descubrimiento de vulnerabilidades, “fuzzing” y técnicas relacionadas.
- ataques en entornos virtualizados, sistemas de cluster, “cloud
computing” y nuevos productos de seguridad “en la nube”.
- criptografía y criptoanálisis.
- seguridad en entornos móviles.
- herramientas de hacking: desarrollos propios.
- seguridad documental.
- voz sobre IP, “phreaking”, …
- análisis forense y contramedidas.
- seguridad en dispositivos inalámbricos.
- esteganografía y todo tipo de canales subliminales.
- seguridad en aplicaciones web.
- …

.: [ PROCEDIMIENTO PARA PRESENTAR UNA PROPUESTA ]

¿Te gustaría hablar en Rooted CON? ¡No te olvides de hacer las charlas
ilustrativas e incluir demos!

Envíanos tu solicitud por correo electrónico a:
cfp -AT- rootedcon.es

Para que tu charla sea aceptada en el proceso inicial de selección
*deberá* respetar el formato descrito previamente e incluir *toda* la
información siguiente:

- título
- autor (nombre completo y opcionalmente nick/apodo)
- bio (unas líneas diciendo quién eres)
- duración (¿charla normal o rápida?)
- resumen (deberá ser lo suficientemente extenso como para poder ser
correctamente evaluado)
- ubicación/nacionalidad
- medios necesarios para impartir la charla
- ¿tienes pensado dar la misma (o similar) charla en otras conferencias?
¿En cuál?

.: [ FECHAS ]

1 Octubre, 2009 – Se abre el CFP.
20 Diciemebre, 2009 – Se cierra el CFP.
31 Diciembre, 2009 – Ponentes seleccionados.
10 Enero, 2010 – Entrega del “paper” final y materiales de la presentación.

.: [ PRIVILEGIOS PARA PONENTES ]

Los ponentes gozarán de los siguientes beneficios:
- Alojamiento gratuito.
- Acceso gratuito al congreso.
- Gastos de viaje (en la medida de lo posible).
- Tickets/bebidas gratis durante la fiesta.

.: [ PATROCINADORES ]

Todavía tienes la oportunidad de ayudarnos a organizar el mejor
congreso de seguridad de España y a la vez obtener un interesante ROI.
Si estás interesado en ser uno de nuestros patrocinadores, por favor
contacta con nosotros:

patrocinio -AT- rootedcon.es

.: [ ENLACES ]

- Sitio Web
http://www.rootedcon.es/
- Grupo en Facebook
http://www.facebook.com/group.php?gid=96410924798
- Grupo en LinkedIn
http://www.linkedin.com/groups?gid=1969438
- Lista de correo “sólo-anuncios”
https://listas.rootedcon.es/mailman/listinfo/rooted-announce

-=EOF=-

Compártelo

Veo en su blog que el agradecimiento es mutuo y me alegro mucho por ello, esta es la foto de grupo:

Como dice Pedro somos muy sexys

Compártelo

La apariencia de este toolkit es muy buena, tenemos las herramientas clasificadas en pestañas según la funcionalidad:

FTK Imager
Winen
MDD
Win32dd

La pestaña de “Forensics Tools” aglomera una gran cantidad de programas:

Al igual que en la Helix se puede navegar el sistema de ficheros y escanear el sistema en busca de imágenes. Por último tenemos una pestaña dedicada a multitud de software diverso que puede resultarnos util en una investigación:

DEFT Extra se puede descargar desde la siguiente dirección.

Compártelo

La idea utilizada es muy simple: el chat de Facebook utiliza tecnología JSON por lo que realizando busquedas mediante patrones en expresiones regulares sería posible encontrar rastros que hayan podido quedar en cualquier parte del sistema, ficheros temporales, memoria, etc.

El artículo es muy interesante y recomiendo su lectura acompañada de algo de trasteo. Curiosamente pocos días después de publicar este artículo el blogger daba cuenta de una herramienta automática existente que realiza estas tareas, añadiendo algunos sistemas de mensajería instantánea adicionales: msn y yahoo. La herramienta se llama Internet Evidence Finder y funciona sobre plataformas Windows. Es una herramienta de facil uso, como podemos ver a continuación:

Sin embargo he estado realizando pruebas con ella y no ha sido muy eficiente buscando conversaciones de chat en facebook, o quizá sea que el sistema que he utilizado para las pruebas no ha dejado migas de pan durante la conversación, cosa que sí ha hecho en el caso del archiconocido Windows Live Messenger, del que recolectó abundantes datos como el que muestro a continuación:

jajaajajjaMSG correo@hotmail.com nick_sesgado 93
MIME-Version: 1.0
Content-Type: text/x-msmsgscontrol
TypingUser: correo@hotmail.com

MSG correo@hotmail.com nick_sesgado 141
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Verdana; EF=B; CO=986332; CS=0; PF=22

eso si que es cierto

== Referencias ==

http://forensicsfromthesausagefactory.blogspot.com
http://www.jadsoftware.com/home/ief.htm
http://es.wikipedia.org/wiki/JSON

Compártelo

HPA fue añadida en el estandard ATA-4 y se basa en el uso de comandos ATA. Estos comandos devuelven información sobre el disco duro, veamos unos ejemplos:

READ_NATIVE_MAX_ADDRESS: devuelve la mayor dirección física.
IDENTIFY_DEVICE: devuelve el número de sectores a los que el usuario puede acceder.
SET_MAX_ADDRESS: establece la dirección máxima a la que el usuario puede acceder.

