Archivo para 30 abril 2011

Análisis Forense Digital, preservando la evidencia – Protegiendo USB

En un proceso de Análisis Forense Digital, una vez que se ha procedido con el secuestro de la evidencia es necesario mantenerla intacta tal cual se ha obtenido, para poder preservar su integridad. Es así que, si se va a realizar un análisis de un dispositivo (una USB por ejemplo), es importante que la información contenida no sea modificada ni que se modifiquen, creen, borren, copien, etc datos de la misma; por ello, debemos proteger la USB de ESCRITURA y dejarla de solo LECTURA.

Para lograr esto, procedemos de la siguiente manera, en un equipo Windows:

Añadir al registro la siguiente key:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

– Aquí, añadir nueva DWORD de 32 bits con el nombre “StorageDevicePolicies”, sin comillas.

– Dentro de esta, crear una nueva key, y la llamaremos “WriteProtect”, sin comillas y la seteamos en 1

Para comprobar esto, he intentado copiar un archivo llamado test.txt a la USB protegida y esta es la ventana de error que me sale:

USB write-protect

USB write-protect

Ahora, si montamos las USB en el equipo y podemos comprobar, al tratar de crear, copiar, cortar, borrar, modificar algún archivo, etc, nos va a mostrar un mensaje de que no esta permitido realizar tal operación.

Anuncios

Como verificar si tu antivirus realmente te protege…

En 1996, el EICAR, European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos), desarrolló lo que hoy es conocido como EICAR test file, o archivo de prueba EICAR.

Se trata de un test o prueba mediante la cual se pretende verificar la funcionalidad de tu antivirus y verificar que realmente está protegiendo tu equipo. Vale aclarar tambien que este test no implica ningún riesgo para la seguridad de tu computadora, simplemente se trata de una prueba.

El EICAR test file consiste en 68 caracteres ASCII (70 si lo generamos con un editor de texto, debido a los códigos de retorno y final de línea que suelen insertar los editores).

Los caracteres son:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Todas las letras están en mayúsculas, y sin espacios. El tercer carácter (X5O…) es la letra “O” no el número cero).

Para crear un archivo de prueba, copie y pegue la línea anterior al bloc de notas, y grabe su contenido con el nombre que quiera y la extensión .COM

eicar_test

eicar_test

Si el antivirus que tienes instalado trabaja correctamente, deberá lanzar un mensaje de error al momento de ejecutar este archivo.

eicar_test

eicar_test

Es necesario mencionar que actualmente existen virus reales que simulan ser el EICAR, por lo tanto tener mucho cuidado.

Fuentes:

http://www.vsantivirus.com/eicar-test.htm

Preservación de la evidencia digital, Análisis Forense

Cuando se realiza un Análisis Forense es necesario, luego del secuestro de la evidencía, la preserrvación de la misma. Es de suma importancia que ésta mantenga la integridad, con documentos y pruebas que respalden su confiabilidad.

Existen algunas maneras de asegurar la evidencia digital para poder probar que ésta no ha sido modificada o alterada. Una de las formas principales es a traves del uso del algoritmo hash que es un algoritmo de comprobación de integridad y que nos genera un valor/clave  para algún dato/archivo. De esta manera, si la evidencia ha sufrido alguna alteración en el transcurso de la investigación este valor ya no será el mismo.

Herramienta para la comprobación del valor hash

Existe gran cantidad de herramientas para esta labor, voy a mencionar una: HashCalc

HashCalc es una herramienta gráfica y sencilla  para entornos Windows mediante la cual podemos generar y/o comprobar el valor hash de algún archivo:

HashCalc

HashCalc

En la gráfica observarmos un simple ejemplo, donde modificamos un archivo (en este caso llamado test) y comprobamos el valor del hash MD5.

Cont….

RFI Remote File Inclusion en páginas php

RFI se trata de una vulnerabilidad de las páginas web programadas en php, debido al mal manejo de la funcion/etiqueta include, a traves de esta vulnerabilidad se puede enlazar archivos (páginas, formularios, etc)  alojadas en servidores remotos.

Para ser más explicativo, se propone un ejemplo. Tenemos nuestra página web llamada pagina y desde está nos permite enlazarnos a otra página a traves de la función include()

http://www.pagina.com/index.php?page=otrapagina.php

A través de la variable page, estamos incluyendo una nueva página, en este caso otrapagina.php

Como localizar página vulnerables RFI?

Una de las formas más fáciles para realizar esta tarea es mediante la utilización de dorks (utilización de operadores avanzados) en motores de búsqueda, tales como Google, Bing, Yahoo, etc.

En el caso sencillo que he utilizado es simplemente: “.php?page=http://”, y bueno, algunos resultados son:

Page vulnerable RFI
Page vulnerable RFI

otra:

Page vulnerable RFI

Page vulnerable RFI

y una mas:

Page vulnerable RFI

Page vulnerable RFI

Los riesgos

Si bien a simple vista parecería que esta vulnerabilidad no conlleva grandes riesgos, pues a través de RFI, se pueden enlazar formularios y enviarles la url completa a los usuarios de la página pidiendoles que actulicen sus datos, esto un ejemplo.

Otro es el que mediante esta vulnerabilidad es la inclusión de shells que abran terminales o lineas de comando para poder descargar y subir archivos y apoderarse del servidor.

SHODAN y contraseñas por defecto, dispositivos “abiertos”…

SHODAN es un motor de búsqueda, pero no como los clásicos Google, Bing o Yahoo. Se trata de un buscador diseñado para ayudar a los usuarios a encontrar nodos específicos (desktops, servers, routers, switchs, APs, o dispositivos, etc) con contenido especifico en sus banners. Muy recomendable en trabajos de auditorías de seguridad, en la fase de reconocimiento….

Es por ello que, para optimizar las búsquedas con SHODAN, es necesario un conocimiento básico de banners, ya sea de aplicaciones, routers, swithcs, etc.

Su creador es el desarrollador Jonh Materly, su página oficial es: http://www.shodanhq.com/

Lo más interesante de esta herramienta es que permite búsquedas personalizadas, por ejemplo, se puede buscar por paises: country:EC, puertos: port:80, nombre de aplicación: apache/IIS, etc.

Ahora, podemos observar algunos resultados interesantes de este buscador:

– Dispositivos/cámaras abiertas, o con contraseñas por defecto/débiles

Camera D-Link

Camera D-Link

SkyIPCam

SkyIPCam

– Dispositivos de comunicación con usuarios/passwords por defecto o débiles, en lo que se ha podido ingresar:

– Router ADSL D-Link

Router ADSL D-Link

Router ADSL D-Link

– BM632 WiMAX

BM632 WiMAX
BM632 WiMAX – Login

Accesando a los dispositivos:

BM632 WiMAX

BM632 WiMAX - usuario/contraseña por defecto

La configuración del Nivel de in-Seguridad del Firewall. 😀

BM632 WiMAX

BM632 WiMAX - Configuración

Utilizando filtros adecuados, se puede obtener muy valiosa información. Lo mostrado es sólo una muestra de lo que éste buscador puede realizar.