viernes, 25 de noviembre de 2016

Herramienta para escanear metadatos y agruparlos en una nube de tags.

 

Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…


Los metadatos pueden tener varias aplicaciones como:


  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos. 
  • En ataques a sistemas o servidores web: A través de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta. 


Con la herramienta SCAN un gestor de contenido semánticos que permite escanear metadatos y agruparlos en una nube de tags. Combina las funciones de: búsqueda, análisis de textos, tagging y metadatos, para proporcionar una eficiente gestión de documentos personales. SCAN fue desarrollado para solventar problemas de organización del contenido personal y dar facilidades a la hora de hacer búsquedas en casos de sobrecarga de información. Pero sus posibilidades son muy amplias tanto para análisis forenses como para auditorias de metadatos.

Entre las características de SCAN destacan:


  • Elimina los límites puestos por diferentes sistemas de almacenamiento. Los flujos de información de diferentes fuentes de búsqueda se agregan en un solo espacio semántico, explorable donde los: archivos, páginas web, correos electrónicos y otros elementos de contenido son igualmente documentos organizados por sus propiedades semánticas naturales, más que por su ubicación física. 
  • Un marco de metadatos unificado para: describir, clasificar y realizar anotaciones en los documentos. 
  • Permite hacer tagging, una forma más sencilla e intuitiva de organizar el contenido. Es posible etiquetar cualquier documento con los tags y navegar por la "nube de tags". 
  • Potente motor de búsqueda de texto y  metadatos. 
  • Es un software de código abierto, disponible de forma gratuita. 
  • Multiplataforma, independiente del sistema operativo y hardware del equipo. 
  • Está diseñado como un marco flexible fácilmente configurable para las necesidades específicas del usuario. Es extensible gracias a la integración de plugins, para nuevas ubicaciones y formatos de documentos. 


Su motor de busqueda permiten agregar contenido de diferentes fuentes: carpetas locales, sindicación web, buzones de correo, marcadores del.icio.us y posiblemente otras ubicaciones que estén disponibles en los plugins. Un usuario sólo necesita una ubicación y la aplicación encontrara y agregara todos los documentos. A partir de ahí, las ubicaciones de los documentos agregados serán supervisadas para ver los cambios (nuevos documentos, modificados o eliminados) para mantenerlas monitorizadas hasta la fecha, y guardadas en un repositorio. El repositorio de documentos puede llevar registros de miles de documentos independientemente de su formato original. Un gran número de formatos de documentos populares es compatible de forma nativa, o bien a través de los plugins, incluyendo formatos como: HTML, PDF, OpenOffice, MS Office y mensajes de correo electrónico.

SCAN ofrece un rico conjunto de propiedades de metadatos asociados a los documentos, incluyendo: el título del documento, descripción, anotaciones, autor, fecha de creación y otros. Las propiedades se establecen automáticamente en el documento y se pueden añadir y editar rápidamente después. Las propiedades de los metadatos se pueden utilizar en las consultas de búsqueda para encontrar los documentos que coincidan con los criterios especificados. Además, algunas propiedades (autor, trayectoria, fecha e idioma) sirven como tags de navegación para recorrer los documentos. La colección de documentos está estructurado con un sistema de tags, similar a los servicios como del.icio.us o Flickr. Los tags son palabras clave que identifican documentos para una navegación rápida. Todas los tags juntos forman una taxonomía que representa la semántica del repositorio de documentos. La taxonomía se puede ver como una "nube de tags" para navegar por el repositorio de documentos.

SCAN tiene un potente motor para la minería y análisis de textos para descubrir la semántica de documentos y extraer los conceptos básicos del contenido. El análisis de texto simplifica enormemente el proceso de tagging. Ayuda a un usuario a recoger los términos más relevantes que identifican un documento y transferirlo como tags. Esto hace que el tagging manual de documentos sea tan simple como seleccionar los tags de los candidatos propuestos. Además, un usuario puede confiar el proceso de tagging al sistema, por lo que los documentos se pueden etiquetar de forma automática con los términos pertinentes.

Más información y descarga de SCAN:
http://scan.sourceforge.net/

Conjunto de herramientas de análisis forense avanzado de memoria RAM.

 

Volatility es una colección de herramientas para extracción de pruebas digitales de muestras de memoria volátil (RAM), implementado en Python bajo la Licencia Pública General GNU. Las técnicas de extracción se realizan completamente independientes del sistema que se está investigando, pero ofrecen visibilidad del estado en tiempo de ejecución del sistema. Volatility tiene por objeto poder realizar técnicas  asociadas con la extracción de pruebas digitales a partir de muestras de memoria volátil y proporcionar una plataforma de referencia para esta excitante área de investigación. Al estar escrita en Python es completamente multiplaforma.
Volatility no proporciona ninguna herramienta para la adquisición de muestras de memoria. Para dicha tarea, hay herramientas tanto de software libre como comerciales que hacen esta función. Soporta una variedad de formatos de archivo y la capacidad de convertir entre estos formatos:
 
