Posted in Tips on July 14th, 2009 by m313
Ultimamente no tengo el tiempo que desearía para dedicarle a trastear y al blog pero es algo temporal. I’m not dead, I’m curranding. Hoy un tip para Firefox 3.5, para seguir utilizando las extensiones en v3.5:
about:config
extensions.checkCompatibility;false
Dejo una imágen un tanto curiosa:
Posted in Forensic on March 25th, 2009 by m313
Este post pretende ser una introducción al análisis forense del uso de este conocido navegador web.
Cuando analizamos los rastros que deja un navegador en una máquina fundamentalmente nos interesa saber a qué URL’s ha accedido el usuario, su historial de navegación para establecer si realiza un uso adecuado del mismo, extensiones instaladas, etc.
En Mozilla Firefox casi todos esos datos se guardan en el perfil, que se haya en una ruta variable en función del sistema operativo en que se ejecute:
Linux: /home/usuario/.mozilla/firefox/directorio_del_perfil
Windows XP: C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\directorio_del_perfil
Windows Vista: C:\Users\usuario\AppData\Roaming\Mozilla\Firefox\Profiles\directorio_del_perfil
MacOS: /Library/Application Support/Firefox/Profiles/directorio_del_perfil
Hay que tener en cuenta que previamente se ha realizado la adquisición de la imágen, recuperación de datos que hayan sido borrados, etc.
A continuación comenzaremos el estudio del historial, para ello mi aplicación favorita es el Mandiant Web Historian, es gratuita, funciona sobre Windows y es una delicia. Nos va a producir un informe en el que nos mostrará el nombre, URL’s, fechas de primer y último acceso, si ha sido borrada, número de visitas, etc.
Animo a todo el mundo a probar esta herramienta, que por cierto no funciona únicamente sobre historiales de Mozilla Firefox.
A continuación una captura de Web Historian:
Una fuente de información muy útil son las cookies del navegador, con ellas podemos no solo establecer patrones de navegación sino en ciertos casos obtener cookies de sesión que puedan ser determinantes a lo largo de la investigación. De la mano de Nirsoft tenemos el programa MozillaCookiesView, gratuita y para plataformas Windows. A continuación una captura de MozillaCookiesView:
Otra fuente de información alternativa y muy util son los contenidos cacheados por el navegador, estos pueden visualizarse directamente a través del sistema de ficheros en las carpetas temporales. Me gusta bastante la herramienta Web Cache View que funciona para varios navegadores y puede hacernos esta tarea un poco más sencilla, también gratuita y para plataformas Windows.
Junto con todo esto lo ideal es realizar un análisis de todo el perfil, y tenemos una herramienta para ello. Se trata de FireFox Forensics, esta herramienta realiza un análisis bastante completo de todo el perfil, permisos, historial, favoritos, etc. Aqui tenemos una captura del programa en accion:
Vamos a dar un paso más centrándonos fundamentalmente en el navegador de la fundación Mozilla. Internamente funciona utilizando una base de datos de SQlite para guardar diversos datos, el esquema de dicha base de datos es el siguiente:
Extraer manualmente esos datos puede resultar muy tedioso. Afortunadamente tenemos la herramienta Firefox3 Extractor f3e, esta herramienta de comandos gratuita y para plataformas Windows puede aportarnos un plus muy interesante a lo que hayamos encontrado anteriormente, su uso es muy simple, colocamos los ficheros de la misma (f3e.exe y sqlite3.dll) en la carpeta del perfil y la ejecutamos, como podemos ver a continuación:
A modo de resumen, aunque pueda parecer algo no especialmente interesante, el análisis forense del navegador, en este caso Mozilla Firefox puede proporcionarnos datos de vital importancia en el curso de una investigación. A modo de nota resaltar que no he encontrado herramientas intersantes para automatizar estas tareas sobre UNIX, una lástima.
:: Referencias ::
http://www.securityfocus.com/infocus/1827
http://www.securityfocus.com/infocus/1832
http://www.mozilla-hispano.org/documentacion/Carpeta_del_perfil
Posted in Pentest on January 30th, 2007 by m313
Tor es un sistema que permite una navegación pseudoanómina a través del envio y recepción de paquetes por parte de una red aleatoria. Para más información acudid a la web oficial:
http://tor.eff.org/index.html.es
Sus ventajas son evidentes: nos proporciona intimidad en la red, nos protege del analisis del trafico, confidencialidad en los negocios. El precio a pagar es la ralentización de la navegación, ya que los servidores por los que pasa consumen tiempo, no disponen de un gran ancho de banda y son donados.
