miércoles, 28 de diciembre de 2016

Cómo puedo rastrear correos electrónicos enviados desde mi cuenta personal

rastrear correos electronicos

Las grandes empresas llevan a cabo esta práctica. Obtener la información de lo que ocurre en cada correo electrónico enviado no es algo nuevo. La ubicación de un pixel en el correo electrónico (imperceptible para el usuario) permite recopilar toda la información del destinatario. Os vamos a enseñar cómo se pueden rastrear correos electrónicos enviados desde nuestra cuenta personal.

Para ello no vamos a necesitar llevar a cabo un proceso tedioso. Sin ir más lejos, cualquier servicio de mensajería que se encuentre entre los más utilizados permite añadir complementos para implementar esta funcionalidad. Yahoo! Mail, Outlook o Gmail son algunos ejemplos de servicios de correo con los que se puede llevar a cabo esta acción.

Para este artículo nos vamos a centrar en tres servicios:

Todos ellos tienen en común que ofrecen los horarios de apertura de los emails, el sistema operativo desde el que se ha producido la apertura, el navegador web y la versión utilizada y la localización aproximada. Cada servicio tiene después su propia personalización. En el caso del primero, añade un doble check al más puro estilo WhatsApp en la bandeja de salida.

Esta información es muy útil en lo que se refiere a temas comerciales. Permite la personalización de ofertas de productos en función del software utilizado y el envío de los correos electrónicos en un horario de lectura aproximado.

Aprende a detectar emails falsos y evitar infecciones malware

Aprende a detectar emails falsos y evitar infecciones malware

Algunos inconvenientes a la hora de rastrear correos electrónicos

El problema fundamental que aparece en función del servicio es que los datos aportados por la API son limitados. Esto quiere decir los responsables han tomado la decisión de cerrar el grifo de cierta información para cumplir con la política de privacidad que se ha hecho aceptar a los usuarios. Como resultado, a la hora de realizar el rastreo de los correos se obtiene poca información.

Por ejemplo, en el caso de Gmail, la información remitida se limita a la siguiente:

  • Hora de visita
  • Abierto desde Gmail

Mientras que en el caso de ProtonMail es la siguiente:

  • IP de apertura
  • Operador (al analizar la ip)
  • Hora de apertura
  • Teléfono con el que se abrió el email
  • Navegador
  • Wi-Fi o Datos (tras análisis de la ip)
  • Localización aproximada
  • Latitud
  • Longitud
  • Framework de desarrollo de la app móvil

La “fuga de datos” cambia en función del servicio utilizado, y es una situación que es susceptible a cambios.

Recomendaciones para utilizar el correo electrónico de manera segura

Recomendaciones para utilizar el correo electrónico de manera segura

Cómo implemento el rastreo de correos electrónicos

El funcionamiento es muy sencillo y no tienen ningún misterio. Se debe incluir una imagen dentro del correo electrónico. Para no llamar la atención siempre se utiliza una imagen blanca y de tamaño reducido. Al realizar la apertura del correo se produce una llamada para la carga de la imagen, quedando almacenada en los logs del servidor Apache. Será este el encargado de recopilar y almacenar la información.

Para realizar esta operación debemos subir la imagen a un servidor desde el que se pueda cargar la imagen adjunta en el correo electrónico. Esta URL se incluye en el cuerpo del correo electrónico y ya tendríamos nuestro sistema básico de rastreo de correos electrónicos. Para disponer de una mayor organización, es recomendable utilizar diferentes nombres para las imágenes.

Fuente > HoneySec

lunes, 12 de diciembre de 2016

Todo sobre Stegano y la actualidad del ransomware móvil

Bienvenido a un nuevo resumen semanal de noticias de seguridad, que incluye un análisis del exploit kit Stegano que infectaba publicidades online, consejos para padres en la era de Internet y los nuevos trucos del ransomware para Android.
Comencemos el repaso.

#1 El exploit kit Stegano se esconde en píxeles de publicidades maliciosas

Investigadores de ESET analizaron y describieron una campaña del exploit kit Stegano, que se escondía en publicidades maliciosas en webs populares como sitios de noticias. Su objetivo era aprovecharse de vulnerabilidades en Flash según la versión instalada en el sistema de la víctima.
A pesar de que está activo desde 2014, en la campaña más reciente los atacantes mejoraron sus tácticas, apuntado a países específicos. “Hemos observado dominios muy importantes, que incluyen sitios de noticias visitados por millones de personas por día, actuando como ‘referencias’ que alojan estos anuncios. Al llegar al espacio publicitario, el navegador muestra un banner ordinario al lector. Pero hay mucho más que una publicidad”, señalaron los investigadores.
Para más información sobre el funcionamiento del ataque y su impacto fuera del aspecto técnico, publicamos también una entrevista con Robert Lipovsky que lo explica en forma simple.

#2 El ransomware para Android sigue en expansión

El ransomware continúa creciendo incesantemente en múltiples plataformas, entre las que se incluyen los dispositivos móviles desde el año 2014. Como muestran nuestras detecciones, los usuarios de Android suelen ser víctimas de ataques de diversos tipos de malware de extorsión:
 
Anzahl der Android Ransomware Entdeckungen seit April 2014
 
Este año, los cibercriminales incorporaron métodos más sofisticados a sus conjuntos de herramientas; por ejemplo, esconder los payloads dentro de las aplicaciones cifrándolos para luego trasladarlos a la carpeta de activos, que se suele utilizar para guardar contenidos necesarios de la aplicación móvil. “Aunque las apps no tuvieran ninguna funcionalidad real en el exterior, en el interior tenían una herramienta de descifrado capaz de descifrar y ejecutar el ransomware”, explicó Ondrej Kubovič.

#3 Cómo ser padres en la era de Internet

David Harley, investigador de ESET, da consejos sobre seguridad infantil en una época en que ser padres requiere educación y diálogo permanente para formar parte del mundo de Internet:
Como padre, parte de tu responsabilidad es aprender lo suficiente sobre temas de seguridad para poder educar a tu hijo. En el siglo XXI, esto también incluye la ciberseguridad. Es cierto que la mayoría de la gente quiere proteger a sus hijos desde el principio, pero es igual de importante enseñarles a protegerse para los momentos en que los padres no estén presentes. Y nunca es demasiado pronto para iniciar el proceso.

#4 ¿Codificación, sinónimo de cifrado?

Son varios los conceptos de seguridad que generan confusión, sea por su sutil diferencia, por el arraigo en el subconsciente colectivo o por mitos que se van propagando entre los usuarios. Uno de ellos es que la codificación y el cifrado son lo mismo, a pesar de que están muy relacionados. Afortunadamente, Camilo Gutiérrez se dio a la tarea de aclarar la diferencia y describir cada uno
 
FUENTE: welivesecurity
 

viernes, 9 de diciembre de 2016

Técnicas de análisis forense en imágenes digitales

En días pasados se llevó a cabo la edición 2016 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.

En su participación, José Miguel Baltazar Gálvez, especialista en seguridad del Instituto de Ecología de la UNAM, presentó su investigación denominada “Identificación de la fuente generadora de una imagen digital”, un desarrollo orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante los procesos de análisis forense

 

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.

el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía

Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.

Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.

En este contexto, los retos que enfrenta el analista consisten principalmente el determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:

diagrama

  • Recomendaciones iniciales

En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

  • Definición del escenario de trabajo

La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

analisis

  • Técnicas de análisis y desarrollo

Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.

Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.

Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.

matriz

  • Reporte ejecutivo y técnico

La última fase del proyecto consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

 

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.

Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.

FUENTE: WeLiveSecurity

jueves, 8 de diciembre de 2016

"La mitad de la Dark Web es legal" [Estudio]

A pesar de la típica reputación de "sitio nefasto repleto de actividades ilícitas", la Dark Web o Web Oscura es en su mayoría legal, según un nuevo informe de una investigación realizada por Terbium Labs.


"Separar el hecho de la ficción: la verdad sobre la web oscura" [PDF], escrito por Clare Gollnic y Emily Wilson, dos investigadores de una empresa de inteligencia de datos en la Dark Web de Baltimore, derriba muchos mitos acerca de lo que la gente piensa sobre la web oscura y pretende desacreditar los informes anteriores que ofrecen poco más que hipótesis superficiales.

Evidentemente el estudio se basa en el análisis de contenido que detectó, la mayoría en la red Tor. Pero afirmando que evitan el sesgo de selección en su muestreo, los investigadores encontraron que el contenido legal comprende el 53.4 por ciento de todos los dominios y 54.5 por ciento de todas las URLs recogidas.


El extremismo no fue un factor predominante, representando sólo el 0.25 por ciento de la actividad detectada, y no se encontró ninguna mención sobre venta de armas de destrucción masiva en las 400 URLs que tomaron de muestra. Las páginas relacionadas con distintas técnicas de hacking y exploits supusieron el 1,3%. Por otro lado la pornografía está ampliamente extendida si bien no significa que toda ella sea ilegal.

La actividad ilícita más vista en el estudio fue la venta de drogas, presente en el 45 por ciento de todas las publicaciones ilegales, aunque sólo representaba un 12 por ciento del contenido general.


En fin, un estudio bastante interesante cuyo paper podéis descargar en:
https://terbiumlabs.com/darkwebstudy.html

martes, 6 de diciembre de 2016

El modelo de negocio del cibercrimen y su cadena de valor

El panorama de seguridad ha evolucionado a un ambiente donde gran parte de las amenazas informáticas se desarrollan con el propósito de generar ganancias económicas para sus creadores o financiadores. A partir de esta premisa, distintas modalidades de ataques o amenazas han proliferado y evolucionado para afectar a una mayor cantidad de usuarios u organizaciones.
los creadores de amenazas extienden su portafolio hacia un mercado que demanda este tipo de servicios
El “modelo de negocio” de la ciberdelincuencia se basa en la creación de una cadena de valor, ofreciendo incluso nuevas modalidades, por ejemplo el cibercrimen como servicio (cybercrime-as-a-service), es decir, la práctica de facilitar actividades ilegales a través de servicios. En otras palabras, cualquier persona podría adquirir todo lo necesario para organizar fraudes o ataques cibernéticos, independientemente de sus habilidades o conocimientos técnicos.

Servicios del cibercrimen al mejor postor

El modelo de venta de servicios representa la evolución natural de la oferta en un mercado que responde a una demanda en constante crecimiento. Esto significa que los desarrolladores de amenazas informáticas, además de obtener beneficios económicos a través de monetizar información robada o secuestrar datos, han comenzado a extender su portafolio, sus actividades y sus operaciones, hacia un mercado que demanda este tipo de servicios, ya sea para afectar empresas, industrias, usuarios, o bien, gobiernos.
  • Fraud as a Service (FaaS)
En el ámbito del cibercrimen, una de las industrias más afectadas por los fraudes es la banca. Una cantidad importante de amenazas de la era digital se ha desarrollado para generar pérdidas a los usuarios, principalmente del sistema de tarjetas de crédito y débito, aunque el fraude no se limita a únicamente a esta opción de transacciones.
Del mismo modo, la variedad de amenazas va desde el robo de tarjetas, el skimming y la Ingeniería Social hasta ataques de phishing, malware como PoS (Point of Sale) o troyanos bancarios, todos con el propósito de obtener información bancaria. En este contexto, el fraude como servicio se puede ofrecer desde la venta de herramientas para llevar a cabo skimming, hasta códigos maliciosos especialmente desarrollados para el robo de información financiera, tal como Zeus.
  • Malware as a Service (MaaS)
Por otro lado, desde algunos años los códigos maliciosos han comenzado a ser ofrecidos como un servicio, desarrollados para actividades epecíficas y de manera paralela con kits de explotación. Una vez que se infiltran en sistemas a partir de vulnerabilidades, pueden introducir malware para robar información y contraseñas, espiar las actividades de los usuarios y enviar spam, así como acceder y controlar de manera remota los equipos infectados a través de una infraestructura completa de Comando y Control (C&C).
Este mismo principio ha sido utilizado para comenzar a propagar ransomware, es decir, códigos maliciosos enfocados en secuestrar archivos o sistemas y solicitar un pago como rescate, llevando a un nuevo nivel el principio de la extorsión aplicada al ámbito digital. Kits de exploits o botnets como Betabot han comenzado a diversificar sus actividades maliciosas.
  • Ransomware as a Service (RaaS)
La idea principal del ransomware como servicio se centra en el hecho de que los desarrolladores de esta amenaza no son los encargados de propagarla, su función se limita al desarrollo de herramientas capaces de generar este tipo de malware de forma automática. De esta manera, otro grupo de personas se encarga de crearlo a partir de estas herramientas y propagarlo, independientemente de sus habilidades o conocimientos técnicos.
En este modelo de negocio, tanto los desarrolladores de las herramientas para la generación de ransomware como los encargados de esparcirlo obtienen ganancias económicas, en una relación “win-win”. Un ejemplo conocido de ransomware como servicio lo encontramos en Tox.
  • Attacks as a Service (AaaS)
En el mismo contexto, los ataques pueden ser ofrecidos como servicios. Por ejemplo, distintos ataques como denegaciones de servicio distribuidas (DDoS) pueden ser el resultado de un amplio número de equipos infectados pertenecientes a una botnet que son ofrecidos y alquilados para llevar a cabo este tipo de ataques. Además, pueden ser utilizados para propagar más códigos malicisos, enviar correos no deseados de manera masiva, o incluso ser utilizados para minar bitcoins.

El desarrollo del cibercrimen y los paradigmas de ciberseguridad

cibercrimen
 
Como se observa, se trata de todo un conjunto de amenazas informáticas que pueden interactuar para ofrecer nuevas posibilidades a la industria del cibercrimen, mismos que se encuentran disponibles para cualquier persona que cuente con los recursos suficientes para adquirirlos.
En el ámbito de la ciberseguridad, es importante recalcar que las nuevas condiciones que han venido evolucionando en los últimos años enfrentan a dos partes: los encargados de la protección de los activos más importantes en las organizaciones, frente a grupos especializados y organizados que invierten recursos como tiempo y dinero para desarrollar estos servicios de cibercrimen, en un mercado que los sigue requiriendo.
 
En este contexto, la gestión de la seguridad de la información ha pasado de pensar si la organización puede o no ser afectada, hacia un enfoque en el cual se da por hecho que la organización será atacada, solo es cuestión de tiempo para que eso suceda. Por ello, desde esta perspectiva las medidas de protección pueden resultar proactivas, es decir, idear escenarios realistas en los cuales la información u otros activos críticos pueden ser afectados, por lo que los procesos e información deben ser protegidos a través de un enfoque holístico.
 
