domingo, 26 de marzo de 2017

Herramientas para análisis forense de archivos Microsoft Office.

Oletools es un conjunto de herramientas escritas en Python para analizar archivos Microsoft OLE2. ( también llamados de almacenamiento estructurado o archivo compuesto de formato binario) y documentos de Microsoft Office. Permitiendo realizar: análisis de malware, análisis forense y depuración.
Oletools esta compuesto por:

  • Olebrowse: Una interfaz gráfica de usuario sencilla para examinar archivos OLE (por ejemplo, MS Word, Excel, documentos de Powerpoint), para ver y extraer flujos de datos individuales.
  • Oleid: Es un script para analizar archivos OLE tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar características específicas normalmente encontradas en archivos maliciosos (por ejemplo, malware). Puede detectar macros VBA y objetos Flash incorporados.
  • Olemeta: Es un script para analizar archivos OLE, para extraer todas las propiedades estándar presentes en el archivo OLE (metadatos).
  • Oletimes: Es un script para analizar archivos OLE, para extraer los tiempos de creación y modificación de todos los flujos y almacenes en el archivo OLE.
  • Oledir: Es un script para mostrar todas las entradas de directorio de un archivo OLE, incluyendo entradas libres y huérfanas. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Olemap: Es un script para mostrar un mapa de todos los sectores en un archivo OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Olevba: Es un script para analizar archivos OLE y OpenXML tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar macros VBA, extraer su código fuente en texto claro y detectar patrones relacionados con la seguridad como: macros auto-ejecutables, VBA sospechosos, palabras clave utilizadas por el malware, técnicas anti-sandboxing y anti-virtualización y posibles IOCs (direcciones IP, URL, nombres de archivos ejecutables, etc.).También detecta y decodifica varios métodos de ofuscación comunes incluyendo codificación Hex, StrReverse, Base64, Dridex, expresiones VBA y extrae IOCs de cadenas decodificadas . Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Mraptor(MacroRaptor): Es una herramienta diseñada para detectar la mayoría de las macros VBA maliciosas usando una técnica heurística genérica. A diferencia de los motores antivirus, no depende de las firmas. En pocas palabras, mraptor detecta las palabras clave correspondientes a los tres siguientes tipos de comportamiento que están presentes en texto claro en casi cualquier programa malicioso de macros: desencadenador de ejecución automática, escribir en el sistema de archivos o en la memoria y ejecutar un archivo o cualquier carga fuera del contexto de VBA.
  • Pyxswf: Es un script para detectar, extraer y analizar objetos Flash (archivos SWF) que pueden estar incrustados en archivos como documentos de MS Office (por ejemplo, Word, Excel), lo que es especialmente útil para el análisis de malware.  Puede extraer flujos de documentos de MS Office analizando su estructura OLE correctamente, lo que es necesario cuando los flujos están fragmentados. La fragmentación en Flash es una técnica de ofuscación conocida. También puede extraer objetos Flash de documentos RTF, analizando objetos incrustados codificados en formato hexadecimal (opción -f).
  • Oleobj: Es un script para extraer objetos incrustados de archivos OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
  • Rtfobj: Es un módulo de Python para detectar y extraer objetos incrustados almacenados en archivos RTF, como objetos OLE. También puede detectar objetos de paquete OLE y extraer los archivos incrustados. Contiene un analizador de RTF personalizado que ha sido diseñado para comprender el comportamiento de MS Word, con el fin de manejar los archivos RTF ofuscados.

Las Oletools son utilizadas por una serie de proyectos y servicios de análisis de malware en línea, incluyendo: Viper, REMnux, Hybrid-analysis.com, Joe Sandbox, Deepviz, Laika BOSS, Cuckoo Sandbox, Anlyz.io, ViperMonkey, pcodedmp, dridex.malwareconfig.com y VirusTotal.