En la práctica es muy sencillo detectar cuando un disco duro tiene habilitado HPA, simplemente ver si coinciden la dirección máxima del disco (READ_NATIVE_MAX_ADDRESS) y la dirección máxima de acceso del usuario (IDENTIFY_DEVICE).
Hay que tener que cuenta que los cambios en el HPA son volátiles, se pierden al reiniciar. Es posible deshacer el direccionamiento máximo del usuario para acceder a la HPA y al reiciniar el sistema el valor de IDENTIFY_DEVICE será restablecido.

A continuación vemos el uso del binario disk_stat perteneciente al Sleuthkit con el que podemos detectar si un disco duro tiene habilitada HPA:

[root@wendigo HPA]# disk_stat /dev/sda3
Maximum Disk Sector: 268435454
Maximum User Sector: 268435449

** HPA Detected (Sectors 268435450 – 268435454) **

En el caso de discos duros Hitachi hay una herramienta que permite controlar y modificar una gran variedad de parámetros, se trata de Feature Tool.

Para trastear con el parametro SET_MAX_ADDRESS hay un pequeño programa escrito en C, se trata de setmax.c.
Como recomendación si queréis trastear os recomiendo hacerlo sobre un disco duro que no contenga datos muy valiosos

== Head of the class: Device Configuration Overlay (DCO) ==

“Device Configuration Overlay” (DCO) fue añadido en el estandard ATA-6 y incorpora nuevas características que un disco puede o no implementar. Ocupa el espacio en disco inmediatamente posterior al HPA. Algunas de las características que incorpora son los siguientes comandos:

DEVICE_CONFIGURATION_IDENTIFY: devuelve las características actuales del disco y su tamaño.
DEVICE_CONFIGURATION_SET: establece el DCO
DEVICE_CONFIGURATION_RSET: elimina el DCO

Hay que tener el cuenta que los cambios en DCO son permanentes, se mantienen tras un reinicio del sistema.
En la práctica para detectar si un disco duro tiene habiliatdo DCO, simplemente hay que comprobar si coinciden la dirección máxima del disco(READ_NATIVE_MAX_ADDRESS) y la dirección máxima del disco utilizando los comandos DCO (DEVICE_CONFIGURATION_IDENTIFY).

== Referencias ==

File System Forensic Analysis, ISBN 0-32-126817-2
http://en.wikipedia.org/wiki/Host_Protected_Area
http://www.hitachigst.com/hdd/support/download.htm
http://www.thinkwiki.org/wiki/Hidden_Protected_Area
http://www.sleuthkit.org/
http://www.win.tue.nl/~aeb/linux/setmax.c

Compártelo

En Mozilla Firefox casi todos esos datos se guardan en el perfil, que se haya en una ruta variable en función del sistema operativo en que se ejecute:

Linux: /home/usuario/.mozilla/firefox/directorio_del_perfil
Windows XP: C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\directorio_del_perfil
Windows Vista: C:\Users\usuario\AppData\Roaming\Mozilla\Firefox\Profiles\directorio_del_perfil
MacOS: /Library/Application Support/Firefox/Profiles/directorio_del_perfil

Hay que tener en cuenta que previamente se ha realizado la adquisición de la imágen, recuperación de datos que hayan sido borrados, etc.
A continuación comenzaremos el estudio del historial, para ello mi aplicación favorita es el Mandiant Web Historian, es gratuita, funciona sobre Windows y es una delicia. Nos va a producir un informe en el que nos mostrará el nombre, URL’s, fechas de primer y último acceso, si ha sido borrada, número de visitas, etc.
Animo a todo el mundo a probar esta herramienta, que por cierto no funciona únicamente sobre historiales de Mozilla Firefox.
A continuación una captura de Web Historian:

Una fuente de información muy útil son las cookies del navegador, con ellas podemos no solo establecer patrones de navegación sino en ciertos casos obtener cookies de sesión que puedan ser determinantes a lo largo de la investigación. De la mano de Nirsoft tenemos el programa MozillaCookiesView, gratuita y para plataformas Windows. A continuación una captura de MozillaCookiesView:

Otra fuente de información alternativa y muy util son los contenidos cacheados por el navegador, estos pueden visualizarse directamente a través del sistema de ficheros en las carpetas temporales. Me gusta bastante la herramienta Web Cache View que funciona para varios navegadores y puede hacernos esta tarea un poco más sencilla, también gratuita y para plataformas Windows.