Lo anterior también conlleva al desarrollo de estrategias de seguridad defensivas, ofensivas, reactivas y proactivas, para intentar evitar o remediar incidentes de seguridad, reduciendo los riesgos hasta un nivel aceptable, de acuerdo con la aversión o propensión al riesgo de cada organización. Además, el enfoque entiende la seguridad como un proceso transversal a las actividades esenciales del negocio y que debe ser mejorado de manera permanente.

lunes, 5 de diciembre de 2016

ESTADOS UNIDOS AUTORIZA AL FBI A HACKEAR CUALQUIER ORDENADOR DEL MUNDO

Las diferentes agencias y cuerpos de seguridad de los Estados Unidos, según ha revelado Edward Snowden en varias ocasiones y las diferentes filtraciones al respecto así lo demuestran, llevan a cabo todo tipo de prácticas de espionaje internacional. Y ahora, los tribunales han autorizado a que cualquier juez del país tengan autoridad para autorizar al FBI en el hackeo de un ordenador ubicado en cualquier parte del mundo. No sólo afecta a los ciudadanos y usuarios de ordenadores de los Estados Unidos, sino a los de cualquier país, según la histórica resolución del país americano.

Ahora el FBI podrá hackear cualquier ordenador en cualquier parte del mundo por orden judicial


En los últimos meses, las alertas han saltado cuando, después de la negativa de la firma de Cupertino a colaborar en el desbloqueo del teléfono inteligente iPhone del terrorista de San Bernardino, el FBI terminó consiguiendo su propósito por otras vías. La vulneración de los sistemas de seguridad de otras compañías de todo el mundo ha sido noticia en reiteradas ocasiones, y con su colaboración prestada al FBI o sin ella. Pero ahora, con la resolución del Tribunal Supremo de los Estados Unidos, se ha modificado la norma 41 de la Ley Federal de Procedimiento Criminal para ampliar las autorizaciones en estos términos.


La modificación sobre la legislación permitirá a cualquier juez autorizar a un agente del FBI para saltar los sistemas informáticos de seguridad de cualquier PC en todo el mundo. Uno de los horizontes más atractivos para la inteligencia de los Estados Unidos es la Deep Web, donde hasta ahora no había sido permitida la autorización para el rastreo de la identidad de usuarios en la red Tor. Y como con cualquier cambio de este tipo, los tribunales estadounidenses se ha apoyado en la lucha contra el terrorismo y la delincuencia a través de la Red.

Dentro de esta anterior, la red Tor, en las últimas semanas se ha podido conocer cómo fue descubierto un usuario con fotografías íntimas de menores. Y es que, aunque la red Tor dificulta el rastreo de la identidad más allá de las posibilidades de una red privada virtual o VPN, normalmente son las torpezas de los usuarios de la Deep Web las que terminan con detenciones tras la identificación de los sospechosos.

Ver información original al respecto en Fuente:
http://es.gizmodo.com/el-fbi-obtiene-ca ... 1789565219

viernes, 25 de noviembre de 2016

Herramienta para escanear metadatos y agruparlos en una nube de tags.

 

Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…


Los metadatos pueden tener varias aplicaciones como:


  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos. 
  • En ataques a sistemas o servidores web: A través de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta. 


Con la herramienta SCAN un gestor de contenido semánticos que permite escanear metadatos y agruparlos en una nube de tags. Combina las funciones de: búsqueda, análisis de textos, tagging y metadatos, para proporcionar una eficiente gestión de documentos personales. SCAN fue desarrollado para solventar problemas de organización del contenido personal y dar facilidades a la hora de hacer búsquedas en casos de sobrecarga de información. Pero sus posibilidades son muy amplias tanto para análisis forenses como para auditorias de metadatos.

Entre las características de SCAN destacan:


  • Elimina los límites puestos por diferentes sistemas de almacenamiento. Los flujos de información de diferentes fuentes de búsqueda se agregan en un solo espacio semántico, explorable donde los: archivos, páginas web, correos electrónicos y otros elementos de contenido son igualmente documentos organizados por sus propiedades semánticas naturales, más que por su ubicación física. 
  • Un marco de metadatos unificado para: describir, clasificar y realizar anotaciones en los documentos. 
  • Permite hacer tagging, una forma más sencilla e intuitiva de organizar el contenido. Es posible etiquetar cualquier documento con los tags y navegar por la "nube de tags". 
  • Potente motor de búsqueda de texto y  metadatos. 
  • Es un software de código abierto, disponible de forma gratuita. 
  • Multiplataforma, independiente del sistema operativo y hardware del equipo. 
  • Está diseñado como un marco flexible fácilmente configurable para las necesidades específicas del usuario. Es extensible gracias a la integración de plugins, para nuevas ubicaciones y formatos de documentos. 


Su motor de busqueda permiten agregar contenido de diferentes fuentes: carpetas locales, sindicación web, buzones de correo, marcadores del.icio.us y posiblemente otras ubicaciones que estén disponibles en los plugins. Un usuario sólo necesita una ubicación y la aplicación encontrara y agregara todos los documentos. A partir de ahí, las ubicaciones de los documentos agregados serán supervisadas para ver los cambios (nuevos documentos, modificados o eliminados) para mantenerlas monitorizadas hasta la fecha, y guardadas en un repositorio. El repositorio de documentos puede llevar registros de miles de documentos independientemente de su formato original. Un gran número de formatos de documentos populares es compatible de forma nativa, o bien a través de los plugins, incluyendo formatos como: HTML, PDF, OpenOffice, MS Office y mensajes de correo electrónico.

SCAN ofrece un rico conjunto de propiedades de metadatos asociados a los documentos, incluyendo: el título del documento, descripción, anotaciones, autor, fecha de creación y otros. Las propiedades se establecen automáticamente en el documento y se pueden añadir y editar rápidamente después. Las propiedades de los metadatos se pueden utilizar en las consultas de búsqueda para encontrar los documentos que coincidan con los criterios especificados. Además, algunas propiedades (autor, trayectoria, fecha e idioma) sirven como tags de navegación para recorrer los documentos. La colección de documentos está estructurado con un sistema de tags, similar a los servicios como del.icio.us o Flickr. Los tags son palabras clave que identifican documentos para una navegación rápida. Todas los tags juntos forman una taxonomía que representa la semántica del repositorio de documentos. La taxonomía se puede ver como una "nube de tags" para navegar por el repositorio de documentos.

SCAN tiene un potente motor para la minería y análisis de textos para descubrir la semántica de documentos y extraer los conceptos básicos del contenido. El análisis de texto simplifica enormemente el proceso de tagging. Ayuda a un usuario a recoger los términos más relevantes que identifican un documento y transferirlo como tags. Esto hace que el tagging manual de documentos sea tan simple como seleccionar los tags de los candidatos propuestos. Además, un usuario puede confiar el proceso de tagging al sistema, por lo que los documentos se pueden etiquetar de forma automática con los términos pertinentes.

Más información y descarga de SCAN:
http://scan.sourceforge.net/

Conjunto de herramientas de análisis forense avanzado de memoria RAM.