Fuente:http://www.gurudelainformatica.es/

miércoles, 22 de marzo de 2017

Tu cuenta anónima en Twitter no lo es tanto: cómo el FBI identifica a los usuarios investigándolas

 

¿Has pensado alguna ocasión en tener una cuenta anónima de Twitter o tienes ya una? Algunas se han convertido en auténticas estrellas de la red social. Ya sea por publicaciones humorísticas, comentarios mordaces o GIFs graciosos, estas cuentas han conseguido mucha notoriedad.
Algunas, sin embargo, no se usan para motivos tan poco turbios. A través de una cuenta anónima, se utilizó un tuit para provocar un ataque epiléptico a un usuario. El tuit fue denunciado y la policía de Dallas investigaría el caso con asistencia del FBI, logrando obtener la identidad del agresor sin que Twitter se la facilitase, tal y como el investigador de seguridad @X0rz ha publicado en su cuenta.
La declaración jurada que recoge todo el caso se puede consultar en Document Cloud. Se trata de un informe de 14 páginas escrito por el Agente Especial del FBI Nathan P. Hopp. Al parecer, todo habría empezado cuando el denunciante y otros usuarios habrían recibido un tuit para provocarles un episodio epiléptico.
En dicho tuit se podía ver un GIF con luces estroboscópicas con la leyenda "espero que te de un ataque por tu post". El responsable de este tuit era un tal Ari Goldstein, que tenía el nombre de usuario @jew_goldstein. Aparentemente, tras esta cuenta anónima se escondía John Rayne Rivello. ¿Cómo consiguieron descubrirlo?

Los hechos que desencadenaron la investigación



Todos sabemos que Twitter pide cierta información básica al usuario cuando se crea una cuenta: el nombre completo del usuario, una dirección de correo electrónico, una dirección física, fecha de nacimiento, lugar de residencia... muchos de estos datos son opcionales, y pueden dejarse en blanco si así se desea.
Por otra parte, Twitter guarda registros de las direcciones IP de cada usuario. En estos registros se puede encontrar información sobre cuándo se accedió a la plataforma, la dirección IP asociada al usuario y la fecha y la hora en la que usó su cuenta por última vez.
Teniendo todo esto en cuenta, en el documento podemos leer que Rivello creó a @jew_goldstein el 11 de diciembre de 2016. Cuatro días más tarde, el denunciante entraba a su cuenta de Twitter desde su oficina en Dallas, viendo el tuit de la cuenta anónima y sufriendo un ataque casi instantáneo. La mujer de esta persona lo asistió durante el ataque, y sacó una foto al GIF que se veía en la pantalla.
Esa foto se remitió en primer lugar al Departamento de Policía de Dallas, que a su vez envió una orden de registro a Twitter, que devolvió los siguientes resultados:
C7bo7jnx4aegqsg
Al mismo tiempo, el registro reveló que @jew_goldstein había estado hablando por mensaje directo con otros usuarios de la plataforma. En dichos mensajes había dicho que la víctima merecía "que unos emús le picotearan el hígado", que sabía que era epiléptica y que esperaba provocarle un ataque. En una de las comunicaciones privadas, colocó el GIF estroboscópico con la leyenda "le he mandado esto, a ver si se muere".

Así se desenmascaró a John Rayne Rivello

En los datos que Twitter había devuelto como consecuencia de la orden de búsqueda, se encontraba un número de teléfono de la operadora AT&T. Cuando se pidió a la operadora información sobre el número, resultó que se trataba de un número de prepago que no estaba registrado a nombre de nadie.
Sin embargo, a través de los registros de la empresa se pudo saber que el teléfono asociado a ese número era un iPhone 6, que necesitan de una Apple ID para poder ser utilizados. Estas identificaciones se pueden crear a través de las páginas de iTunes y de iCloud.
Con estos datos en la mano, la policía de Dallas pudo emitir una orden de registro a Apple para obtener más información sobre la cuenta de iCloud asociada al número de teléfono de Rivello. Esto fue lo que consiguieron:
C7bplcgxqaasrsn
Por ahora ya habían conseguido relacionar al servicio, el terminal y la persona, pero no sería hasta que se comenzase a revisar la cuenta que no se encontrarían, entre otras cosas, imágenes personales de Rivello y pruebas que lo conectaban a la cuenta anónima agresora. Entre ellas, el GIF que había provocado el ataque epiléptico al denunciante.
Además de todo esto, se encontró una captura de pantalla dela página de WikiPedia de la víctima, editada para establecer su muerte un día después del episodio. También muchos de los tuits del agredido habían sido capturados y guardados en la cuenta de iCloud de Rivello.
Por lo que se recoge en el informe, el agresor podrá ser juzgado dado que las autoridades han determinado que hubo intención por su parte de hacer daño y causar lesiones severas a la víctima.

