domingo, 26 de marzo de 2017

Herramientas para análisis forense de archivos Microsoft Office.

Oletools es un conjunto de herramientas escritas en Python para analizar archivos Microsoft OLE2. ( también llamados de almacenamiento estructurado o archivo compuesto de formato binario) y documentos de Microsoft Office. Permitiendo realizar: análisis de malware, análisis forense y depuración.
Oletools esta compuesto por:

  • Olebrowse: Una interfaz gráfica de usuario sencilla para examinar archivos OLE (por ejemplo, MS Word, Excel, documentos de Powerpoint), para ver y extraer flujos de datos individuales.
  • Oleid: Es un script para analizar archivos OLE tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar características específicas normalmente encontradas en archivos maliciosos (por ejemplo, malware). Puede detectar macros VBA y objetos Flash incorporados.
  • Olemeta: Es un script para analizar archivos OLE, para extraer todas las propiedades estándar presentes en el archivo OLE (metadatos).
  • Oletimes: Es un script para analizar archivos OLE, para extraer los tiempos de creación y modificación de todos los flujos y almacenes en el archivo OLE.
  • Oledir: Es un script para mostrar todas las entradas de directorio de un archivo OLE, incluyendo entradas libres y huérfanas. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Olemap: Es un script para mostrar un mapa de todos los sectores en un archivo OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Olevba: Es un script para analizar archivos OLE y OpenXML tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar macros VBA, extraer su código fuente en texto claro y detectar patrones relacionados con la seguridad como: macros auto-ejecutables, VBA sospechosos, palabras clave utilizadas por el malware, técnicas anti-sandboxing y anti-virtualización y posibles IOCs (direcciones IP, URL, nombres de archivos ejecutables, etc.).También detecta y decodifica varios métodos de ofuscación comunes incluyendo codificación Hex, StrReverse, Base64, Dridex, expresiones VBA y extrae IOCs de cadenas decodificadas . Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Mraptor(MacroRaptor): Es una herramienta diseñada para detectar la mayoría de las macros VBA maliciosas usando una técnica heurística genérica. A diferencia de los motores antivirus, no depende de las firmas. En pocas palabras, mraptor detecta las palabras clave correspondientes a los tres siguientes tipos de comportamiento que están presentes en texto claro en casi cualquier programa malicioso de macros: desencadenador de ejecución automática, escribir en el sistema de archivos o en la memoria y ejecutar un archivo o cualquier carga fuera del contexto de VBA.
  • Pyxswf: Es un script para detectar, extraer y analizar objetos Flash (archivos SWF) que pueden estar incrustados en archivos como documentos de MS Office (por ejemplo, Word, Excel), lo que es especialmente útil para el análisis de malware.  Puede extraer flujos de documentos de MS Office analizando su estructura OLE correctamente, lo que es necesario cuando los flujos están fragmentados. La fragmentación en Flash es una técnica de ofuscación conocida. También puede extraer objetos Flash de documentos RTF, analizando objetos incrustados codificados en formato hexadecimal (opción -f).
  • Oleobj: Es un script para extraer objetos incrustados de archivos OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Rtfobj: Es un módulo de Python para detectar y extraer objetos incrustados almacenados en archivos RTF, como objetos OLE. También puede detectar objetos de paquete OLE y extraer los archivos incrustados. Contiene un analizador de RTF personalizado que ha sido diseñado para comprender el comportamiento de MS Word, con el fin de manejar los archivos RTF ofuscados.

Las Oletools son utilizadas por una serie de proyectos y servicios de análisis de malware en línea, incluyendo: Viper, REMnux, Hybrid-analysis.com, Joe Sandbox, Deepviz, Laika BOSS, Cuckoo Sandbox, Anlyz.io, ViperMonkey, pcodedmp, dridex.malwareconfig.com y VirusTotal.