 

Volatility es una colección de herramientas para extracción de pruebas digitales de muestras de memoria volátil (RAM), implementado en Python bajo la Licencia Pública General GNU. Las técnicas de extracción se realizan completamente independientes del sistema que se está investigando, pero ofrecen visibilidad del estado en tiempo de ejecución del sistema. Volatility tiene por objeto poder realizar técnicas  asociadas con la extracción de pruebas digitales a partir de muestras de memoria volátil y proporcionar una plataforma de referencia para esta excitante área de investigación. Al estar escrita en Python es completamente multiplaforma.
Volatility no proporciona ninguna herramienta para la adquisición de muestras de memoria. Para dicha tarea, hay herramientas tanto de software libre como comerciales que hacen esta función. Soporta una variedad de formatos de archivo y la capacidad de convertir entre estos formatos:
 
figure-9_reference
  • Raw linear sample (dd)
  • Hibernation.
  • Crash dump.
  • VirtualBox ELF64.
  • Archivos de estado y de snapshot de Vmware.
  • Formato EWF(E01)
  • LiME (Linux Memory Extractor).
  • Mach-O.
  • QEMU.
  • Firewire .
  • HPAK (FDPro).
Puede analizar las imágenes de memoria RAM de los siguientes sistemas operativos:
Windows:
  • 32-bit Windows XP Service Pack 2 y 3.
  • 32-bit Windows 2003 Server Service Pack 0, 1 y 2.
  • 32-bit Windows Vista Service Pack 0, 1 y 2.
  • 32-bit Windows 2008 Server Service Pack 1 y 2.
  • 32-bit Windows 7 Service Pack 0 y 1.
  • 32-bit Windows 8, 8.1, y 8.1 actualización 1.
  • 32-bit Windows 10.
  • 64-bit Windows XP Service Pack 1 y 2.
  • 64-bit Windows 2003 Server Service Pack 1 y 2.
  • 64-bit Windows Vista Service Pack 0, 1 y 2.
  • 64-bit Windows 2008 Server Service Pack 1 y 2.
  • 64-bit Windows 2008 R2 Server Service Pack 0 y 1.
  • 64-bit Windows 7 Service Pack 0 y 1.
  • 64-bit Windows 8, 8.1, y 8.1 actualización 1.
  • 64-bit Windows Server 2012 y 2012 R2.
  • 64-bit Windows 10.
Linux:
  • 32-bit kernels Linux 2.6.11 hasta el 4.2.3.
  • 64-bit kernels Linux 2.6.11 hasta el 4.2.3.
  • Distribuciones: OpenSuSE, Ubuntu, Debian, CentOS, Fedora y Mandriva.
Mac OSX:
  • 32-bit 10.5.x Leopard.
  • 32-bit 10.6.x Snow Leopard.
  • 64-bit 10.6.x Snow Leopard.
  • 32-bit 10.7.x Lion.
  • 64-bit 10.7.x Lion.
  • 64-bit 10.8.x Mountain Lion.
  • 64-bit 10.9.x Mavericks.
  • 64-bit 10.10.x Yosemite.
  • 64-bit 10.11.x El Capitan.
Posee una gran cantidad de plugins para realizar diferentes tareas de análisis forense, en diferentes sistemas operativos entre los que se encuentran:
Windows:
  • Ver información AmCache del registro  (amcache).
  • Volcar archivos de registro en disco (dumpregistry).
  • Detectar estructuras de registro de servicio ocultas (servicediff).
  • Ver el tiempo de apagado desde el registro (shutdowntime).
  • Agregar opciones a yarascan para analizar el proceso y la memoria del núcleo a la vez.
  • Identifica los flujos de datos alternativos NTFS (Mftparser).
  • Permite comprobar las políticas de auditoría (auditpol).
  • Extraer archivos almacenados en caché (exe/pdf/doc/etc).
  • Extraer claves privadas, claves públicas de SSL y certificados.
Mac OS X:
  • Ver y extraer datos de intercambio comprimido (mac_compressed_swap).
  • Detectar automáticamente los perfiles de Mac OS X (mac_get_profile).
  • Reportar los alcances y oyentes de Kauth (mac_list_kauth_scopes | listeners)
  • Identificar aplicaciones con sockets promiscuos (mac_list_raw).
  • Encontrar subprocesos ocultos (mac_orphan_threads).
  • Ver variables de entorno de proceso (mac_psenv).
Linux:
  • Ver variables de entorno dinámico de Linux (linux_dynamic_env).
  • Ver el directorio de trabajo actual de los procesos (linux_getcwd).
  • Ver estructuras de conexión de red (linux_netscan).
  • Manejo de las regiones de memoria Linux de mprotect ().
  • Recupera el historial de bash (linux_bash).
  • Muestra la lista los sockets abiertos (linux_netstat).
  • Muestra los procesos junto con la línea de comandos completa y la hora de inicio (linux_psaux).
  • Recopila procesos junto con sus variables de entorno estático (linux_psenv).
Fuente:http://www.gurudelainformatica.es/

viernes, 18 de noviembre de 2016

Herramientas de informática forense

 

Lo más probable cuando nos hablan de herramientas de informática forense, es pensar en profesionales ataviados con guardapolvos y guantes blancos, inspeccionando una computadora para lograr obtener esos datos que significarán resolver un caso. Sin embargo, y a pesar de que en ciertos ámbitos esta imagen sea real, lo cierto es que este tipo de software está disponible para cualquier tipo de usuario, tenga el nivel de conocimientos que tenga.


Este software de análisis informático forense puede ser un aliado indispensable para cuando ocurren fallas en la computadora y queremos saber la verdadera razón, o en un caso más extremo, intentar recuperar información perdida o borrada por completo por accidente. En este artículo encontraremos las que a nuestro entender son los mejores programas forenses informáticos, además son gratuitos y sencillos de usar.

Herramientas de informática forense

PlainSlight
La primera de estas herramientas es PlainSlight, y sin dudas su mejor característica es la facilidad de uso. Mediante PlainSlight estaremos en condiciones de conocer unos cuantos secretos de nuestra computadora, incluyendo información acerca de los discos duros, dispositivos USB y los usuarios registrados, ente muchos otros datos.

Pero además la aplicación nos permite recuperar archivos y carpetas borrados, aunque tengan atributos de ocultos, consultar el historial de Internet y examinar la configuración del firewall de Windows, entre otras.

Herramientas de informática forense

Pero lo mejor de todo es que se trata de una herramienta muy sencilla de usar, por lo que podrán aprovecharlo todo tipo de usuarios, aunque no tengan conocimientos profundos en informática, gracias a su sistema de información de comandos mediante etiquetas.

Si lo deseas, puedes descargar PlainSlight en forma gratuita, pulsando sobre este enlace.
Bulk Extractor
Bulk Extractor es una herramienta informática forense que es capaz de analizar una imagen de disco, un archivo o un directorio de archivos y extraer la información útil sin necesidad de analizar las estructuras del sistema de archivos.
Los resultados que se obtienen de estos análisis luego pueden ser fácilmente inspeccionados o procesados con otras herramientas especializadas. Otra de las grandes ventajas de ignorar para el análisis los sistemas de archivos es que este software se puede utilizar para procesar cualquier medio digital, incluyendo discos duros, medios de almacenamiento SSD, medios ópticos, tarjetas de memoria como las utilizadas en cámaras y smartphones, registros de paquetes de red y muchos otros tipos de información digital.

Herramientas de informática forense

Si bien no es una herramienta que se destaca por su facilidad de uso, lo cierto es que la minuciosidad y velocidad con que se hacen los análisis de los medios de almacenamiento es más que suficiente para convertirla en una de nuestras herramientas principales.