Junto con todo esto lo ideal es realizar un análisis de todo el perfil, y tenemos una herramienta para ello. Se trata de FireFox Forensics, esta herramienta realiza un análisis bastante completo de todo el perfil, permisos, historial, favoritos, etc. Aqui tenemos una captura del programa en accion:

Vamos a dar un paso más centrándonos fundamentalmente en el navegador de la fundación Mozilla. Internamente funciona utilizando una base de datos de SQlite para guardar diversos datos, el esquema de dicha base de datos es el siguiente:

Extraer manualmente esos datos puede resultar muy tedioso. Afortunadamente tenemos la herramienta Firefox3 Extractor f3e, esta herramienta de comandos gratuita y para plataformas Windows puede aportarnos un plus muy interesante a lo que hayamos encontrado anteriormente, su uso es muy simple, colocamos los ficheros de la misma (f3e.exe y sqlite3.dll) en la carpeta del perfil y la ejecutamos, como podemos ver a continuación:

A modo de resumen, aunque pueda parecer algo no especialmente interesante, el análisis forense del navegador, en este caso Mozilla Firefox puede proporcionarnos datos de vital importancia en el curso de una investigación. A modo de nota resaltar que no he encontrado herramientas intersantes para automatizar estas tareas sobre UNIX, una lástima.

:: Referencias ::
http://www.securityfocus.com/infocus/1827
http://www.securityfocus.com/infocus/1832
http://www.mozilla-hispano.org/documentacion/Carpeta_del_perfil

Compártelo

Teoría.

Lo primero que debemos conocer es cómo funciona el sistema, qué sucede cuando enchufamos un dispositivo USB, por ejemplo un pendrive al sistema Windows:

1. El Manager Plug and Play (PnP) recibe el evento y le pregunta al dispositivo por sus descriptores en el firmware del mismo. Un ejemplo de esta información es el fabricante, tipo de dispositivo, etc.

2. El Manager PnP utiliza esta información para localizar el driver que utiliza el dispositivo y si es necesario cargar uno nuevo( lo que quedaría reflejado en el fichero de log c:\windows\setupapi.log ).

3. Una vez identificado el sistema crea una entrada en el registro de Windows en la siguiente rama:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

El propio nombre de esta entrada ya nos proporciona información, veamos un ejemplo práctico:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_TomTom&Prod_GO

4. El dispositivo está listo para usarse.

Práctica.

Imaginemos por ejemplo que estamos examinando un servidor y nos encontramos con la entrada que vimos anteriormente, claro indicio de que alguien con acceso al mismo ha conectado su dispositivo de navegación GPS TomTom, probablemente para actualizarlo.

Pero esto es solo el principio, hasta aqui podemos identificar qué tipo de dispositivos se conectan pero una parte fundamental del análisis forense sería identificar unívocamente el dispositivo concreto que se ha conectado al sistema. Para ello nos sirve el campo iSerialNumber.
Todos los dispositivos certificados con el logotipo de Windows tienen un valor único para el campo iSerialNumber. En el siguiente ejemplo vemos una imágen en la que podemos apreciar el número de serie de un dispositivo USB:

La pregunta a realizarse ahora es qué sucede si conectamos un dispositivo que no tiene el logo y por lo tanto es susceptible de no incorporar número de serie. Lo que sucede en estos casos es que el manager PnP le asigna un identificador, que será unico en el equipo, pero que evidentemente no coincidirá con los que les asigne otro sistema Windows. Esto puede resultarnos una complicación en el caso de que investiguemos el rastreo de un dispositivo concreto, aunque el campo FriendlyNameParentIdFix. Microsoft no proporciona información acerca de cómo se crea dicho campo, pero nunca me he encontrado dos dispositivos idénticos que en distintas máquinas den distinto valor en el ParentIdFix. Esto no es muy científico, por lo que únicamente con esto no disponemos de una prueba consistente, pero puede ayudar en algunos momentos o darnos pistas en el curso de una investigación.

Otra pregunta que surge llegados a este punto es diferenciar los dispositivos que tienen número de serie unívoco de los que no. Es muy sencillo, los que no lo tienen, contienen en su segundo carácter del identificador asignado por el Manager PnP el símbolo &.
En el siguiente ejemplo vemos el rastro de dos dispositivos, uno con iSerialNumber propio y otro sin él (asignado por el sistema):

Otro valor importante que se puede obtener del registro es el LastWrite time, o momento de última escritura. Si comprobamos el LastWrite de la clave correspndiente al iSerialNumber podremos establecer la hora a la que dicho dispositivo fue conectado por ultima vez.