Fuente:http://www.gurudelainformatica.es/

miércoles, 22 de marzo de 2017

Tu cuenta anónima en Twitter no lo es tanto: cómo el FBI identifica a los usuarios investigándolas

 

¿Has pensado alguna ocasión en tener una cuenta anónima de Twitter o tienes ya una? Algunas se han convertido en auténticas estrellas de la red social. Ya sea por publicaciones humorísticas, comentarios mordaces o GIFs graciosos, estas cuentas han conseguido mucha notoriedad.
Algunas, sin embargo, no se usan para motivos tan poco turbios. A través de una cuenta anónima, se utilizó un tuit para provocar un ataque epiléptico a un usuario. El tuit fue denunciado y la policía de Dallas investigaría el caso con asistencia del FBI, logrando obtener la identidad del agresor sin que Twitter se la facilitase, tal y como el investigador de seguridad @X0rz ha publicado en su cuenta.
La declaración jurada que recoge todo el caso se puede consultar en Document Cloud. Se trata de un informe de 14 páginas escrito por el Agente Especial del FBI Nathan P. Hopp. Al parecer, todo habría empezado cuando el denunciante y otros usuarios habrían recibido un tuit para provocarles un episodio epiléptico.
En dicho tuit se podía ver un GIF con luces estroboscópicas con la leyenda "espero que te de un ataque por tu post". El responsable de este tuit era un tal Ari Goldstein, que tenía el nombre de usuario @jew_goldstein. Aparentemente, tras esta cuenta anónima se escondía John Rayne Rivello. ¿Cómo consiguieron descubrirlo?

Los hechos que desencadenaron la investigación



Todos sabemos que Twitter pide cierta información básica al usuario cuando se crea una cuenta: el nombre completo del usuario, una dirección de correo electrónico, una dirección física, fecha de nacimiento, lugar de residencia... muchos de estos datos son opcionales, y pueden dejarse en blanco si así se desea.
Por otra parte, Twitter guarda registros de las direcciones IP de cada usuario. En estos registros se puede encontrar información sobre cuándo se accedió a la plataforma, la dirección IP asociada al usuario y la fecha y la hora en la que usó su cuenta por última vez.
Teniendo todo esto en cuenta, en el documento podemos leer que Rivello creó a @jew_goldstein el 11 de diciembre de 2016. Cuatro días más tarde, el denunciante entraba a su cuenta de Twitter desde su oficina en Dallas, viendo el tuit de la cuenta anónima y sufriendo un ataque casi instantáneo. La mujer de esta persona lo asistió durante el ataque, y sacó una foto al GIF que se veía en la pantalla.
Esa foto se remitió en primer lugar al Departamento de Policía de Dallas, que a su vez envió una orden de registro a Twitter, que devolvió los siguientes resultados:
C7bo7jnx4aegqsg
Al mismo tiempo, el registro reveló que @jew_goldstein había estado hablando por mensaje directo con otros usuarios de la plataforma. En dichos mensajes había dicho que la víctima merecía "que unos emús le picotearan el hígado", que sabía que era epiléptica y que esperaba provocarle un ataque. En una de las comunicaciones privadas, colocó el GIF estroboscópico con la leyenda "le he mandado esto, a ver si se muere".

Así se desenmascaró a John Rayne Rivello

En los datos que Twitter había devuelto como consecuencia de la orden de búsqueda, se encontraba un número de teléfono de la operadora AT&T. Cuando se pidió a la operadora información sobre el número, resultó que se trataba de un número de prepago que no estaba registrado a nombre de nadie.
Sin embargo, a través de los registros de la empresa se pudo saber que el teléfono asociado a ese número era un iPhone 6, que necesitan de una Apple ID para poder ser utilizados. Estas identificaciones se pueden crear a través de las páginas de iTunes y de iCloud.
Con estos datos en la mano, la policía de Dallas pudo emitir una orden de registro a Apple para obtener más información sobre la cuenta de iCloud asociada al número de teléfono de Rivello. Esto fue lo que consiguieron:
C7bplcgxqaasrsn
Por ahora ya habían conseguido relacionar al servicio, el terminal y la persona, pero no sería hasta que se comenzase a revisar la cuenta que no se encontrarían, entre otras cosas, imágenes personales de Rivello y pruebas que lo conectaban a la cuenta anónima agresora. Entre ellas, el GIF que había provocado el ataque epiléptico al denunciante.
Además de todo esto, se encontró una captura de pantalla dela página de WikiPedia de la víctima, editada para establecer su muerte un día después del episodio. También muchos de los tuits del agredido habían sido capturados y guardados en la cuenta de iCloud de Rivello.
Por lo que se recoge en el informe, el agresor podrá ser juzgado dado que las autoridades han determinado que hubo intención por su parte de hacer daño y causar lesiones severas a la víctima.