Conclusiones sobre este caso

Para este investigador de ciberseguridad, la primera conclusión es muy evidente: si te ocultas para hacer algo malo, no uses algo que sea fácilmente reconocible para ello. Como por ejemplo, un iPhone 6. Según se recoge en la política de privacidad de Apple, la empresa puede suministrar la siguiente información a las fuerzas de seguridad si se lo solicitan:
  • Información del usuario.
  • Registros de correo electrónico.
  • Contenido del correo electrónico.
  • Otros contenidos de iCloud (Photo Stream, contactos, calendario...).
En resumidas cuentas, dado que pueden obtener prácticamente todo, no es la mejor manera de intentar seguir siendo anónimo a la hora de meterse en según qué asuntos. Al parecer, John Rayne Rivello era un ciudadano cualquiera intentando obtener alguna clase de venganza personal, pero el tiro le salió por la culata.
La identidad de la víctima no se menciona en ningún momento, pero llama bastante la atención que tenga una entrada propia en Wikipedia. De esto deducimos que se trata de una personalidad importante, si bien no tenemos forma de saber a qué ámbito pertenece.
Teniendo en cuenta cómo está el clima político en Estados Unidos actualmente, es fácil especular con que esta agresión esté motivada por asuntos ideológicos. Por lo demás, no se puede aventurar nada.

martes, 7 de marzo de 2017

Funciones de HASH con fines forenses

Recientemente hemos recibido la noticia de que el protocolo SHA-1 fue quebrado. En este artículo intentaré desentrañar cual es el impacto que este hecho tiene en las investigaciones digitales.

¿Qué es un HASH?

Es un algoritmo matemático que, aplicado sobre un objeto digital ya sea este el contenido de un disco rígido, un conjunto de archivos o simplemente un registro individual produce una salida hexadecimal de tamaño fijo.

No importa cuán grande sea el objeto original, el HASH del mismo siempre tendrá el mismo tamaño, el cual depende del protocolo elegido.

Los protocolos de HASH usualmente utilizados en Informática Forense son el MD5 que produce una salida de 128 bits de longitud y el SHA-1 de 160 bits.

Por lo expuesto anteriormente, el HASH permitiría identificar cualquier contenido digital ya que al más mínimo cambio del origen, se produce una variación en el valor de HASH.

Resulta claro que si el resultado de aplicar una función de HASH produce un número fijo de bits, solo hay un conjunto finito de valores que puede tomar ese HASH.

En este punto es de hacer notar que las funciones de HASH también son utilizadas con fines criptográficos.

¿Qué es una colisión?

Una colisión se produce cuando al aplicar la función de HASH a dos objetos diferentes, ambos producen el mismo resultado.

Es esto posible? Absolutamente ya que como he explicado el número de resultados posibles al aplicar el algoritmo, cualquiera sea este, es finito, mientras que los objetos a los que se les puede aplicar esa función son claramente infinitos.

De esta forma todos los protocolos de HASH tienen colisiones, solo que aquellos cuya longitud de salida es mayor, aún no han sido quebrados pues no se dispone de la potencia computacional para realizar los cálculos en un tiempo razonable, pero es cuestión de tiempo para hallar las colisiones de todos y cada uno de los protocolos de HASH existentes.

Cuando se demuestra que dos objetos diferentes producen el mismo valor de HASH , entonces ese protocolo debe discontinuarse para fines criptográficos pues el cifrado estaría comprometido.

¿Cuál es la utilidad de una función de HASH en una investigación digital?

Las funciones de hash se utilizan básicamente para dos cuestiones:
  1. Asegurar la integridad de la evidencia digital: Esto se logra mediante el cálculo de la función de HASH al momento de su recolección, el cual debe verificarse en todas las etapas posteriores de peritaje de la misma.
  2. Identificación de contenido binario: Es el procedimiento mediante el cual se le aplica la función de HASH a un archivo o conjunto de archivos con el objeto de identificarlos en algún otro dispositivo de almacenamiento digital.
Frecuentemente explicamos a letrados y operadores judiciales el concepto de HASH mencionando que el mismo es como "la huella digital" del objeto. Este mecanismo de criminalística permite la identificación de personas y su asociación con el hecho investigado, de la misma forma que una función de HASH lo hace con un contenido almacenado informáticamente.

El concepto de colisión de un HASH sería como encontrar dos personas que tuvieran las mismas huella digital…es esto posible? O por el contrario, se puede asegurar que no existen dos personas con las mismas huellas digitales? Ampliando este concepto a una investigación criminal y aun sin poder responder los interrogantes anteriores, la probabilidad de que una hipotética segunda persona tenga las mismas huellas digitales que otra y simultáneamente se encuentre vinculada al hecho investigado, es extremadamente baja e improbable.