Si lo deseas, puedes descargar Bulk Extractor en forma gratuita pulsando sobre este enlace.

P2 eXplorer
Básicamente, P2 Explorer es un programa que nos permite montar imágenes de discos Encase (E01), Forensic Replicator (PFR), SafeBack 1, 2, & 3, SMART, FTK DD & E01, Raw DD, WinImage, Paraben's Forensic Containers (P2S), vmWare, VirtualPC, y VirtualBox (VDI).

Para utilizar estas herramienta, lo único que tenemos que hacer es montar la imagen de disco que queremos analizar en cualquiera de las letras de unidad disponibles en nuestra computadora y luego abrir el explorador de archivos.

Debido a que se trata de una imagen de disco, la misma se montará con atributos de “Sólo lectura”, que en pocas palabras significa que podremos ver el contenido del disco, pero no modificarlo en modo alguno, lo que en cierto modo nos garantiza que todo seguirá estando almacenado como en el primer momento.

Herramientas de informática forense

Cabe destacar que P2 eXplorer se encuentra disponible en dos versiones: una gratuita y la otra de pago. La versión gratuita de la misma tiene como limitación que sólo se puede ejecutar en equipos de 32 bits y la imposibilidad de montar imágenes de máquina virtual.
Aun así, P2 eXplorer es una de las mejores herramientas disponibles para cuando tenemos que analizar con minuciosidad gran cantidad de discos, ya que gracias a que todas las funciones y características para estudiar los mismos se encuentran a la mano en la interfaz del programa, que por otra parte es muy fácil de aprender y entender.

Si lo deseas, puedes descargar P2 eXplorer pulsando sobre este enlace.

HxD

Sin duda alguna, una de las mejores herramientas para la recuperación de archivos que podemos encontrar en el mercado, y además es completamente gratuita. Mediante HxD estaremos en posición de analizar el sistema de archivos completo para poder encontrar aquellos archivos que han sido borrados, tanto en forma intencional como accidental.

Una de sus mejores características se centra en la facilidad de uso, y en ello tiene mucho que ver la interfaz, muy sencilla de entender y con todas sus funciones cómodamente dispuestas.
Sin embargo, sus diseñadores no han dejado de lado la capacidad de análisis y comprobación, y para ello ofrece herramientas muy versátiles como la posibilidad de buscar y reemplazar, exportar sumas de comprobación, inserción de patrones de bytes y destructor de archivos, además de opciones para la concatenación o división de archivos, registro de estadísticas y mucho más.

Herramientas de informática forense

Con respecto a lo que podemos lograr con HxD, es realmente mucho, ya que como mencionamos es una herramienta muy flexible, pero que sin embargo ha sido simplificada de tal modo para que lo demasiado técnico o lo que no nos serviría a un nivel básico de conocimientos no nos confunda, un interesante punto de vista como para que cualquier tipo de usuario pudiera usar sus funciones sin complicarse ni tener que saber mucho de informática.

Esto es fácilmente comprobable cuando inspeccionamos las unidades y la memoria RAM, que se muestran de forma similar a un archivo, de forma contraria a como lo hacen otras aplicaciones, en donde estos elementos se observan como regiones que recortan los datos que deberían estar juntos.

Si lo deseas, puedes descargar HxD en forma completamente gratuita pulsando sobre este enlace.
Digital Forensics Framework
Digital Forensics Framework, también conocida como DFF, es un suite de análisis forense digital de software libre, o mejor dicho es una API construida arriba de una serie de herramientas específicas, y que por su complejidad puede ser utilizada tanto por profesionales como por usuarios con pocos conocimientos, y que nos permitirá analizar, extraer y almacenar muchos datos que nos pueden servir para evaluar el estado de una computadora.

Herramientas de informática forense

Entre estas herramientas se encuentra la posibilidad de acceder a dispositivos locales y remotos, análisis de discos y unidades extraíbles y remotos, leer diferentes formatos de datos forenses, reconstrucción de discos de máquinas virtuales,  búsqueda de metadatos, recuperación de datos y archivos ocultos y eliminados, análisis forense de memoria volátil y muchísimas otras tareas más.

Sin duda una de las herramientas más recomendables de este informa. Si lo deseas, puedes descargarla en forma gratuita pulsando sobre este enlace.

ir-rescue: una herramienta de código abierto para forense y respuesta de incidentes

 

Ir-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.
 
Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.
 
Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.
Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.
 
Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.
 
ir-rescue
ir-rescue
ir-rescue
 
https://github.com/diogo-fernan/ir-rescue

lunes, 14 de noviembre de 2016

El ataque que casi expulsa a España del sistema VISA

Un ejemplo del oscurantismo en España en cuanto a la seguridad informática nos lleva a una historia, poco conocida, que expliqué hace poco en el libro "El Quinto Elemento" sobre el ataque hacker a VISA en España que nos pudo expulsar del sistema del dinero de plástico.
 


En Estados Unidos, los ataques informáticos a empresas cotizadas tienen, por obligación legal, que ser comunicados a los usuarios. Existe una cierta obligación de transparencia. Hay que dar explicaciones, y los clientes deben saber que han sido comprometidas sus cuentas, contraseñas, tarjetas de crédito, etc.

Sin embargo, en Europ, a día de hoy, no existe esta obligación legal —aunque parece que la Comisión Europea no tardará en exigirla. Ese es uno de los motivos por los que parece que aquí no pasa nada; tal vez por eso vivimos en una especie de mundo de Yupi donde estas cosas parecen más propias de películas de ciencia ficción. Especialmente, parece que nuestros bancos sean invulnerables, mientras que, desde el otro lado del Atlántico, nos llegan frecuentes noticias de incursiones, robos, estafas, etc.

Aunque en Europa estos ataques se suelen ocultar, y hoy en día se esconden principalmente para no poner en riesgo la reputación y para evitar la fuga de clientes, eso no quiere decir que no ocurran y, sobre todo, que no tengan consecuencias.

Todos tenemos una tarjeta tipo VISA o Mastercard en el bolsillo. Lo que el ciudadano de a pie no sabe es que el cambio que tuvo lugar hace pocos años, deprisa y corriendo, del «plástico» que lleva en su cartera por otro se debió a un severo ataque informático que recibieron las redes de nuestro país, y que, por supuesto, no trascendió.

Una directiva europea obligaba a este cambio antes del fin de 2011. Las tarjetas con chip incorporado eran mucho más seguras. De hecho, el fraude con las anteriores, de banda magnética, empezaba a ser cotidiano. Para duplicarlas bastaba un lector que leyera y clonara la banda magnética y una cámara colocada en un cajero, por ejemplo, que grabara el pin del usuario. Pero, pese a la directiva europea, los distintos operadores no se ponían de acuerdo sobre el estándar a emplear. Y así pasaban los meses.

Entonces ocurrió lo inesperado. Comenzó una serie de extraños ataques informáticos muy sofisticados, ya que actuaban sobre una norma que hasta la fecha se creía segura, la norma X.25. Estos ataques no eran cosa de cuatro o cinco chavales probando cosas, así que se alertó de inmediato a las fuerzas y cuerpos de seguridad del Estado. Se trataba de un asunto económico de vital importancia. Se estaban comprometiendo cientos de miles de tarjetas de crédito que estaban siendo robadas de forma inexplicable y muy sofisticada. Y nadie sabía cómo ni por dónde.