Conclusiones sobre este caso

Para este investigador de ciberseguridad, la primera conclusión es muy evidente: si te ocultas para hacer algo malo, no uses algo que sea fácilmente reconocible para ello. Como por ejemplo, un iPhone 6. Según se recoge en la política de privacidad de Apple, la empresa puede suministrar la siguiente información a las fuerzas de seguridad si se lo solicitan:
  • Información del usuario.
  • Registros de correo electrónico.
  • Contenido del correo electrónico.
  • Otros contenidos de iCloud (Photo Stream, contactos, calendario...).
En resumidas cuentas, dado que pueden obtener prácticamente todo, no es la mejor manera de intentar seguir siendo anónimo a la hora de meterse en según qué asuntos. Al parecer, John Rayne Rivello era un ciudadano cualquiera intentando obtener alguna clase de venganza personal, pero el tiro le salió por la culata.
La identidad de la víctima no se menciona en ningún momento, pero llama bastante la atención que tenga una entrada propia en Wikipedia. De esto deducimos que se trata de una personalidad importante, si bien no tenemos forma de saber a qué ámbito pertenece.
Teniendo en cuenta cómo está el clima político en Estados Unidos actualmente, es fácil especular con que esta agresión esté motivada por asuntos ideológicos. Por lo demás, no se puede aventurar nada.

martes, 7 de marzo de 2017

Funciones de HASH con fines forenses

Recientemente hemos recibido la noticia de que el protocolo SHA-1 fue quebrado. En este artículo intentaré desentrañar cual es el impacto que este hecho tiene en las investigaciones digitales.

¿Qué es un HASH?

Es un algoritmo matemático que, aplicado sobre un objeto digital ya sea este el contenido de un disco rígido, un conjunto de archivos o simplemente un registro individual produce una salida hexadecimal de tamaño fijo.

No importa cuán grande sea el objeto original, el HASH del mismo siempre tendrá el mismo tamaño, el cual depende del protocolo elegido.

Los protocolos de HASH usualmente utilizados en Informática Forense son el MD5 que produce una salida de 128 bits de longitud y el SHA-1 de 160 bits.

Por lo expuesto anteriormente, el HASH permitiría identificar cualquier contenido digital ya que al más mínimo cambio del origen, se produce una variación en el valor de HASH.

Resulta claro que si el resultado de aplicar una función de HASH produce un número fijo de bits, solo hay un conjunto finito de valores que puede tomar ese HASH.

En este punto es de hacer notar que las funciones de HASH también son utilizadas con fines criptográficos.

¿Qué es una colisión?

Una colisión se produce cuando al aplicar la función de HASH a dos objetos diferentes, ambos producen el mismo resultado.

Es esto posible? Absolutamente ya que como he explicado el número de resultados posibles al aplicar el algoritmo, cualquiera sea este, es finito, mientras que los objetos a los que se les puede aplicar esa función son claramente infinitos.

De esta forma todos los protocolos de HASH tienen colisiones, solo que aquellos cuya longitud de salida es mayor, aún no han sido quebrados pues no se dispone de la potencia computacional para realizar los cálculos en un tiempo razonable, pero es cuestión de tiempo para hallar las colisiones de todos y cada uno de los protocolos de HASH existentes.

Cuando se demuestra que dos objetos diferentes producen el mismo valor de HASH , entonces ese protocolo debe discontinuarse para fines criptográficos pues el cifrado estaría comprometido.

¿Cuál es la utilidad de una función de HASH en una investigación digital?

Las funciones de hash se utilizan básicamente para dos cuestiones:
  1. Asegurar la integridad de la evidencia digital: Esto se logra mediante el cálculo de la función de HASH al momento de su recolección, el cual debe verificarse en todas las etapas posteriores de peritaje de la misma.
  2. Identificación de contenido binario: Es el procedimiento mediante el cual se le aplica la función de HASH a un archivo o conjunto de archivos con el objeto de identificarlos en algún otro dispositivo de almacenamiento digital.
Frecuentemente explicamos a letrados y operadores judiciales el concepto de HASH mencionando que el mismo es como "la huella digital" del objeto. Este mecanismo de criminalística permite la identificación de personas y su asociación con el hecho investigado, de la misma forma que una función de HASH lo hace con un contenido almacenado informáticamente.