Usar el argumento de la "duda razonable" es perfectamente posible aunque usualmente no da resultado positivo, en especial si se cuenta con alguna otra fuente de prueba.

¿Qué hacemos entonces con la evidencia digital ante este escenario?

El problema no es nuevo, ya ocurrió cuando se encontraron las colisiones de MD5 y a pesar de que la probabilidad de tener dos objetos distintos, asociados a la misma investigación, con igual valor de HASH MD5 es muy baja, la comunidad forense reaccionó sugiriendo la utilización de dos funciones de HASH por cada objeto.

Este doble factor podría encontrar una metáfora en el mundo real en la utilización simultánea de las huellas digitales y el ADN, por ejemplo, para identificar a una persona.

De esta forma, la probabilidad de que dos objetos diferentes tengan ambos valores de HASH coincidentes, sería soberanamente improbable.

Hasta el momento es una práctica común que los peritos utilicemos para este doble factor los protocolos de HASH MD5 y SHA-1, seguramente en un futuro próximo el SHA-1 será reemplazado por SHA-2, teniendo presente que del mismo hay en realidad cuatro implementaciones de longitudes diferentes SHA-224, SHA-256, SHA-384 y SHA-512 (el sufijo indica la longitud de bits) .
La utilización de SHA-2 definitivamente impactará en los tiempos de adquisición de evidencia, por la sobrecarga que implica el cálculo de funciones de mayor longitud.

En cualquier caso es solo cuestión de tiempo para que se encuentren colisiones en estos protocolos y la historia se vuelva a repetir.

Ing. Gustavo Presman - @gpresman

viernes, 24 de febrero de 2017

Linux Kodachi3, un SO seguro, anti-forense, anónimo... y fácil de usar

 

Publicado por Vicente Motos

Linux Kodachi es un sistema operativo basado en Debian 8.6 con un escritorio ligero XFCE que pretende ser lo más seguro, anti-forense y anónimo posible, siendo a la vez muy fácil de usar. Todo lo que hay que hacer es arrancarlo mediante una unidad externa (dispositivo USB, tarjeta SD o CD/DVD) y tendremos un sistema operativo funcionando con conexión VPN + conexión Tor y servicio DNScrypt. En principio no requiere ninguna configuración o conocimiento de Linux.

El sistema operativo se carga en RAM por lo que una vez que se apague el PC no se dejará ningún rastro eliminado todas las actividades del usuario.
Es libre bajo
licencia Apache License 2.0 y de código abierto y sus características principales son:
- VPN, Tor y DNScrypt.
- Truecrypt – keepass – Secure cloud y mucho más
- Generador de direcciones MAC aleatorias
- RAM Wiping en el reinicio/apagado
- Navegador Tor
- Pidigin Messenger
- Carteras Bitcoin y Litecoin
- Opciones multi-DNS
- Truecrypt/VeraCrypt
- Peer Guardian
- Panic Room/Wipe Ram/Wipe Free Space/Kill OS!
- Bleachbit/Nautilus-wipe/Keepass2xdotool/Seahorse/Gpa/Gnupg2/Enigmail/ufw/gufw/firejail
- Komodo Edit/Geany/Krusader/Meld/Shutter/FileZilla/Audicity/Terminator/Transmission/VirtualBox APPS
- Htop/Rdesktop/Gksu/Ncdu/Xtrlock/Nmap/Pcmanfm/Cairo-dock/Geoip-bin/Sysv-rc-conf/Disper/Smbclient/Syslinux-utils/Fcitx/Ibus/Pidgin-Otr


- Información del sistema y de la seguridad en el escritorio
Página del proyecto:
https://sourceforge.net/projects/linuxkodachi/
Descarga ISO: https://sourceforge.net/projects/linuxkodachi/files/latest/download (usuarios por defecto: kodachi y root, contraseña: r@@t00)
Código fuente:
https://github.com/WMAL/kodachi

El Tribunal Supremo establece que publicar la fotografía de una persona sacada de su cuenta de Facebook exige su consentimiento expreso

 

Escrito por Alexis y Publicado en Blog ANTPJI

La Sala Primera condena a un periódico a indemnizar a un hombre por publicar su fotografía para ilustrar una noticia sobre un suceso en el que resultó herido

El Pleno de la Sala I, de lo Civil, del Tribunal Supremo ha establecido en una sentencia que publicar en un periódico la fotografía de una persona sacada de su cuenta de Facebook exige su consentimiento expreso, ya que lo contrario supone una intromisión ilegítima en su derecho a la propia imagen. El alto tribunal condena a “La Opinión de Zamora” a indemnizar con 15.000 euros a un hombre del que publicó en portada, en su edición en papel, una fotografía obtenida de su cuenta de Facebook, que ilustraba una noticia de sucesos en el que el hombre había resultado herido. Asimismo, el diario es condenado a no volver a publicar la foto en ningún soporte y a retirarla de cuantos ejemplares se hallen en sus archivos.