Por sí sola, la policía no tenía capacidad para detener estos ataques ni para identificar cómo estaban produciéndose, de modo que solicitó la ayuda de empresas especializadas. Una de ellas fue la que descubrió lo que hasta entonces no era explicable. Que los ataques ocurrían bajo la citada norma X.25.

Este hecho, y los cientos de miles, tal vez millones, de tarjetas de crédito comprometidas en España aceleraron lo que hasta la fecha se tomaba con calma. Muy posiblemente, tu tarjeta y la mía también estaban entre ellas. Para no crear alarma social, aquello se llevó con enorme discreción, y hasta la fecha jamás había trascendido.

La inmediata consecuencia fue el urgente cambio del "plástico" que llevábamos en el bolsillo todos los españoles por otro más seguro, con chip. Como siempre tarde pero deprisa y corriendo. ¿Más seguro hasta cuándo? Bueno, esperemos que dure unos años, pero lo que es inexpugnable hoy dejará de serlo poco a poco, a medida que la tecnología avance, y habrá que cambiarlo de nuevo.

La pregunta puede ser ¿quién realizó estos ataques y logró robar una cantidad muy relevante de tarjetas de crédito de españoles? La respuesta obvia es pensar en mafias, delincuencia común, etc. Sin embargo, años después, dos personas que habían trabajado en esta operación se encontraron casualmente.

Una de ellas era uno de los policías que había trabajado en la detección de la fuga de información. La otra era uno de los empleados de la firma de seguridad que había detectado que el ataque de la norma X.25, hasta ese momento inexpugnable. Al coincidir, recordaron el tema y quisieron tomar un café aparte del grupo con el que se encontraban. Con el tiempo, a ambos les había quedado un poso raro de todo aquello y querían compartirlo: He pensado mucho… Y cuanto más lo pienso, por más que pasa el tiempo, menos me cuadra… ¿Nos utilizaron?", dijo uno de ellos.

Y es que nunca se descubrió a los culpables. Esa sospecha que tanto el policía como el informático habían compartido sin saberlo a lo largo del tiempo se formulaba en un interrogante: ¿acaso un ataque tan complejo y sofisticado no podría estar destinado a "meter miedo" para provocar el cambio al nuevo sistema con chip lo antes posible? La situación estaba estancada, ya que los diferentes operadores no se ponían de acuerdo en el sistema a utilizar, mucho dinero estaba en juego con el cambio de todos los "plásticos".

Cuando se comete un delito, una norma policial básica es pensar siempre en el beneficiario de todo como sospechoso. En este caso, varias empresas se beneficiaron con contratos de millones de euros. El policía y el hacker no asegurarán que dichas empresas estuvieran implicadas, pero, sin ningún tipo de duda, en ese café ambos reconocieron estar pensando lo mismo. Su sensación era clara. Aquello no cuadraba. ¡Habían sido utilizados!

Fuente: Mercado2

El FBI opera(ba) 23 sitios de TOR para investigar sitios de pornografía infantil

En 2015 investigadores federales dieron de baja un servicio oculto TOR conocido como Playpen. En su momento la agencia dijo que utilizaba una "Network Investigative Technique" (NIT) para atrapar a los usuarios del sitio.
Sin embargo, según un nuevo documentos obtenido recientemente por la Unión Americana de libertades civiles, el FBI no sólo temporalmente asumió el control del sitio web de pornografía para investigarlo, sino que la organización estaba investigando otros 23 sitios web.
En el curso normal de la operación de un sitio web, un usuario envía una "solicitud de datos" par acceder al sitio. Como los sitios funcionaban en un centro de gobierno, esto permitiría recogee dichos datos y asociarlos a acciones de los usuarios de cualquiera de los 23 sitios web investigados. Los datos de la solicitud pueden ser asociados con datos recopilados por el NIT pero esta recolección de información no es una función del NIT.

Fred Jennings, un abogado de delitos cibernéticos, dijo a que "definitivamente no hay otra manera de leer los datos de las 23 web que no sea alojarlas en un centro de gobierno, con conocimiento del FBI y beneficio informativo para el FBI".

La investigadora de seguridad Sarah Jamie Lewis dijo que "es una suposición bastante razonable pensar que en un momento el FBI estaba controlando aproximadamente la mitad de los sitios web de pornografía infantil alojados en servidores ocultos de Tor".
Desde abril de 2016, Lewis ejecutó OnionScan, un bot de análisis darknets ocultos en Tor y en su investigación demuestra que a partir de agosto de 2016, hubo 29 sitios relacionados con porno infantil ocultos en Tor. "No sabemos si el FBI controla algunos de ellos pero es una suposición razonable, no creo que el FBI esté haciendo su trabajo si no fuese así".

Muchos expertos en seguridad han bautizado a NIT como malware porque utiliza exploits de Tor para forzar al explorador a devolver la dirección IP real del usuario, el sistema operativo, la dirección MAC y otros datos. Como parte de la operación Playpen, el FBI fue capaz de identificar y detener a los casi 200 sospechosos. Sin embargo, casi 1.000 direcciones IP fueron reveladas como consecuencia de NIT, lo que podría llevar a presentar más cargos.

En el caso de Playpen, el despliegue de NIT fue firmado por un magistrado de Virginia, y fue utilizado para encontrar usuarios tanto en los Estados Unidos como en el extranjero. "Website 1-23" fueron firmados por otro juez en Maryland.

Según la normativa actual de la jurisprudencia federal, conocida como regla 41, solamente los jueces federales más altos, conocidos como jueces de distrito, tienen la autoridad para emitir órdenes de su distrito. Sin embargo, un cambio en esta regla que tendrá efecto en 01 de diciembre de 2016 ampliará este poder a los jueces del magistrado, sin acción del Congreso.

Fuente: Ars Technica

sábado, 5 de noviembre de 2016

Webinar: OnionScan-Investigando la DeepWeb.

onionscan

La nueva amenaza AtomBombing pondrá en jaque a los equipos Windows

Fue un investigador el encargado de revelar esta nueva forma de inyección de código. Conocida como AtomBombing, varios expertos en seguridad han sido los encargados de confirmar que todas las versiones de Windows (incluida la última) están afectadas por esta vulnerabilidad. Por el momento no existe una solución, pero sí que han ofrecido algunos detalles sobre esta nueva amenaza.

Las soluciones de seguridad existentes en el mercado no son capaces por el momento de detectar la presencia de la amenaza. Se espera que durante la próxima semana muchas de ellas se actualicen para que esto sea posible.

Con respecto a la forma de infectar los equipos, hay que decir que sobre el papel no dista mucho de lo visto hasta el momento: un malware llega al sistema Windows y replica parte o la totalidad de su código en procesos legítimo, evitando que el propio sistema operativo o las herramientas de seguridad puedan detectar su actividad. Es decir, se trata de un código parásito que se basta de los permisos que el sistema ha otorgado a otro proceso para desempeñar sus tareas.

Sin embargo, en esta ocasión la amenaza también hace uso de unas tablas proporcionadas por el propio sistema operativo en las que permite a las aplicaciones almacenar información y compartir la misma con otras. No se trata de un ataque muy común, de ahí la novedad temporalmente, pillando en fuera de juego a la mayoría de herramientas de seguridad existentes en la actualidad.