figure-9_reference
  • Raw linear sample (dd)
  • Hibernation.
  • Crash dump.
  • VirtualBox ELF64.
  • Archivos de estado y de snapshot de Vmware.
  • Formato EWF(E01)
  • LiME (Linux Memory Extractor).
  • Mach-O.
  • QEMU.
  • Firewire .
  • HPAK (FDPro).
Puede analizar las imágenes de memoria RAM de los siguientes sistemas operativos:
Windows:
  • 32-bit Windows XP Service Pack 2 y 3.
  • 32-bit Windows 2003 Server Service Pack 0, 1 y 2.
  • 32-bit Windows Vista Service Pack 0, 1 y 2.
  • 32-bit Windows 2008 Server Service Pack 1 y 2.
  • 32-bit Windows 7 Service Pack 0 y 1.
  • 32-bit Windows 8, 8.1, y 8.1 actualización 1.
  • 32-bit Windows 10.
  • 64-bit Windows XP Service Pack 1 y 2.
  • 64-bit Windows 2003 Server Service Pack 1 y 2.
  • 64-bit Windows Vista Service Pack 0, 1 y 2.
  • 64-bit Windows 2008 Server Service Pack 1 y 2.
  • 64-bit Windows 2008 R2 Server Service Pack 0 y 1.
  • 64-bit Windows 7 Service Pack 0 y 1.
  • 64-bit Windows 8, 8.1, y 8.1 actualización 1.
  • 64-bit Windows Server 2012 y 2012 R2.
  • 64-bit Windows 10.
Linux:
  • 32-bit kernels Linux 2.6.11 hasta el 4.2.3.
  • 64-bit kernels Linux 2.6.11 hasta el 4.2.3.
  • Distribuciones: OpenSuSE, Ubuntu, Debian, CentOS, Fedora y Mandriva.
Mac OSX:
  • 32-bit 10.5.x Leopard.
  • 32-bit 10.6.x Snow Leopard.
  • 64-bit 10.6.x Snow Leopard.
  • 32-bit 10.7.x Lion.
  • 64-bit 10.7.x Lion.
  • 64-bit 10.8.x Mountain Lion.
  • 64-bit 10.9.x Mavericks.
  • 64-bit 10.10.x Yosemite.
  • 64-bit 10.11.x El Capitan.
Posee una gran cantidad de plugins para realizar diferentes tareas de análisis forense, en diferentes sistemas operativos entre los que se encuentran:
Windows:
  • Ver información AmCache del registro  (amcache).
  • Volcar archivos de registro en disco (dumpregistry).
  • Detectar estructuras de registro de servicio ocultas (servicediff).
  • Ver el tiempo de apagado desde el registro (shutdowntime).
  • Agregar opciones a yarascan para analizar el proceso y la memoria del núcleo a la vez.
  • Identifica los flujos de datos alternativos NTFS (Mftparser).
  • Permite comprobar las políticas de auditoría (auditpol).
  • Extraer archivos almacenados en caché (exe/pdf/doc/etc).
  • Extraer claves privadas, claves públicas de SSL y certificados.
Mac OS X:
  • Ver y extraer datos de intercambio comprimido (mac_compressed_swap).
  • Detectar automáticamente los perfiles de Mac OS X (mac_get_profile).
  • Reportar los alcances y oyentes de Kauth (mac_list_kauth_scopes | listeners)
  • Identificar aplicaciones con sockets promiscuos (mac_list_raw).
  • Encontrar subprocesos ocultos (mac_orphan_threads).
  • Ver variables de entorno de proceso (mac_psenv).
Linux:
  • Ver variables de entorno dinámico de Linux (linux_dynamic_env).
  • Ver el directorio de trabajo actual de los procesos (linux_getcwd).
  • Ver estructuras de conexión de red (linux_netscan).
  • Manejo de las regiones de memoria Linux de mprotect ().
  • Recupera el historial de bash (linux_bash).
  • Muestra la lista los sockets abiertos (linux_netstat).
  • Muestra los procesos junto con la línea de comandos completa y la hora de inicio (linux_psaux).
  • Recopila procesos junto con sus variables de entorno estático (linux_psenv).
Fuente:http://www.gurudelainformatica.es/

viernes, 18 de noviembre de 2016

Herramientas de informática forense

 

Lo más probable cuando nos hablan de herramientas de informática forense, es pensar en profesionales ataviados con guardapolvos y guantes blancos, inspeccionando una computadora para lograr obtener esos datos que significarán resolver un caso. Sin embargo, y a pesar de que en ciertos ámbitos esta imagen sea real, lo cierto es que este tipo de software está disponible para cualquier tipo de usuario, tenga el nivel de conocimientos que tenga.


Este software de análisis informático forense puede ser un aliado indispensable para cuando ocurren fallas en la computadora y queremos saber la verdadera razón, o en un caso más extremo, intentar recuperar información perdida o borrada por completo por accidente. En este artículo encontraremos las que a nuestro entender son los mejores programas forenses informáticos, además son gratuitos y sencillos de usar.

Herramientas de informática forense

PlainSlight
La primera de estas herramientas es PlainSlight, y sin dudas su mejor característica es la facilidad de uso. Mediante PlainSlight estaremos en condiciones de conocer unos cuantos secretos de nuestra computadora, incluyendo información acerca de los discos duros, dispositivos USB y los usuarios registrados, ente muchos otros datos.