“Que en la cuenta abierta en una red social en Internet, el titular del perfil haya “subido” una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular, porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes en un perfil público de una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación”, señala el Supremo..

Agrega que “el consentimiento del titular de la imagen para que el público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta, pues no constituye el «consentimiento expreso» que prevé el art. 2.2 de la Ley Orgánica 1/1982 (de protección de derecho al honor y la propia imagen) como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona. Aunque este precepto legal, en la interpretación dada por la jurisprudencia, no requiere que sea un consentimiento formal (por ejemplo, dado por escrito), sí exige que se trate de un consentimiento inequívoco, como el que se deduce de actos o conductas de inequívoca significación, no ambiguas ni dudosas”.

La sentencia, de la que ha sido el magistrado Rafael Sarazá Jimena, prosigue: “Tener una cuenta o perfil en una red social en Internet, en la que cualquier persona puede acceder a la fotografía del titular de esa cuenta, supone que el acceso a esa fotografía por parte de terceros es lícito, pues está autorizada por el titular de la imagen. Supone incluso que el titular de la cuenta no puede formular reclamación contra la empresa que presta los servicios de la plataforma electrónica donde opera la red social porque un tercero haya accedido a esa fotografía cuyo acceso, valga la redundancia, era público. Pero no supone que quede excluida del ámbito protegido por el derecho a la propia imagen la facultad de impedir la publicación de su imagen por parte de terceros, que siguen necesitando del consentimiento expreso del titular para poder publicar su imagen”.

Estimación parcial del recurso del periódico

El Supremo, sin embargo, estima parcialmente el recurso del periódico contra la sentencia de la Audiencia Provincial de Bizkai que le condenó, además de por intromisión en el derecho a la propia imagen, por intromisión en el derecho a la intimidad. El motivo era que, en el reportaje publicado en la edición de papel y digital del diario “La Opinión-El Correo de Zamora” el 8 de julio de 2013, se contenían datos que permitían identificar al demandante. El reportaje señalaba que el demandante había sido herido por su hermano con un arma de fuego, y que luego éste último se había suicidado.

En el reportaje se publicaba el nombre de pila del herido y el de su hermano, las iniciales de sus apellidos, el apodo de su hermano, la dirección exacta del domicilio familiar, que su madre padecía alzheimer, y que su padre había sido médico en una localidad de la provincia. El Juzgado de Primera Instancia de Bilbao, y la Audiencia de Bizkaia, establecieron una indemnización de 30.000 euros por vulneración del derecho a la propia imagen (publicación de la foto), pero también del derecho a la intimidad (por los datos personales y familiares publicados).

El Supremo rebaja a la mitad la indemnización (15.000 euros), al considerar que no hubo vulneración del derecho a la intimidad, ya que el diario no incurrió “en ninguna extralimitación morbosa” y respetó “los cánones tradicionales de la crónica de sucesos” al dar información que era veraz, por lo que en este caso prevalece el derecho a la información frente al derecho a la intimidad del demandante.

“La intromisión en la intimidad personal y familiar del demandante que supone la información del artículo periodístico no puede considerarse grave. En un ámbito geográfico reducido, como Zamora, pues se trataba de un periódico de ámbito provincial, la información que se contiene en el artículo periodístico no aumenta significativamente el conocimiento que de un hecho de esas características, ocurrido en una vivienda de la ciudad y en el seno de una familia conocida, podían tener sus convecinos. Se trataba, además, de hechos objetivamente graves y noticiables, una disputa familiar en la que un hermano hirió a otro y después se suicidó”, indica la sentencia.

“Es especialmente relevante –prosigue la resolución-- que la noticia se acomoda a los usos sociales, y concretamente a los cánones de la crónica de sucesos, que es un género periodístico tradicional. Se trata de una información dada inmediatamente después de que sucedieran los hechos (en la edición en papel del diario, apareció al día siguiente). No se exponen los hechos con extralimitación morbosa, ni se desvelan hechos íntimos sin relación con lo sucedido, es más, ni siquiera se hace referencia a la causa de la desavenencia familiar. La mención a la enfermedad de la madre se justifica porque tenía cierta relevancia para informar sobre lo acaecido: solo presenció los hechos un sobrino, la madre estaba presente pero se encontraba en un estado avanzado de Alzheimer, y tuvo que ser llevada a casa de unas vecinas”.