513685870

 

No existe previsión de un parche que solvente el AtomBombing

Por el momento desde Windows no han emitido ningún tipo de información al respecto, pero es de esperar que la vulnerabilidad no sea solucionada. Aunque haga saltar las alarmas, hay que decir que no es crítica, ya que en primer lugar se necesita que la amenaza se ejecutada en el equipo, algo que no es descabellado en estos momentos ya que muchos malware consiguen que se realice. Los ciberdelincuentes cuentan en su contra con la actualización de los antivirus, que se realizará en la próximas semanas.

Entonces, ¿qué puedo hacer para proteger mi equipo?

Una vez se actualice la herramienta de seguridad instalada y sea capaz de detectar la alteración del contenido de estas tablas no hay de qué temer. Sí que es verdad que mientras esto pasa sería conveniente extremar las precauciones a la hora de descargar archivos de Internet, no ejecutando aquellos que procedan de orígenes sospechosos.

Fuente: http://www.redeszone.net

OnionScan: Conoce esta herramienta gratuita para investigar y analizar la Dark Web

OnionScan es una herramienta completamente gratuita y de código abierto que nos permite investigar y analizar la Dark Web, o también conocida como web oscura. Según los desarrolladores de OnionScan, la mayoría de las fugas de seguridad operativas o errores de configuración de software, es por culpa del propio usuario, no de la tecnología en sí. Cuando se rompen los sistemas de anonimato, en la mayoría de ocasiones no es por atacar a los sistemas subyacentes en el software, sino por nosotros mismos. Por este motivo, los objetivos de OnionScan son los siguientes: Ayudar a los responsables de servicios que proporcionan privacidad y anonimato, para solucionar los problemas operativos de dichos servicios que prestan. OnionScan ayuda a detectar configuraciones erróneas o débiles, e inspirar una nueva generación de proyectos por y para el anonimato, de esta forma, se ayudará a hacer de Internet un lugar más privado. En segundo lugar, esta herramienta pretende ayudar a los investigadores a monitorizar y rastrear diferentes sitios de la Dark Web, de hecho, quieren hacer que esta tarea sea fácil y rápida. Según los desarrolladores, facilitar este tipo de investigaciones hará que pronto se pueda crear una nueva tecnología de anonimato en Internet.

Dependencias que tenemos que instalar para ejecutar OnionScan

OnionScan está escrito en lenguaje Go, junto a la herramienta no se proporcionan las dependencias que necesita para funcionar correctamente, las deberemos instalar nosotros mismos.

El listado de dependencias es el siguiente:

El proxy SOCKS para la conexión a Tor: golang.org/x/net/proxy

PGP: golang.org/x/net/crypto

HTML: golang.org/x/net/html

EXIF: github.com/rwcarlsen/goexif

Base de datos: github.com/HouzuoGuo/tiedot/db

El aspecto visual de OnionScan es el siguiente:

correlation-lab-main

Cuando escaneamos un determinado objetivo, nos saldrá una gran cantidad de información sobre él:

correlation-summary

OnionScan nos permite escanear sitios web, es capaz de detectar el servidor web y comprobar si tienen alguna configuración que debilite su anonimato, también nos permite comprobar si tiene directorios abiertos con archivos temporales, imágenes etc. Otras características de OnionScan es que nos permite extraer información adicional a través de EXIF, sacar el Fingerprint del servidor (cabecera, tecnología empleada, fingerprints de imágenes etc.), tambiéne s capaz de extraer identidades PGP, de servidores SSH (versión de software y fingerprint de la clave pública), de servidores FTP y SMTP y mucho más.

Les recomendamos visitar el proyecto OnionScan en su página de GitHub, aquí encontrarán todo lo necesario para poner en marcha el software para analizar la Dark Web. En el twitter oficial del proyecto tienen las noticias más relevantes sobre esta herramienta, como por ejemplo avisos de actualización. -

 

FUENTE: http://www.redeszone.net/2016/11/05/onionscan-conoce-esta-herramienta-gratuita-investigar-analizar-la-dark-web/#sthash.TaxzAzkM.dpuf

viernes, 4 de noviembre de 2016

La botnet de Mirai deja sin Internet a un país entero: Libería

Hace dos semanas, un ataque DDoS contra Dyn —un importante proveedor de DNS— tumbó el acceso a innumerables páginas web en Estados Unidos. Esta semana se han producido varios ataques similares que han conseguido dejar sin Internet a un país entero


Al igual que el de Dyn, estos ataques se realizaron mediante Mirai, un malware capaz de coordinar millones de dispositivos de escasa seguridad, como ciertas cámaras IP, para lanzar un ataque de denegación de servicio contra cualquier objetivo. En este caso, una red conocida como Botnet #14 envió una oleada de ataques a Liberia, un pequeño país africano.
Hace dos semanas, un grupo de piratas informáticos lanzaron un ataque DDoS contra DynDNS, uno de los principales proveedores DNS, que terminó dejando sin servicio a media Internet y, con ella, a gigantes como Twitter y WhatsApp. En este ataque participaron más de 100.000 dispositivos infectados por el malware Mirai, los cuales ahora forman parte de una botnet controlada por estos piratas informáticos y que, según parece, vuelve a estar operativa.

Un experto de seguridad ha detectado cómo en las últimas horas, esta botnet estaba volviendo a llevar a cabo un ataque DDoS, aunque no a una escala tan grande como el de hace dos semanas, contra el proveedor de Internet “Lonestar Cell MTN“, el proveedor encargado de ofrecer acceso a Internet a Liberia, un país africano, gracias a un cable submarino.

Los ataques, dirigidos a dos compañías telefónicas, dejaron prácticamente sin conexión al país entero. No era muy difícil, teniendo en cuenta que Liberia está conectada a Internet por un único cable de fibra submarino y que solo el 6% de sus habitantes cuenta con acceso a la red. Es un país vulnerable a este tipo de ataques, como otros de la costa oeste de África.
En esta ocasión, el ataque informático “solo” ha tenido un ancho de banda de 500Gbps, sin embargo, ha sido capaz de dejar sin servicio a todo el país. Esto se debe a que el cable submarino que une Francia con el sur de África a través de toca la costa oeste del continente, tiene una distancia de más de 17.000 kilómetros y brinda servicio a Portugal y a más de 23 países de África con un ancho de banda compartido de tan solo 5 Tbps.
Un ataque DDoS de 500Gbps en un punto tan alejado como es Liberia ha sido más que suficiente para dejar sin Internet a todo el país y, además, también ha generado problemas de conexión en otros países unidos por este cable submarino.
Por el momento, la única amenaza de ataque informático que está vigente es que un grupo de piratas informáticos quiere dejar sin servicio a PlayStation Network y Xbox Live las próximas navidades, sin embargo, no hay ninguna amenaza de cara a un ataque DDoS masivo como el ya visto por Mirai, aunque también es verdad que el ataque de hace dos semanas pilló por sorpresa a los investigadores. Sea como sea, podemos seguir en tiempo real los ataques de la botnet Mirai desde la siguiente cuenta de Twitter con el fin de poder conocer posibles ataques.
Los expertos de seguridad creen que un futuro no muy lejano los ataques DDoS podrían alcanzar anchos de banda superiores a los 10 Tbps. Un ancho de banda tan elevado podría ser capaz de dejar sin Internet a prácticamente cualquier país del mundo, por lo que es de vital importancia promocionar la seguridad de los dispositivos IoT y, sobre todo, investigar formas de mitigar estos ataques.
Según
ZDNet, el volumen de tráfico (de más de 500 Gbps) sugiere que los ataques fueron perpetrados por el mismo actor que atacó a Dyn. No está claro por qué eligió Liberia, pero parece una prueba. Aun así, que un país entero pueda quedarse sin Internet a voluntad de unos hackers dice mucho sobre el futuro tenebroso que nos espera a partir de ahora. Es, en definitiva, un adelanto de la ciberguerra del futuro. [ZDNet]