Pero además la aplicación nos permite recuperar archivos y carpetas borrados, aunque tengan atributos de ocultos, consultar el historial de Internet y examinar la configuración del firewall de Windows, entre otras.

Herramientas de informática forense

Pero lo mejor de todo es que se trata de una herramienta muy sencilla de usar, por lo que podrán aprovecharlo todo tipo de usuarios, aunque no tengan conocimientos profundos en informática, gracias a su sistema de información de comandos mediante etiquetas.

Si lo deseas, puedes descargar PlainSlight en forma gratuita, pulsando sobre este enlace.
Bulk Extractor
Bulk Extractor es una herramienta informática forense que es capaz de analizar una imagen de disco, un archivo o un directorio de archivos y extraer la información útil sin necesidad de analizar las estructuras del sistema de archivos.
Los resultados que se obtienen de estos análisis luego pueden ser fácilmente inspeccionados o procesados con otras herramientas especializadas. Otra de las grandes ventajas de ignorar para el análisis los sistemas de archivos es que este software se puede utilizar para procesar cualquier medio digital, incluyendo discos duros, medios de almacenamiento SSD, medios ópticos, tarjetas de memoria como las utilizadas en cámaras y smartphones, registros de paquetes de red y muchos otros tipos de información digital.

Herramientas de informática forense

Si bien no es una herramienta que se destaca por su facilidad de uso, lo cierto es que la minuciosidad y velocidad con que se hacen los análisis de los medios de almacenamiento es más que suficiente para convertirla en una de nuestras herramientas principales.

Si lo deseas, puedes descargar Bulk Extractor en forma gratuita pulsando sobre este enlace.

P2 eXplorer
Básicamente, P2 Explorer es un programa que nos permite montar imágenes de discos Encase (E01), Forensic Replicator (PFR), SafeBack 1, 2, & 3, SMART, FTK DD & E01, Raw DD, WinImage, Paraben's Forensic Containers (P2S), vmWare, VirtualPC, y VirtualBox (VDI).

Para utilizar estas herramienta, lo único que tenemos que hacer es montar la imagen de disco que queremos analizar en cualquiera de las letras de unidad disponibles en nuestra computadora y luego abrir el explorador de archivos.

Debido a que se trata de una imagen de disco, la misma se montará con atributos de “Sólo lectura”, que en pocas palabras significa que podremos ver el contenido del disco, pero no modificarlo en modo alguno, lo que en cierto modo nos garantiza que todo seguirá estando almacenado como en el primer momento.

Herramientas de informática forense

Cabe destacar que P2 eXplorer se encuentra disponible en dos versiones: una gratuita y la otra de pago. La versión gratuita de la misma tiene como limitación que sólo se puede ejecutar en equipos de 32 bits y la imposibilidad de montar imágenes de máquina virtual.
Aun así, P2 eXplorer es una de las mejores herramientas disponibles para cuando tenemos que analizar con minuciosidad gran cantidad de discos, ya que gracias a que todas las funciones y características para estudiar los mismos se encuentran a la mano en la interfaz del programa, que por otra parte es muy fácil de aprender y entender.

Si lo deseas, puedes descargar P2 eXplorer pulsando sobre este enlace.

HxD

Sin duda alguna, una de las mejores herramientas para la recuperación de archivos que podemos encontrar en el mercado, y además es completamente gratuita. Mediante HxD estaremos en posición de analizar el sistema de archivos completo para poder encontrar aquellos archivos que han sido borrados, tanto en forma intencional como accidental.

Una de sus mejores características se centra en la facilidad de uso, y en ello tiene mucho que ver la interfaz, muy sencilla de entender y con todas sus funciones cómodamente dispuestas.
Sin embargo, sus diseñadores no han dejado de lado la capacidad de análisis y comprobación, y para ello ofrece herramientas muy versátiles como la posibilidad de buscar y reemplazar, exportar sumas de comprobación, inserción de patrones de bytes y destructor de archivos, además de opciones para la concatenación o división de archivos, registro de estadísticas y mucho más.

Herramientas de informática forense

Con respecto a lo que podemos lograr con HxD, es realmente mucho, ya que como mencionamos es una herramienta muy flexible, pero que sin embargo ha sido simplificada de tal modo para que lo demasiado técnico o lo que no nos serviría a un nivel básico de conocimientos no nos confunda, un interesante punto de vista como para que cualquier tipo de usuario pudiera usar sus funciones sin complicarse ni tener que saber mucho de informática.

Esto es fácilmente comprobable cuando inspeccionamos las unidades y la memoria RAM, que se muestran de forma similar a un archivo, de forma contraria a como lo hacen otras aplicaciones, en donde estos elementos se observan como regiones que recortan los datos que deberían estar juntos.

Si lo deseas, puedes descargar HxD en forma completamente gratuita pulsando sobre este enlace.
Digital Forensics Framework
Digital Forensics Framework, también conocida como DFF, es un suite de análisis forense digital de software libre, o mejor dicho es una API construida arriba de una serie de herramientas específicas, y que por su complejidad puede ser utilizada tanto por profesionales como por usuarios con pocos conocimientos, y que nos permitirá analizar, extraer y almacenar muchos datos que nos pueden servir para evaluar el estado de una computadora.