El concepto de colisión de un HASH sería como encontrar dos personas que tuvieran las mismas huella digital…es esto posible? O por el contrario, se puede asegurar que no existen dos personas con las mismas huellas digitales? Ampliando este concepto a una investigación criminal y aun sin poder responder los interrogantes anteriores, la probabilidad de que una hipotética segunda persona tenga las mismas huellas digitales que otra y simultáneamente se encuentre vinculada al hecho investigado, es extremadamente baja e improbable.

Usar el argumento de la "duda razonable" es perfectamente posible aunque usualmente no da resultado positivo, en especial si se cuenta con alguna otra fuente de prueba.

¿Qué hacemos entonces con la evidencia digital ante este escenario?

El problema no es nuevo, ya ocurrió cuando se encontraron las colisiones de MD5 y a pesar de que la probabilidad de tener dos objetos distintos, asociados a la misma investigación, con igual valor de HASH MD5 es muy baja, la comunidad forense reaccionó sugiriendo la utilización de dos funciones de HASH por cada objeto.

Este doble factor podría encontrar una metáfora en el mundo real en la utilización simultánea de las huellas digitales y el ADN, por ejemplo, para identificar a una persona.

De esta forma, la probabilidad de que dos objetos diferentes tengan ambos valores de HASH coincidentes, sería soberanamente improbable.

Hasta el momento es una práctica común que los peritos utilicemos para este doble factor los protocolos de HASH MD5 y SHA-1, seguramente en un futuro próximo el SHA-1 será reemplazado por SHA-2, teniendo presente que del mismo hay en realidad cuatro implementaciones de longitudes diferentes SHA-224, SHA-256, SHA-384 y SHA-512 (el sufijo indica la longitud de bits) .
La utilización de SHA-2 definitivamente impactará en los tiempos de adquisición de evidencia, por la sobrecarga que implica el cálculo de funciones de mayor longitud.

En cualquier caso es solo cuestión de tiempo para que se encuentren colisiones en estos protocolos y la historia se vuelva a repetir.

Ing. Gustavo Presman - @gpresman

viernes, 24 de febrero de 2017

Linux Kodachi3, un SO seguro, anti-forense, anónimo... y fácil de usar

 

Publicado por Vicente Motos

Linux Kodachi es un sistema operativo basado en Debian 8.6 con un escritorio ligero XFCE que pretende ser lo más seguro, anti-forense y anónimo posible, siendo a la vez muy fácil de usar. Todo lo que hay que hacer es arrancarlo mediante una unidad externa (dispositivo USB, tarjeta SD o CD/DVD) y tendremos un sistema operativo funcionando con conexión VPN + conexión Tor y servicio DNScrypt. En principio no requiere ninguna configuración o conocimiento de Linux.

El sistema operativo se carga en RAM por lo que una vez que se apague el PC no se dejará ningún rastro eliminado todas las actividades del usuario.
Es libre bajo
licencia Apache License 2.0 y de código abierto y sus características principales son:
- VPN, Tor y DNScrypt.
- Truecrypt – keepass – Secure cloud y mucho más
- Generador de direcciones MAC aleatorias
- RAM Wiping en el reinicio/apagado
- Navegador Tor
- Pidigin Messenger
- Carteras Bitcoin y Litecoin
- Opciones multi-DNS
- Truecrypt/VeraCrypt
- Peer Guardian
- Panic Room/Wipe Ram/Wipe Free Space/Kill OS!
- Bleachbit/Nautilus-wipe/Keepass2xdotool/Seahorse/Gpa/Gnupg2/Enigmail/ufw/gufw/firejail
- Komodo Edit/Geany/Krusader/Meld/Shutter/FileZilla/Audicity/Terminator/Transmission/VirtualBox APPS
- Htop/Rdesktop/Gksu/Ncdu/Xtrlock/Nmap/Pcmanfm/Cairo-dock/Geoip-bin/Sysv-rc-conf/Disper/Smbclient/Syslinux-utils/Fcitx/Ibus/Pidgin-Otr