Comprueba si tus dispositivos expuestos a internet son vulnerables

Todos los dispositivos que se conectan a Internet forman el concepto del "Internet de las Cosas", Internet of Things o IoT, Internet de los objetos (IO) o de las Cosas (IoT)
Los más populares de estos equipos vulnerables incluyen:
  • Teléfonos VoIP
  • Impresoras conectadas
  • Sistemas de videoconferencia inteligentes 
  • Las cámaras digitales
  • Los sistemas de videoconferencia
  • Las grabadoras de DVD
  • Otros dispositivos conectados a Internet.
Shodan es una plataforma que monitoriza todos los servidores y dispositivos conectados a Internet y que nos permite recopilar datos sobre estos dispositivos con el fin de auditar su seguridad o llevar a cabo ataques informáticos contra ellos, según lo que busque cada usuario
Fuentes:
http://www.redeszone.net/2016/11/04/vuelven-utilizar-la-botnet-mirai-dejar-sin-internet-pais-entero/
http://es.gizmodo.com/tras-el-ataque-a-dyn-una-botnet-de-mirai-ha-dejado-sin-1788555852

El modelo de negocio del cibercrimen y su cadena de valor

 

El panorama de seguridad ha evolucionado a un ambiente donde gran parte de las amenazas informáticas se desarrollan con el propósito de generar ganancias económicas para sus creadores o financiadores. A partir de esta premisa, distintas modalidades de ataques o amenazas han proliferado y evolucionado para afectar a una mayor cantidad de usuarios u organizaciones.
los creadores de amenazas extienden su portafolio hacia un mercado que demanda este tipo de servicios
 
El “modelo de negocio” de la ciberdelincuencia se basa en la creación de una cadena de valor, ofreciendo incluso nuevas modalidades, por ejemplo el cibercrimen como servicio (cybercrime-as-a-service), es decir, la práctica de facilitar actividades ilegales a través de servicios. En otras palabras, cualquier persona podría adquirir todo lo necesario para organizar fraudes o ataques cibernéticos, independientemente de sus habilidades o conocimientos técnicos.

Servicios del cibercrimen al mejor postor

El modelo de venta de servicios representa la evolución natural de la oferta en un mercado que responde a una demanda en constante crecimiento. Esto significa que los desarrolladores de amenazas informáticas, además de obtener beneficios económicos a través de monetizar información robada o secuestrar datos, han comenzado a extender su portafolio, sus actividades y sus operaciones, hacia un mercado que demanda este tipo de servicios, ya sea para afectar empresas, industrias, usuarios, o bien, gobiernos.
  • Fraud as a Service (FaaS)
En el ámbito del cibercrimen, una de las industrias más afectadas por los fraudes es la banca. Una cantidad importante de amenazas de la era digital se ha desarrollado para generar pérdidas a los usuarios, principalmente del sistema de tarjetas de crédito y débito, aunque el fraude no se limita a únicamente a esta opción de transacciones.
Del mismo modo, la variedad de amenazas va desde el robo de tarjetas, el skimming y la Ingeniería Social hasta ataques de phishing, malware como PoS (Point of Sale) o troyanos bancarios, todos con el propósito de obtener información bancaria. En este contexto, el fraude como servicio se puede ofrecer desde la venta de herramientas para llevar a cabo skimming, hasta códigos maliciosos especialmente desarrollados para el robo de información financiera, tal como Zeus.
  • Malware as a Service (MaaS)
Por otro lado, desde algunos años los códigos maliciosos han comenzado a ser ofrecidos como un servicio, desarrollados para actividades epecíficas y de manera paralela con kits de explotación. Una vez que se infiltran en sistemas a partir de vulnerabilidades, pueden introducir malware para robar información y contraseñas, espiar las actividades de los usuarios y enviar spam, así como acceder y controlar de manera remota los equipos infectados a través de una infraestructura completa de Comando y Control (C&C).
Este mismo principio ha sido utilizado para comenzar a propagar ransomware, es decir, códigos maliciosos enfocados en secuestrar archivos o sistemas y solicitar un pago como rescate, llevando a un nuevo nivel el principio de la extorsión aplicada al ámbito digital. Kits de exploits o botnets como Betabot han comenzado a diversificar sus actividades maliciosas.
  • Ransomware as a Service (RaaS)
La idea principal del ransomware como servicio se centra en el hecho de que los desarrolladores de esta amenaza no son los encargados de propagarla, su función se limita al desarrollo de herramientas capaces de generar este tipo de malware de forma automática. De esta manera, otro grupo de personas se encarga de crearlo a partir de estas herramientas y propagarlo, independientemente de sus habilidades o conocimientos técnicos.
En este modelo de negocio, tanto los desarrolladores de las herramientas para la generación de ransomware como los encargados de esparcirlo obtienen ganancias económicas, en una relación “win-win”. Un ejemplo conocido de ransomware como servicio lo encontramos en Tox.
  • Attacks as a Service (AaaS)
En el mismo contexto, los ataques pueden ser ofrecidos como servicios. Por ejemplo, distintos ataques como denegaciones de servicio distribuidas (DDoS) pueden ser el resultado de un amplio número de equipos infectados pertenecientes a una botnet que son ofrecidos y alquilados para llevar a cabo este tipo de ataques. Además, pueden ser utilizados para propagar más códigos malicisos, enviar correos no deseados de manera masiva, o incluso ser utilizados para minar bitcoins.

El desarrollo del cibercrimen y los paradigmas de ciberseguridad

cibercrimen
 
Como se observa, se trata de todo un conjunto de amenazas informáticas que pueden interactuar para ofrecer nuevas posibilidades a la industria del cibercrimen, mismos que se encuentran disponibles para cualquier persona que cuente con los recursos suficientes para adquirirlos.
 
En el ámbito de la ciberseguridad, es importante recalcar que las nuevas condiciones que han venido evolucionando en los últimos años enfrentan a dos partes: los encargados de la protección de los activos más importantes en las organizaciones, frente a grupos especializados y organizados que invierten recursos como tiempo y dinero para desarrollar estos servicios de cibercrimen, en un mercado que los sigue requiriendo.
 
En este contexto, la gestión de la seguridad de la información ha pasado de pensar si la organización puede o no ser afectada, hacia un enfoque en el cual se da por hecho que la organización será atacada, solo es cuestión de tiempo para que eso suceda. Por ello, desde esta perspectiva las medidas de protección pueden resultar proactivas, es decir, idear escenarios realistas en los cuales la información u otros activos críticos pueden ser afectados, por lo que los procesos e información deben ser protegidos a través de un enfoque holístico.
 
Lo anterior también conlleva al desarrollo de estrategias de seguridad defensivas, ofensivas, reactivas y proactivas, para intentar evitar o remediar incidentes de seguridad, reduciendo los riesgos hasta un nivel aceptable, de acuerdo con la aversión o propensión al riesgo de cada organización. Además, el enfoque entiende la seguridad como un proceso transversal a las actividades esenciales del negocio y que debe ser mejorado de manera permanente.
 
FUENTE: welivesecurity