Herramientas de informática forense

Entre estas herramientas se encuentra la posibilidad de acceder a dispositivos locales y remotos, análisis de discos y unidades extraíbles y remotos, leer diferentes formatos de datos forenses, reconstrucción de discos de máquinas virtuales,  búsqueda de metadatos, recuperación de datos y archivos ocultos y eliminados, análisis forense de memoria volátil y muchísimas otras tareas más.

Sin duda una de las herramientas más recomendables de este informa. Si lo deseas, puedes descargarla en forma gratuita pulsando sobre este enlace.

ir-rescue: una herramienta de código abierto para forense y respuesta de incidentes

 

Ir-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.
 
Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.
 
Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.
Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.
 
Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.
 
ir-rescue
ir-rescue
ir-rescue
 
https://github.com/diogo-fernan/ir-rescue

lunes, 14 de noviembre de 2016

El ataque que casi expulsa a España del sistema VISA

Un ejemplo del oscurantismo en España en cuanto a la seguridad informática nos lleva a una historia, poco conocida, que expliqué hace poco en el libro "El Quinto Elemento" sobre el ataque hacker a VISA en España que nos pudo expulsar del sistema del dinero de plástico.
 


En Estados Unidos, los ataques informáticos a empresas cotizadas tienen, por obligación legal, que ser comunicados a los usuarios. Existe una cierta obligación de transparencia. Hay que dar explicaciones, y los clientes deben saber que han sido comprometidas sus cuentas, contraseñas, tarjetas de crédito, etc.

Sin embargo, en Europ, a día de hoy, no existe esta obligación legal —aunque parece que la Comisión Europea no tardará en exigirla. Ese es uno de los motivos por los que parece que aquí no pasa nada; tal vez por eso vivimos en una especie de mundo de Yupi donde estas cosas parecen más propias de películas de ciencia ficción. Especialmente, parece que nuestros bancos sean invulnerables, mientras que, desde el otro lado del Atlántico, nos llegan frecuentes noticias de incursiones, robos, estafas, etc.

Aunque en Europa estos ataques se suelen ocultar, y hoy en día se esconden principalmente para no poner en riesgo la reputación y para evitar la fuga de clientes, eso no quiere decir que no ocurran y, sobre todo, que no tengan consecuencias.

Todos tenemos una tarjeta tipo VISA o Mastercard en el bolsillo. Lo que el ciudadano de a pie no sabe es que el cambio que tuvo lugar hace pocos años, deprisa y corriendo, del «plástico» que lleva en su cartera por otro se debió a un severo ataque informático que recibieron las redes de nuestro país, y que, por supuesto, no trascendió.

Una directiva europea obligaba a este cambio antes del fin de 2011. Las tarjetas con chip incorporado eran mucho más seguras. De hecho, el fraude con las anteriores, de banda magnética, empezaba a ser cotidiano. Para duplicarlas bastaba un lector que leyera y clonara la banda magnética y una cámara colocada en un cajero, por ejemplo, que grabara el pin del usuario. Pero, pese a la directiva europea, los distintos operadores no se ponían de acuerdo sobre el estándar a emplear. Y así pasaban los meses.

Entonces ocurrió lo inesperado. Comenzó una serie de extraños ataques informáticos muy sofisticados, ya que actuaban sobre una norma que hasta la fecha se creía segura, la norma X.25. Estos ataques no eran cosa de cuatro o cinco chavales probando cosas, así que se alertó de inmediato a las fuerzas y cuerpos de seguridad del Estado. Se trataba de un asunto económico de vital importancia. Se estaban comprometiendo cientos de miles de tarjetas de crédito que estaban siendo robadas de forma inexplicable y muy sofisticada. Y nadie sabía cómo ni por dónde.

Por sí sola, la policía no tenía capacidad para detener estos ataques ni para identificar cómo estaban produciéndose, de modo que solicitó la ayuda de empresas especializadas. Una de ellas fue la que descubrió lo que hasta entonces no era explicable. Que los ataques ocurrían bajo la citada norma X.25.

Este hecho, y los cientos de miles, tal vez millones, de tarjetas de crédito comprometidas en España aceleraron lo que hasta la fecha se tomaba con calma. Muy posiblemente, tu tarjeta y la mía también estaban entre ellas. Para no crear alarma social, aquello se llevó con enorme discreción, y hasta la fecha jamás había trascendido.

La inmediata consecuencia fue el urgente cambio del "plástico" que llevábamos en el bolsillo todos los españoles por otro más seguro, con chip. Como siempre tarde pero deprisa y corriendo. ¿Más seguro hasta cuándo? Bueno, esperemos que dure unos años, pero lo que es inexpugnable hoy dejará de serlo poco a poco, a medida que la tecnología avance, y habrá que cambiarlo de nuevo.

La pregunta puede ser ¿quién realizó estos ataques y logró robar una cantidad muy relevante de tarjetas de crédito de españoles? La respuesta obvia es pensar en mafias, delincuencia común, etc. Sin embargo, años después, dos personas que habían trabajado en esta operación se encontraron casualmente.