- Información del sistema y de la seguridad en el escritorio
Página del proyecto:
https://sourceforge.net/projects/linuxkodachi/
Descarga ISO: https://sourceforge.net/projects/linuxkodachi/files/latest/download (usuarios por defecto: kodachi y root, contraseña: r@@t00)
Código fuente:
https://github.com/WMAL/kodachi

El Tribunal Supremo establece que publicar la fotografía de una persona sacada de su cuenta de Facebook exige su consentimiento expreso

 

Escrito por Alexis y Publicado en Blog ANTPJI

La Sala Primera condena a un periódico a indemnizar a un hombre por publicar su fotografía para ilustrar una noticia sobre un suceso en el que resultó herido

El Pleno de la Sala I, de lo Civil, del Tribunal Supremo ha establecido en una sentencia que publicar en un periódico la fotografía de una persona sacada de su cuenta de Facebook exige su consentimiento expreso, ya que lo contrario supone una intromisión ilegítima en su derecho a la propia imagen. El alto tribunal condena a “La Opinión de Zamora” a indemnizar con 15.000 euros a un hombre del que publicó en portada, en su edición en papel, una fotografía obtenida de su cuenta de Facebook, que ilustraba una noticia de sucesos en el que el hombre había resultado herido. Asimismo, el diario es condenado a no volver a publicar la foto en ningún soporte y a retirarla de cuantos ejemplares se hallen en sus archivos.

“Que en la cuenta abierta en una red social en Internet, el titular del perfil haya “subido” una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular, porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes en un perfil público de una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación”, señala el Supremo..

Agrega que “el consentimiento del titular de la imagen para que el público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta, pues no constituye el «consentimiento expreso» que prevé el art. 2.2 de la Ley Orgánica 1/1982 (de protección de derecho al honor y la propia imagen) como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona. Aunque este precepto legal, en la interpretación dada por la jurisprudencia, no requiere que sea un consentimiento formal (por ejemplo, dado por escrito), sí exige que se trate de un consentimiento inequívoco, como el que se deduce de actos o conductas de inequívoca significación, no ambiguas ni dudosas”.

La sentencia, de la que ha sido el magistrado Rafael Sarazá Jimena, prosigue: “Tener una cuenta o perfil en una red social en Internet, en la que cualquier persona puede acceder a la fotografía del titular de esa cuenta, supone que el acceso a esa fotografía por parte de terceros es lícito, pues está autorizada por el titular de la imagen. Supone incluso que el titular de la cuenta no puede formular reclamación contra la empresa que presta los servicios de la plataforma electrónica donde opera la red social porque un tercero haya accedido a esa fotografía cuyo acceso, valga la redundancia, era público. Pero no supone que quede excluida del ámbito protegido por el derecho a la propia imagen la facultad de impedir la publicación de su imagen por parte de terceros, que siguen necesitando del consentimiento expreso del titular para poder publicar su imagen”.

Estimación parcial del recurso del periódico

El Supremo, sin embargo, estima parcialmente el recurso del periódico contra la sentencia de la Audiencia Provincial de Bizkai que le condenó, además de por intromisión en el derecho a la propia imagen, por intromisión en el derecho a la intimidad. El motivo era que, en el reportaje publicado en la edición de papel y digital del diario “La Opinión-El Correo de Zamora” el 8 de julio de 2013, se contenían datos que permitían identificar al demandante. El reportaje señalaba que el demandante había sido herido por su hermano con un arma de fuego, y que luego éste último se había suicidado.

En el reportaje se publicaba el nombre de pila del herido y el de su hermano, las iniciales de sus apellidos, el apodo de su hermano, la dirección exacta del domicilio familiar, que su madre padecía alzheimer, y que su padre había sido médico en una localidad de la provincia. El Juzgado de Primera Instancia de Bilbao, y la Audiencia de Bizkaia, establecieron una indemnización de 30.000 euros por vulneración del derecho a la propia imagen (publicación de la foto), pero también del derecho a la intimidad (por los datos personales y familiares publicados).