“La sentencia estará disponible en este mismo enlace una vez suprimidos los datos de carácter personal, en cumplimiento de lo dispuesto en el artículo 560.1.10 de la Ley Orgánica del Poder Judicial en relación con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal”.


FUENTE: http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Noticias-Judiciales/El-Tribunal-Supremo-establece-que-publicar-la-fotografia-de-una-persona-sacada-de-su-cuenta-de-Facebook-exige-su-consentimiento-expreso

Google ha roto definitivamente el hash criptográfico SHA1

Acabando con SHA-1

SHA1 es un algoritmo criptográfico de hash creado en 1995 y que, durante mucho tiempo, ha sido utilizado ampliamente utilizado para asegurar datos, comprobar su integridad y para garantizar la seguridad de las conexiones a Internet. Sin embargo, la tecnología ha cambiado mucho en los últimos años y, por lo tanto, este algoritmo ha sido siendo cada vez menos seguro hasta el punto de conseguir la primera colisión de Hash, demostrando así que este está ya totalmente roto.

No es la primera vez que se dice que el algoritmo SHA1 es inseguro y está roto. A finales de 2015 ya pudimos ver cómo se habían encontrado varias debilidades en el mismo que, en la teoría, podía ser roto, aunque para poder demostrarlo se necesitaría un sistema de más de 100.000 dólares y varios años de computación. Ahora, Google lo ha roto en la práctica.

Descubre los mejores y más seguros algoritmos de hash, y conoce los que no son recomendables hoy en día

Descubre los mejores y más seguros algoritmos de hash, y conoce los que no son recomendables hoy en día

Desde este anuncio de 2015 hasta ahora las cosas han cambiado y, tal como nos informan los compañeros de AdslZone, ayer Google ha hecho pública la primera colisión en el hash SHA1, demostrando así la ineficacia del antiguo algoritmo y su nula seguridad. Cuando calculamos la suma de Hash de un fichero conseguimos una serie de caracteres hexadecimales que, en teoría, debería ser única. Gracias a esto podemos saber si un archivo que originalmente tenía un hash “abc”, tras enviarlo por Internet, el destinatario consigue la misma suma “abc” y no una suma diferente que podía indicar que el archivo ha sido modificado en un punto intermedio de la transferencia e incluso que se ha descargado mal.

Lo que ha hecho Google ha sido conseguir que dos archivos diferentes tengan el mismo Hash, demostrando así que es posible una colisión y que este algoritmo está ya, oficialmente, roto.

Colisión SHA1

De todas formas, el proceso no ha sido fácil, y ha requerido de 9,223,372,036,854,775,808 de ciclos. Mientras que romper este algoritmo por fuerza bruta llevaría más de un año utilizando 12 millones de tarjetas gráficas trabajando a la vez, con la nueva técnica “solo” han sido necesarias 110 tarjetas gráficas trabajando durante un año para llegar al resultado.

En el caso de los algoritmos MD5, la cosa es mucho más sencilla, y es que estos pueden romperse en tan solo 30 segundos utilizando un simple smartphone. Podemos ver más información sobre el proceso de rotura el algoritmo en la web de SHAttered.

SLOTH, una serie de ataques contra los algoritmos seguros MD5 y SHA1

SLOTH, una serie de ataques contra los algoritmos seguros MD5 y SHA1

Por suerte, ya casi nadie utiliza SHA1, incluso está bloqueado en muchos navegadores y servicios web

Por suerte, aunque Google acaba de demostrar la ineficacia de este algoritmo y dejarlo completamente roto, hoy en día prácticamente no se utiliza para nada, ya que existen varias revisiones como SHA2 y SHA3 totalmente seguras a día de hoy. Además, a finales del año pasado, los navegadores web han empezado a bloquear estos algoritmos por defecto, así como muchas páginas web, como Facebook, que incluso los han eliminado de sus servidores al ser ya totalmente inútiles, además de seguros.

miércoles, 15 de febrero de 2017

DEFT Zero, la nueva distribución Linux ligera para análisis forense

 

DEFT es un sistema operativo Linux creado especialmente para profesionales y expertos de seguridad que necesiten un ecosistema para analizar datos, redes y dispositivos y poder recopilar de ellos la mayor cantidad de información posible. A diferencia de otras distribuciones similares, esta no se centra solo en analizar discos duros y memorias, sino que ofrece un análisis de lo más completo de todo tipo de sistemas, redes y dispositivos. Sin embargo, este es muy pesado ya que cuenta con un gran número de herramientas de todo tipo. Por ello, hace algunas horas, los responsables de esta distribución forense nos han sorprendido con un nuevo sistema operativo llamado DEFT Zero.
 