Una de ellas era uno de los policías que había trabajado en la detección de la fuga de información. La otra era uno de los empleados de la firma de seguridad que había detectado que el ataque de la norma X.25, hasta ese momento inexpugnable. Al coincidir, recordaron el tema y quisieron tomar un café aparte del grupo con el que se encontraban. Con el tiempo, a ambos les había quedado un poso raro de todo aquello y querían compartirlo: He pensado mucho… Y cuanto más lo pienso, por más que pasa el tiempo, menos me cuadra… ¿Nos utilizaron?", dijo uno de ellos.

Y es que nunca se descubrió a los culpables. Esa sospecha que tanto el policía como el informático habían compartido sin saberlo a lo largo del tiempo se formulaba en un interrogante: ¿acaso un ataque tan complejo y sofisticado no podría estar destinado a "meter miedo" para provocar el cambio al nuevo sistema con chip lo antes posible? La situación estaba estancada, ya que los diferentes operadores no se ponían de acuerdo en el sistema a utilizar, mucho dinero estaba en juego con el cambio de todos los "plásticos".

Cuando se comete un delito, una norma policial básica es pensar siempre en el beneficiario de todo como sospechoso. En este caso, varias empresas se beneficiaron con contratos de millones de euros. El policía y el hacker no asegurarán que dichas empresas estuvieran implicadas, pero, sin ningún tipo de duda, en ese café ambos reconocieron estar pensando lo mismo. Su sensación era clara. Aquello no cuadraba. ¡Habían sido utilizados!

Fuente: Mercado2

El FBI opera(ba) 23 sitios de TOR para investigar sitios de pornografía infantil

En 2015 investigadores federales dieron de baja un servicio oculto TOR conocido como Playpen. En su momento la agencia dijo que utilizaba una "Network Investigative Technique" (NIT) para atrapar a los usuarios del sitio.
Sin embargo, según un nuevo documentos obtenido recientemente por la Unión Americana de libertades civiles, el FBI no sólo temporalmente asumió el control del sitio web de pornografía para investigarlo, sino que la organización estaba investigando otros 23 sitios web.
En el curso normal de la operación de un sitio web, un usuario envía una "solicitud de datos" par acceder al sitio. Como los sitios funcionaban en un centro de gobierno, esto permitiría recogee dichos datos y asociarlos a acciones de los usuarios de cualquiera de los 23 sitios web investigados. Los datos de la solicitud pueden ser asociados con datos recopilados por el NIT pero esta recolección de información no es una función del NIT.

Fred Jennings, un abogado de delitos cibernéticos, dijo a que "definitivamente no hay otra manera de leer los datos de las 23 web que no sea alojarlas en un centro de gobierno, con conocimiento del FBI y beneficio informativo para el FBI".

La investigadora de seguridad Sarah Jamie Lewis dijo que "es una suposición bastante razonable pensar que en un momento el FBI estaba controlando aproximadamente la mitad de los sitios web de pornografía infantil alojados en servidores ocultos de Tor".
Desde abril de 2016, Lewis ejecutó OnionScan, un bot de análisis darknets ocultos en Tor y en su investigación demuestra que a partir de agosto de 2016, hubo 29 sitios relacionados con porno infantil ocultos en Tor. "No sabemos si el FBI controla algunos de ellos pero es una suposición razonable, no creo que el FBI esté haciendo su trabajo si no fuese así".

Muchos expertos en seguridad han bautizado a NIT como malware porque utiliza exploits de Tor para forzar al explorador a devolver la dirección IP real del usuario, el sistema operativo, la dirección MAC y otros datos. Como parte de la operación Playpen, el FBI fue capaz de identificar y detener a los casi 200 sospechosos. Sin embargo, casi 1.000 direcciones IP fueron reveladas como consecuencia de NIT, lo que podría llevar a presentar más cargos.

En el caso de Playpen, el despliegue de NIT fue firmado por un magistrado de Virginia, y fue utilizado para encontrar usuarios tanto en los Estados Unidos como en el extranjero. "Website 1-23" fueron firmados por otro juez en Maryland.

Según la normativa actual de la jurisprudencia federal, conocida como regla 41, solamente los jueces federales más altos, conocidos como jueces de distrito, tienen la autoridad para emitir órdenes de su distrito. Sin embargo, un cambio en esta regla que tendrá efecto en 01 de diciembre de 2016 ampliará este poder a los jueces del magistrado, sin acción del Congreso.

Fuente: Ars Technica

sábado, 5 de noviembre de 2016

Webinar: OnionScan-Investigando la DeepWeb.

onionscan

La nueva amenaza AtomBombing pondrá en jaque a los equipos Windows

Fue un investigador el encargado de revelar esta nueva forma de inyección de código. Conocida como AtomBombing, varios expertos en seguridad han sido los encargados de confirmar que todas las versiones de Windows (incluida la última) están afectadas por esta vulnerabilidad. Por el momento no existe una solución, pero sí que han ofrecido algunos detalles sobre esta nueva amenaza.

Las soluciones de seguridad existentes en el mercado no son capaces por el momento de detectar la presencia de la amenaza. Se espera que durante la próxima semana muchas de ellas se actualicen para que esto sea posible.

Con respecto a la forma de infectar los equipos, hay que decir que sobre el papel no dista mucho de lo visto hasta el momento: un malware llega al sistema Windows y replica parte o la totalidad de su código en procesos legítimo, evitando que el propio sistema operativo o las herramientas de seguridad puedan detectar su actividad. Es decir, se trata de un código parásito que se basta de los permisos que el sistema ha otorgado a otro proceso para desempeñar sus tareas.