En la web oficial de Tor dejan claro que “se trata de código en desarrollo por lo que, si realmente necesitas un anonimato fuerte, no es una buena idea basarse en la actual red Tor.”
Aún así desde el punto de vista de un usuario doméstico que para ciertas conexines quiera anonimato es muy interesante, y en este artículo explicare de manera sencilla como lograrlo. Esta miniguia está probada sobre un sistema operativo Slackware Linux, pero los cambios respecto a otras distribuciones deberían ser mínimos, apenas la instalación de los paquetes.
Instalando Tor
Podemos descargar el binario desde la web oficial( http://tor.eff.org/download.html.es ), en el caso de Slackware no proporcionan binarios, pero tenemos uno construido que podemos descargar desde:
http://ftp.scarlet.be/pub/linuxpackages/Slackware-11.0/Daemon/tor/tor-0.1.1.26-i486-1McD.tgz
La instalación es sencilla, la realizamos con el comando “installpkg”.
Para ejecutar Tor usamos el script de inicio “/etc/rc.d/rc.tor start” que nos debe dar como salida algo parecido a esto:
Starting the Tor daemon: /usr/bin/tor
Jan 30 14:21:17.068 [notice] Tor v0.1.1.26. This is experimental software. Do not rely on it for strong anonymity.
Jan 30 14:21:17.069 [notice] Initialized libevent version 1.2 using method poll. Good.
Jan 30 14:21:17.069 [notice] connection_create_listener(): Opening Socks listener on 127.0.0.1:9050
Tor abre un sock en el puerto 9050, por ello es necesario tener dicho puerto abierto, si hay fallos posteriores de conexión podría ser que tenemos dicho puerto cerrado. Abrirlo es sencillo, apenas un comando de iptables:
“iptables -A INPUT -p tcp –dport 9050 -j ACCEPT”
Instalando Privoxy
Privoxy( http://www.privoxy.org ) filtra todo tipo de datos que se utilizan en la navegación web: cookies, encabezados y demás. Es muy importante usarlo junto con Tor ya que a veces el navegador ejecuta por sí mismo las resoluciones dns y las agrega a las cabeceras de la petición http, con lo cual perdemos el anonimato.
Podemos descargar los binarios desde la web oficial: http://sourceforge.net/project/showfiles.php?group_id=11118
En esta ocasión tampoco disponen de binarios construidos para Slackware, pero eso no es problema, he creado el tgz y está disponible en mi ftp personal:
ftp://meleagro.homeunix.org/slackware/privoxy-3.0.6-i686-1dmg.tgz
La instalación es sencilla, la realizamos con el comando “installpkg”.
La configuración requiere que editemos el fichero /usr/local/etc/privoxy/config y hagamos algunas modificaciones( los números de linea son aproximados ):
linea 428 -> comentar la linea “logfile logfile”
linea 458 -> comentar la linea “jarfile jarfile”
linea 578 -> comentar la linea “debug 1 # show each GET/POST/CONNECT request”
linea 1072 -> añadir la frase “forward-socks4a / 127.0.0.1:9050 .” (sin comillas dobles)
Después de esto ejecutar Privoxy es tan sencillo como usar su script de inicio “/etc/rc.d/rc.privoxy start”.
Privoxy utiliza el puerto 8118, si no lo tenemos abierto usamos iptables para ello:
“iptables -A INPUT -p tcp –dport 8118 -j ACCEPT”
Preparando Firefox para la navegación anónima
En realidad ya podemos navegar anónimamente, cambiando la configuración del Firefox para que use Tor como proxy, pero es mucho más sencillo instalar un plugin que nos permitirá activar y desactivar Tor con un solo click, además de modificar las preferencias del mismo, se trata de Torbutton:
https://addons.mozilla.org/firefox/2275
Es interesante también que este plugin funciona en Mozilla Thunderbird, podemos descargarlo e instalarlo para el gestor de correo desde el menu “Herramientas->Extensiones”
Comprobando que nuestra navegación es anónima
Si activamos el boton de Tor en el Firefox ya deberíamos navegar anonimamente, deberíamos notar una reducción sustancial de la velocidad de navegación, pero hay métodos más exactos para comprobar que todo funciona, por ejemplo visitar la web:
https://nighteffect.us/tns/
que no solo nos dirá la IP de salida que estamos usando sino el nodo final de la red Tor, y si algo falla nos dirá que no estamos dentro de la red Tor.
Conclusiones
Para mi el uso de Tor ha sido más bien por hacer la prueba de concepto que por fines prácticos, si bien para cierto tipo de navegación nos puede venir bien, si os interesa mucho el proyecto considerad la idea de donar servidores a la red Tor, o donar ancho de banda, que también se puede.