Herramientas.

Como se ha podido intuir esta tarea puede suponer un trabajo muy tedioso si investigamos un equipo que lleve funcionando varios años. La cantidad de dispositivos que han podido ser conectados mediante USB al mismo puede llegar a ser muy considerable.
Afortunadamente hay herramientas que automatizan en gran parte este proceso, de manera que nos ahorran el trabajo tedioso de investigar manualmente el registro.

USBDeview. Esta aplicación de Nirsoft se conecta al registro y nos muestra de manera muy sencilla diversos datos sobre los dispositivos USB: fecha de creación, última vez que fueron conectados, número de serie, tipo de dispositivo, etc. Es gratuita y muy pero que muy recomendable.
A continuación muestro una captura de pantalla de la herramienta:

DeviceLock Plug and Play. Similar al anterior.

Referencias.

Windows Forensic Analysis. Halan Carvey.
Información del registro de Windows. Microsoft.

Compártelo

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

Hay unos scripts en perl para windows muy interesantes en la ruta “/usr/local/src/windows_perl“:

regripper.pl and plugins Registry Forensic Carver
regslack.pl         Registry slack
deleted.pl         Registry deleted key examination
regtime.pl        Registry timelime creator – now with sleuthkit bodyfile output
windata.pl        Windows Time

Credenciales de acceso:
login:  root
contraseña: forensics

Hace poco ha sido liberada la versión 1.2. Puede descargarse gratuitamente previo registro desde la siguiente URL:

http://forensics.sans.org/community/downloads/retrieve.php?file=sift_workstation.zip

Compártelo

Backtrack.
La grande entre las grandes. Esta herramienta es la biblia de las auditorías. Hay versión para USB, que es muy recomendable. Incluye muchas herramientas de auditoría de red, fingerprinting, pentesting, forensic, wifi, etc.

Samurai.
Samurai es una herramienta centrada en la auditoría de aplicaciones web.

Nubuntu.
Nubuntu es una herramienta de propósito general. Digamos que es una copia de Backtrack pero basada en Ubuntu.

WifiSlax.
WifiSlax es una Live pensada para realizar auditorías inalámbricas: wifi, bluetooth, etc.

WifiWay.
Los planteamientos son iguales que en la anterior. Auditoría inalámbrica.

HELIX.
HELIX es un completo framework para realizar análisis forense. Contiene herramientas tanto para Linux como para Windows. Recientemente se han renovado, apostando por Ubuntu.

CAINE.
CAINE es otra herramienta de análisis forense, que incluye algunas herramientas que HELIX aún no incorpora, como el caso de PTK.

HEX.
HEX es una herramienta pensada para auditorías de red. Incorpora una herramienta que aún no he tenido el gusto de probar pero de la que tengo muy buenas referencias: Network Security Monitoring (NSM).
Como curiosidad decir que es la única de todas las Live que conozco pensada para seguridad que está basada en BSD.

SumoLinux.
SumoLinux es un LiveDVD que incorpora varias LiveCD: Backtrack, HELIX, DVL, Samurai y Dban.

DVL.
Dam Vulnerable Linux es una distribución basada en BacktTrack y que tiene por objetivo ser un entorno de formación en seguridad. Tiene tutoriales, retos, etc. Pensada para estudiar, no para auditar.

F-Secure Rescue.
Este Live es una herramienta pensada para restaurar ordenadores, analizarlos en busca de virus, etc.

UltimateBoot.
Esta herramienta tiene el mismo propósito que la anterior, sin embargo incluye muchas más herramientas para detectar hardware, realizar particiones, etc.

UCD for Windows.
Esta versión de UltimateBoot arranca un Live Windows con muchas herramientas para diagnosticar y recuperar un sistema con WIndows.

Darik’s Boot and Nuke.
Esta herramienta está pensada para realizar borrado seguro de datos del disco duro.

Como podemos apreciar hay herramientas para dar y tomar. He intentado no incluir muchas que se solapen unas con otras. Siempre es bueno tener un par de herramientas para cada cosa, pero no trescientas.
Si conocéis alguna más de interés indicarmelo.
Un saludo

Compártelo

La vulnerabilidad en sí no es muy grave, no tiene un punto de explotación claro, si bien es necesario no tener este tipo de fallos en aplicaciones forenses, ya que de ellas se espera la mayor robusted. Uno de los problemas del software OpenSource en el ámbito forense (lo dice el CHFI no yo) es que generalmente no son programas muy aceptados debido a que la publicación del código fuente los hace más vulnerables (?????).

Sobra decir las dudas que tengo al respecto de esa afirmación pero poco importa. Hoy escribo porque ha salido una nueva versión de Autopsy, la 2.20 y este error ha sido corregido.

mi_ego++

Compártelo