Sin embargo, en esta ocasión la amenaza también hace uso de unas tablas proporcionadas por el propio sistema operativo en las que permite a las aplicaciones almacenar información y compartir la misma con otras. No se trata de un ataque muy común, de ahí la novedad temporalmente, pillando en fuera de juego a la mayoría de herramientas de seguridad existentes en la actualidad.

513685870

 

No existe previsión de un parche que solvente el AtomBombing

Por el momento desde Windows no han emitido ningún tipo de información al respecto, pero es de esperar que la vulnerabilidad no sea solucionada. Aunque haga saltar las alarmas, hay que decir que no es crítica, ya que en primer lugar se necesita que la amenaza se ejecutada en el equipo, algo que no es descabellado en estos momentos ya que muchos malware consiguen que se realice. Los ciberdelincuentes cuentan en su contra con la actualización de los antivirus, que se realizará en la próximas semanas.

Entonces, ¿qué puedo hacer para proteger mi equipo?

Una vez se actualice la herramienta de seguridad instalada y sea capaz de detectar la alteración del contenido de estas tablas no hay de qué temer. Sí que es verdad que mientras esto pasa sería conveniente extremar las precauciones a la hora de descargar archivos de Internet, no ejecutando aquellos que procedan de orígenes sospechosos.

Fuente: http://www.redeszone.net

OnionScan: Conoce esta herramienta gratuita para investigar y analizar la Dark Web

OnionScan es una herramienta completamente gratuita y de código abierto que nos permite investigar y analizar la Dark Web, o también conocida como web oscura. Según los desarrolladores de OnionScan, la mayoría de las fugas de seguridad operativas o errores de configuración de software, es por culpa del propio usuario, no de la tecnología en sí. Cuando se rompen los sistemas de anonimato, en la mayoría de ocasiones no es por atacar a los sistemas subyacentes en el software, sino por nosotros mismos. Por este motivo, los objetivos de OnionScan son los siguientes: Ayudar a los responsables de servicios que proporcionan privacidad y anonimato, para solucionar los problemas operativos de dichos servicios que prestan. OnionScan ayuda a detectar configuraciones erróneas o débiles, e inspirar una nueva generación de proyectos por y para el anonimato, de esta forma, se ayudará a hacer de Internet un lugar más privado. En segundo lugar, esta herramienta pretende ayudar a los investigadores a monitorizar y rastrear diferentes sitios de la Dark Web, de hecho, quieren hacer que esta tarea sea fácil y rápida. Según los desarrolladores, facilitar este tipo de investigaciones hará que pronto se pueda crear una nueva tecnología de anonimato en Internet.

Dependencias que tenemos que instalar para ejecutar OnionScan

OnionScan está escrito en lenguaje Go, junto a la herramienta no se proporcionan las dependencias que necesita para funcionar correctamente, las deberemos instalar nosotros mismos.

El listado de dependencias es el siguiente:

El proxy SOCKS para la conexión a Tor: golang.org/x/net/proxy

PGP: golang.org/x/net/crypto

HTML: golang.org/x/net/html

EXIF: github.com/rwcarlsen/goexif

Base de datos: github.com/HouzuoGuo/tiedot/db

El aspecto visual de OnionScan es el siguiente:

correlation-lab-main

Cuando escaneamos un determinado objetivo, nos saldrá una gran cantidad de información sobre él:

correlation-summary

OnionScan nos permite escanear sitios web, es capaz de detectar el servidor web y comprobar si tienen alguna configuración que debilite su anonimato, también nos permite comprobar si tiene directorios abiertos con archivos temporales, imágenes etc. Otras características de OnionScan es que nos permite extraer información adicional a través de EXIF, sacar el Fingerprint del servidor (cabecera, tecnología empleada, fingerprints de imágenes etc.), tambiéne s capaz de extraer identidades PGP, de servidores SSH (versión de software y fingerprint de la clave pública), de servidores FTP y SMTP y mucho más.

Les recomendamos visitar el proyecto OnionScan en su página de GitHub, aquí encontrarán todo lo necesario para poner en marcha el software para analizar la Dark Web. En el twitter oficial del proyecto tienen las noticias más relevantes sobre esta herramienta, como por ejemplo avisos de actualización. -

 

FUENTE: http://www.redeszone.net/2016/11/05/onionscan-conoce-esta-herramienta-gratuita-investigar-analizar-la-dark-web/#sthash.TaxzAzkM.dpuf

viernes, 4 de noviembre de 2016

La botnet de Mirai deja sin Internet a un país entero: Libería

Hace dos semanas, un ataque DDoS contra Dyn —un importante proveedor de DNS— tumbó el acceso a innumerables páginas web en Estados Unidos. Esta semana se han producido varios ataques similares que han conseguido dejar sin Internet a un país entero


Al igual que el de Dyn, estos ataques se realizaron mediante Mirai, un malware capaz de coordinar millones de dispositivos de escasa seguridad, como ciertas cámaras IP, para lanzar un ataque de denegación de servicio contra cualquier objetivo. En este caso, una red conocida como Botnet #14 envió una oleada de ataques a Liberia, un pequeño país africano.
Hace dos semanas, un grupo de piratas informáticos lanzaron un ataque DDoS contra DynDNS, uno de los principales proveedores DNS, que terminó dejando sin servicio a media Internet y, con ella, a gigantes como Twitter y WhatsApp. En este ataque participaron más de 100.000 dispositivos infectados por el malware Mirai, los cuales ahora forman parte de una botnet controlada por estos piratas informáticos y que, según parece, vuelve a estar operativa.