El Supremo rebaja a la mitad la indemnización (15.000 euros), al considerar que no hubo vulneración del derecho a la intimidad, ya que el diario no incurrió “en ninguna extralimitación morbosa” y respetó “los cánones tradicionales de la crónica de sucesos” al dar información que era veraz, por lo que en este caso prevalece el derecho a la información frente al derecho a la intimidad del demandante.

“La intromisión en la intimidad personal y familiar del demandante que supone la información del artículo periodístico no puede considerarse grave. En un ámbito geográfico reducido, como Zamora, pues se trataba de un periódico de ámbito provincial, la información que se contiene en el artículo periodístico no aumenta significativamente el conocimiento que de un hecho de esas características, ocurrido en una vivienda de la ciudad y en el seno de una familia conocida, podían tener sus convecinos. Se trataba, además, de hechos objetivamente graves y noticiables, una disputa familiar en la que un hermano hirió a otro y después se suicidó”, indica la sentencia.

“Es especialmente relevante –prosigue la resolución-- que la noticia se acomoda a los usos sociales, y concretamente a los cánones de la crónica de sucesos, que es un género periodístico tradicional. Se trata de una información dada inmediatamente después de que sucedieran los hechos (en la edición en papel del diario, apareció al día siguiente). No se exponen los hechos con extralimitación morbosa, ni se desvelan hechos íntimos sin relación con lo sucedido, es más, ni siquiera se hace referencia a la causa de la desavenencia familiar. La mención a la enfermedad de la madre se justifica porque tenía cierta relevancia para informar sobre lo acaecido: solo presenció los hechos un sobrino, la madre estaba presente pero se encontraba en un estado avanzado de Alzheimer, y tuvo que ser llevada a casa de unas vecinas”.

“La sentencia estará disponible en este mismo enlace una vez suprimidos los datos de carácter personal, en cumplimiento de lo dispuesto en el artículo 560.1.10 de la Ley Orgánica del Poder Judicial en relación con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal”.


FUENTE: http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Noticias-Judiciales/El-Tribunal-Supremo-establece-que-publicar-la-fotografia-de-una-persona-sacada-de-su-cuenta-de-Facebook-exige-su-consentimiento-expreso

Google ha roto definitivamente el hash criptográfico SHA1

Acabando con SHA-1

SHA1 es un algoritmo criptográfico de hash creado en 1995 y que, durante mucho tiempo, ha sido utilizado ampliamente utilizado para asegurar datos, comprobar su integridad y para garantizar la seguridad de las conexiones a Internet. Sin embargo, la tecnología ha cambiado mucho en los últimos años y, por lo tanto, este algoritmo ha sido siendo cada vez menos seguro hasta el punto de conseguir la primera colisión de Hash, demostrando así que este está ya totalmente roto.

No es la primera vez que se dice que el algoritmo SHA1 es inseguro y está roto. A finales de 2015 ya pudimos ver cómo se habían encontrado varias debilidades en el mismo que, en la teoría, podía ser roto, aunque para poder demostrarlo se necesitaría un sistema de más de 100.000 dólares y varios años de computación. Ahora, Google lo ha roto en la práctica.

Descubre los mejores y más seguros algoritmos de hash, y conoce los que no son recomendables hoy en día

Descubre los mejores y más seguros algoritmos de hash, y conoce los que no son recomendables hoy en día

Desde este anuncio de 2015 hasta ahora las cosas han cambiado y, tal como nos informan los compañeros de AdslZone, ayer Google ha hecho pública la primera colisión en el hash SHA1, demostrando así la ineficacia del antiguo algoritmo y su nula seguridad. Cuando calculamos la suma de Hash de un fichero conseguimos una serie de caracteres hexadecimales que, en teoría, debería ser única. Gracias a esto podemos saber si un archivo que originalmente tenía un hash “abc”, tras enviarlo por Internet, el destinatario consigue la misma suma “abc” y no una suma diferente que podía indicar que el archivo ha sido modificado en un punto intermedio de la transferencia e incluso que se ha descargado mal.

Lo que ha hecho Google ha sido conseguir que dos archivos diferentes tengan el mismo Hash, demostrando así que es posible una colisión y que este algoritmo está ya, oficialmente, roto.