DEFT Zero es una versión mucho más ligera y reducida de DEFT diseñada, igual que su predecesora, para realizar análisis forenses de datos, redes y dispositivos. Esta nueva distribución funciona con tan solo 400 MB de memoria RAM y está basada en Lubuntu 14.04 LTS (lo que le garantiza un soporte extendido a largo plazo). Además, también es compatible con sistemas de 32 bits, 64 bits e incluso con sistemas UEFI. Además, este nuevo sistema es compatible con memorias del tipo NVM Express (NVMe) y eMMC.
 
Este sistema operativo se puede grabar tanto a un DVD como a una memora USB y nos permite arrancar el sistema de 3 formas diferentes:
  • En modo interfaz cargado 100% en la memoria RAM (podemos extraer el DVD o USB cuando cargue).
  • Con interfaz, pero en modo Live (cargando desde el medio).
  • En modo texto para usarlo desde terminal.
Este sistema, además, es compatible con todo tipo de unidades y dispositivos, aunque por motivos de seguridad, estos vienen desmontados y tendremos que montarlos manualmente para poder utilizarlos. Los responsables de esta distribución nos ofrecen un sencillo manual en PDF donde nos explican, a grandes rasgos, como funciona la distribución.
Si queremos descargar esta distribución, podemos hacerlo de forma gratuita desde su servidor FTP oficial.

DEFT sigue siendo una de las distribuciones más completas para análisis forense de datos

Aunque el lanzamiento de DEFT Zero es bastante interesante, especialmente de cara a los aficionados que no tienen un equipo potente y quieren iniciarse en el tema de los análisis forenses de datos y dispositivos, la versión completa, DEFT, sigue siendo una de las distribuciones Linux para análisis forense más avanzada y que más herramientas incluye por defecto, junto a CAINE.
Si queremos probar también esta distribución, podemos descargarla igualmente de forma gratuita desde su página web.
Fuente: https://www.redeszone.net/

domingo, 12 de febrero de 2017

Cómo rastrear una dirección IP y averiguar datos sobre ella

El Protocolo de Internet, IP, es una dirección única que se asigna a cada ordenador y dispositivo conectado a la red y que nos identifica en Internet de cara al resto de servidores y dispositivos conectados a ella. Todas estas direcciones están a disposición de todos los usuarios y están registradas en distintas bases de datos, hecho que nos permite, por ejemplo, recopilar fácilmente información sobre estas direcciones IP.

Cuando nosotros buscamos una dirección IP, por ejemplo, de un servidor que se ha intentado conectar a nuestro ordenador o de una página web a través de una consulta DNS, lo único que veremos será una serie de dígitos, separados en 4 grupos, que pueden ir desde el 0.0.0.0 hasta el 255.255.255.255. Sin embargo, aunque a simple vista estas direcciones no nos dicen nada, utilizando herramientas como las que vamos a ver a continuación es posible conseguir una gran cantidad de información sobre ellas.

Antes de continuar, si lo que queremos es solo saber cuál es nuestra IP, os recomendamos la herramienta Cual es mi IP de Testsdevelocidad.es.

Herramientas para obtener información sobre direcciones IP

MyIpTest.com

La primera de las herramientas de las que vamos a hablar es MyIpTest. Este servicio web pone a nuestra disposición un gran número de herramientas para analizar direcciones IP y poder obtener de ellas todo tipo de información, como su geolozalización y a qué empresa o servicio pertenece.

MyIpTest

Además, esta web nos va a permitir acceder a otras herramientas útiles para analizar IPs, como una herramienta de ping, un traceroute desde nuestro equipo a la IP que indiquemos, herramientas de descubrimiento de IPs e incluso herramientas que nos permiten rastrear correos electrónicos hasta llegar al emisor real.

Geotool

Una herramienta similar para obtener información sobre direcciones IP es Geotool. Esta es bastante más simple que la anterior, pero, a la vez, más sencilla tanto de utilizar como de interpretar.