Un experto de seguridad ha detectado cómo en las últimas horas, esta botnet estaba volviendo a llevar a cabo un ataque DDoS, aunque no a una escala tan grande como el de hace dos semanas, contra el proveedor de Internet “Lonestar Cell MTN“, el proveedor encargado de ofrecer acceso a Internet a Liberia, un país africano, gracias a un cable submarino.

Los ataques, dirigidos a dos compañías telefónicas, dejaron prácticamente sin conexión al país entero. No era muy difícil, teniendo en cuenta que Liberia está conectada a Internet por un único cable de fibra submarino y que solo el 6% de sus habitantes cuenta con acceso a la red. Es un país vulnerable a este tipo de ataques, como otros de la costa oeste de África.
En esta ocasión, el ataque informático “solo” ha tenido un ancho de banda de 500Gbps, sin embargo, ha sido capaz de dejar sin servicio a todo el país. Esto se debe a que el cable submarino que une Francia con el sur de África a través de toca la costa oeste del continente, tiene una distancia de más de 17.000 kilómetros y brinda servicio a Portugal y a más de 23 países de África con un ancho de banda compartido de tan solo 5 Tbps.
Un ataque DDoS de 500Gbps en un punto tan alejado como es Liberia ha sido más que suficiente para dejar sin Internet a todo el país y, además, también ha generado problemas de conexión en otros países unidos por este cable submarino.
Por el momento, la única amenaza de ataque informático que está vigente es que un grupo de piratas informáticos quiere dejar sin servicio a PlayStation Network y Xbox Live las próximas navidades, sin embargo, no hay ninguna amenaza de cara a un ataque DDoS masivo como el ya visto por Mirai, aunque también es verdad que el ataque de hace dos semanas pilló por sorpresa a los investigadores. Sea como sea, podemos seguir en tiempo real los ataques de la botnet Mirai desde la siguiente cuenta de Twitter con el fin de poder conocer posibles ataques.
Los expertos de seguridad creen que un futuro no muy lejano los ataques DDoS podrían alcanzar anchos de banda superiores a los 10 Tbps. Un ancho de banda tan elevado podría ser capaz de dejar sin Internet a prácticamente cualquier país del mundo, por lo que es de vital importancia promocionar la seguridad de los dispositivos IoT y, sobre todo, investigar formas de mitigar estos ataques.
Según
ZDNet, el volumen de tráfico (de más de 500 Gbps) sugiere que los ataques fueron perpetrados por el mismo actor que atacó a Dyn. No está claro por qué eligió Liberia, pero parece una prueba. Aun así, que un país entero pueda quedarse sin Internet a voluntad de unos hackers dice mucho sobre el futuro tenebroso que nos espera a partir de ahora. Es, en definitiva, un adelanto de la ciberguerra del futuro. [ZDNet]

Comprueba si tus dispositivos expuestos a internet son vulnerables

Todos los dispositivos que se conectan a Internet forman el concepto del "Internet de las Cosas", Internet of Things o IoT, Internet de los objetos (IO) o de las Cosas (IoT)
Los más populares de estos equipos vulnerables incluyen:
  • Teléfonos VoIP
  • Impresoras conectadas
  • Sistemas de videoconferencia inteligentes 
  • Las cámaras digitales
  • Los sistemas de videoconferencia
  • Las grabadoras de DVD
  • Otros dispositivos conectados a Internet.
Shodan es una plataforma que monitoriza todos los servidores y dispositivos conectados a Internet y que nos permite recopilar datos sobre estos dispositivos con el fin de auditar su seguridad o llevar a cabo ataques informáticos contra ellos, según lo que busque cada usuario
Fuentes:
http://www.redeszone.net/2016/11/04/vuelven-utilizar-la-botnet-mirai-dejar-sin-internet-pais-entero/
http://es.gizmodo.com/tras-el-ataque-a-dyn-una-botnet-de-mirai-ha-dejado-sin-1788555852

El modelo de negocio del cibercrimen y su cadena de valor

 

El panorama de seguridad ha evolucionado a un ambiente donde gran parte de las amenazas informáticas se desarrollan con el propósito de generar ganancias económicas para sus creadores o financiadores. A partir de esta premisa, distintas modalidades de ataques o amenazas han proliferado y evolucionado para afectar a una mayor cantidad de usuarios u organizaciones.
los creadores de amenazas extienden su portafolio hacia un mercado que demanda este tipo de servicios
 
El “modelo de negocio” de la ciberdelincuencia se basa en la creación de una cadena de valor, ofreciendo incluso nuevas modalidades, por ejemplo el cibercrimen como servicio (cybercrime-as-a-service), es decir, la práctica de facilitar actividades ilegales a través de servicios. En otras palabras, cualquier persona podría adquirir todo lo necesario para organizar fraudes o ataques cibernéticos, independientemente de sus habilidades o conocimientos técnicos.