Colisión SHA1

De todas formas, el proceso no ha sido fácil, y ha requerido de 9,223,372,036,854,775,808 de ciclos. Mientras que romper este algoritmo por fuerza bruta llevaría más de un año utilizando 12 millones de tarjetas gráficas trabajando a la vez, con la nueva técnica “solo” han sido necesarias 110 tarjetas gráficas trabajando durante un año para llegar al resultado.

En el caso de los algoritmos MD5, la cosa es mucho más sencilla, y es que estos pueden romperse en tan solo 30 segundos utilizando un simple smartphone. Podemos ver más información sobre el proceso de rotura el algoritmo en la web de SHAttered.

SLOTH, una serie de ataques contra los algoritmos seguros MD5 y SHA1

SLOTH, una serie de ataques contra los algoritmos seguros MD5 y SHA1

Por suerte, ya casi nadie utiliza SHA1, incluso está bloqueado en muchos navegadores y servicios web

Por suerte, aunque Google acaba de demostrar la ineficacia de este algoritmo y dejarlo completamente roto, hoy en día prácticamente no se utiliza para nada, ya que existen varias revisiones como SHA2 y SHA3 totalmente seguras a día de hoy. Además, a finales del año pasado, los navegadores web han empezado a bloquear estos algoritmos por defecto, así como muchas páginas web, como Facebook, que incluso los han eliminado de sus servidores al ser ya totalmente inútiles, además de seguros.

miércoles, 15 de febrero de 2017

DEFT Zero, la nueva distribución Linux ligera para análisis forense

 

DEFT es un sistema operativo Linux creado especialmente para profesionales y expertos de seguridad que necesiten un ecosistema para analizar datos, redes y dispositivos y poder recopilar de ellos la mayor cantidad de información posible. A diferencia de otras distribuciones similares, esta no se centra solo en analizar discos duros y memorias, sino que ofrece un análisis de lo más completo de todo tipo de sistemas, redes y dispositivos. Sin embargo, este es muy pesado ya que cuenta con un gran número de herramientas de todo tipo. Por ello, hace algunas horas, los responsables de esta distribución forense nos han sorprendido con un nuevo sistema operativo llamado DEFT Zero.
 
DEFT Zero es una versión mucho más ligera y reducida de DEFT diseñada, igual que su predecesora, para realizar análisis forenses de datos, redes y dispositivos. Esta nueva distribución funciona con tan solo 400 MB de memoria RAM y está basada en Lubuntu 14.04 LTS (lo que le garantiza un soporte extendido a largo plazo). Además, también es compatible con sistemas de 32 bits, 64 bits e incluso con sistemas UEFI. Además, este nuevo sistema es compatible con memorias del tipo NVM Express (NVMe) y eMMC.
 
Este sistema operativo se puede grabar tanto a un DVD como a una memora USB y nos permite arrancar el sistema de 3 formas diferentes:
  • En modo interfaz cargado 100% en la memoria RAM (podemos extraer el DVD o USB cuando cargue).
  • Con interfaz, pero en modo Live (cargando desde el medio).
  • En modo texto para usarlo desde terminal.
Este sistema, además, es compatible con todo tipo de unidades y dispositivos, aunque por motivos de seguridad, estos vienen desmontados y tendremos que montarlos manualmente para poder utilizarlos. Los responsables de esta distribución nos ofrecen un sencillo manual en PDF donde nos explican, a grandes rasgos, como funciona la distribución.
Si queremos descargar esta distribución, podemos hacerlo de forma gratuita desde su servidor FTP oficial.

DEFT sigue siendo una de las distribuciones más completas para análisis forense de datos

Aunque el lanzamiento de DEFT Zero es bastante interesante, especialmente de cara a los aficionados que no tienen un equipo potente y quieren iniciarse en el tema de los análisis forenses de datos y dispositivos, la versión completa, DEFT, sigue siendo una de las distribuciones Linux para análisis forense más avanzada y que más herramientas incluye por defecto, junto a CAINE.
Si queremos probar también esta distribución, podemos descargarla igualmente de forma gratuita desde su página web.
Fuente: https://www.redeszone.net/