Servicios del cibercrimen al mejor postor

El modelo de venta de servicios representa la evolución natural de la oferta en un mercado que responde a una demanda en constante crecimiento. Esto significa que los desarrolladores de amenazas informáticas, además de obtener beneficios económicos a través de monetizar información robada o secuestrar datos, han comenzado a extender su portafolio, sus actividades y sus operaciones, hacia un mercado que demanda este tipo de servicios, ya sea para afectar empresas, industrias, usuarios, o bien, gobiernos.
  • Fraud as a Service (FaaS)
En el ámbito del cibercrimen, una de las industrias más afectadas por los fraudes es la banca. Una cantidad importante de amenazas de la era digital se ha desarrollado para generar pérdidas a los usuarios, principalmente del sistema de tarjetas de crédito y débito, aunque el fraude no se limita a únicamente a esta opción de transacciones.
Del mismo modo, la variedad de amenazas va desde el robo de tarjetas, el skimming y la Ingeniería Social hasta ataques de phishing, malware como PoS (Point of Sale) o troyanos bancarios, todos con el propósito de obtener información bancaria. En este contexto, el fraude como servicio se puede ofrecer desde la venta de herramientas para llevar a cabo skimming, hasta códigos maliciosos especialmente desarrollados para el robo de información financiera, tal como Zeus.
  • Malware as a Service (MaaS)
Por otro lado, desde algunos años los códigos maliciosos han comenzado a ser ofrecidos como un servicio, desarrollados para actividades epecíficas y de manera paralela con kits de explotación. Una vez que se infiltran en sistemas a partir de vulnerabilidades, pueden introducir malware para robar información y contraseñas, espiar las actividades de los usuarios y enviar spam, así como acceder y controlar de manera remota los equipos infectados a través de una infraestructura completa de Comando y Control (C&C).
Este mismo principio ha sido utilizado para comenzar a propagar ransomware, es decir, códigos maliciosos enfocados en secuestrar archivos o sistemas y solicitar un pago como rescate, llevando a un nuevo nivel el principio de la extorsión aplicada al ámbito digital. Kits de exploits o botnets como Betabot han comenzado a diversificar sus actividades maliciosas.
  • Ransomware as a Service (RaaS)
La idea principal del ransomware como servicio se centra en el hecho de que los desarrolladores de esta amenaza no son los encargados de propagarla, su función se limita al desarrollo de herramientas capaces de generar este tipo de malware de forma automática. De esta manera, otro grupo de personas se encarga de crearlo a partir de estas herramientas y propagarlo, independientemente de sus habilidades o conocimientos técnicos.
En este modelo de negocio, tanto los desarrolladores de las herramientas para la generación de ransomware como los encargados de esparcirlo obtienen ganancias económicas, en una relación “win-win”. Un ejemplo conocido de ransomware como servicio lo encontramos en Tox.
  • Attacks as a Service (AaaS)
En el mismo contexto, los ataques pueden ser ofrecidos como servicios. Por ejemplo, distintos ataques como denegaciones de servicio distribuidas (DDoS) pueden ser el resultado de un amplio número de equipos infectados pertenecientes a una botnet que son ofrecidos y alquilados para llevar a cabo este tipo de ataques. Además, pueden ser utilizados para propagar más códigos malicisos, enviar correos no deseados de manera masiva, o incluso ser utilizados para minar bitcoins.

El desarrollo del cibercrimen y los paradigmas de ciberseguridad

cibercrimen
 
Como se observa, se trata de todo un conjunto de amenazas informáticas que pueden interactuar para ofrecer nuevas posibilidades a la industria del cibercrimen, mismos que se encuentran disponibles para cualquier persona que cuente con los recursos suficientes para adquirirlos.
 
En el ámbito de la ciberseguridad, es importante recalcar que las nuevas condiciones que han venido evolucionando en los últimos años enfrentan a dos partes: los encargados de la protección de los activos más importantes en las organizaciones, frente a grupos especializados y organizados que invierten recursos como tiempo y dinero para desarrollar estos servicios de cibercrimen, en un mercado que los sigue requiriendo.
 
En este contexto, la gestión de la seguridad de la información ha pasado de pensar si la organización puede o no ser afectada, hacia un enfoque en el cual se da por hecho que la organización será atacada, solo es cuestión de tiempo para que eso suceda. Por ello, desde esta perspectiva las medidas de protección pueden resultar proactivas, es decir, idear escenarios realistas en los cuales la información u otros activos críticos pueden ser afectados, por lo que los procesos e información deben ser protegidos a través de un enfoque holístico.
 
Lo anterior también conlleva al desarrollo de estrategias de seguridad defensivas, ofensivas, reactivas y proactivas, para intentar evitar o remediar incidentes de seguridad, reduciendo los riesgos hasta un nivel aceptable, de acuerdo con la aversión o propensión al riesgo de cada organización. Además, el enfoque entiende la seguridad como un proceso transversal a las actividades esenciales del negocio y que debe ser mejorado de manera permanente.
 
FUENTE: welivesecurity