Geotool - Analizar IP

En esta web podemos introducir cualquier dirección IP y automáticamente generar un informe con toda la información que se sepa de dicha dirección. Además, si pulsamos sobre cualquiera de los enlaces (por ejemplo, sobre servidor), accederemos a un completo WhoIS de Domaintools con mucha más información sobre dicha dirección.

Domaintools WhoIS

Arul John’s Utilities

Como tercera alternativa para recopilar información sobre una dirección IP tenemos Arul John’s Utilities. Esta web nos va a permitir analizar rápidamente una IP o un dominio y nos mostrará la información relacionada con ella, tanto la IP como el nombre de host, el ISP y si país de origen. Además, también nos mostrará en un mapa dónde se encuentra ubicada.

Arul John’s Utilities

Shodan

Mientras que las aplicaciones anteriores son bastante sencillas y, en ocasiones, pueden pasar por alto alguna información, si lo que queremos es un análisis más exhaustivo de sistemas, dispositivos y redes no debemos olvidarnos de Shodan.

En el siguiente enlace os explicamos qué nos ofrece esta plataforma y cómo podemos utilizarla tanto para obtener información relacionada sobre una IP concreta como para buscar IPs al azar.

RECUPERABIT – HERRAMIENTA FORENSE PARA LA RECONSTRUCCIÓN DEL SISTEMA DE ARCHIVOS

RecuperaBit es un software de seguridad informática que intenta reconstruir las estructuras del sistema de archivos y recuperar archivos. Actualmente sólo soporta NTFS.

RecuperaBit intenta reconstruir la estructura de directorios independientemente de:

  • Tabla de particiones ausente
  • Límites de particiones desconocidos
  • Metadatos parcialmente sobrescritos
  • Formato rápido

recuperabit1-768x270

El argumento principal es el path para una imagen bitstream de un disco o partición. RecuperaBit determina automáticamente los sectores desde los que se inician las particiones explica Salvador Ruiz, experto de seguridad informática de iicybersecurity IICS.

  • RecuperaBit no modifica la imagen del disco, sin embargo, lee algunas partes de ella varias veces a través de la ejecución. También debería funcionar en dispositivos reales, como / dev / sda, pero esto no es recomendable por los expertos de seguridad informática.
  • Opcionalmente, se puede especificar un archivo guardado con -s. La primera vez, después del proceso de escaneado, los resultados se guardan en el archivo. Después de la primera ejecución, el archivo se lee para analizar únicamente sectores interesantes y acelerar la fase de carga.
  • La sobrescritura del archivo guardado se puede forzar con -w.
  • RecuperaBit incluye una pequeña línea de comandos que permite los consultores de seguridad informática recuperar archivos y exportar el contenido de una partición en formato CSV. Éstos se exportan en el directorio especificado por -o (o recuperabit_output).

PYPY

RecuperaBit se puede ejecutar con la implementación estándar de cPython, sin embargo la velocidad puede incrementarse al usarla con el intérprete Pypy y el compilador JIT según expertos de seguridad informática:

pypy main.py /path/to/disk.img

RECUPERACIÓN DEL CONTENIDO DEL ARCHIVO

Los archivos se pueden restaurar uno a la vez o recursivamente, comenzando desde un directorio. Una vez finalizado el proceso de análisis, puedes comprobar la lista de particiones que se pueden recuperarse mediante el siguiente comando en el indicador:

c0nalykw8aaubc6

Recoverable

Si desea recuperar archivos a partir de un directorio específico, puedes imprimir el tree en pantalla con el comando tree o puede exportar una lista de archivos CSV.

Acuerdo a expertos de seguridad informática, si prefieres extraer todos los archivos de los nodos Root y Lost Files, debes conocer el identificador del directorio raíz, dependiendo del tipo de sistema de archivos.

TorWorld, un primer concepto de lo que podría ser un Tor-as-a-Service

 

TorWorld

La red Tor es una red distribuida utilizada generalmente para evadir la censura que muchos países y gobiernos aplican a Internet y, además, para proteger la privacidad de los usuarios que quieren navegar libremente por la red sin ser identificados. Aunque en teoría es una red segura e imposible de rastrear, hay muchos puntos débiles en ella, aspectos con los que TorWorld quiere acabar para hacer de Tor una red más segura.

La red Tor está basada en nodos de salida y relés. Cualquier usuario puede crear sus propios nodos para la red Tor, sin embargo, si este nodo está mal configurado puede suponer un peligro para todos aquellos que viajen a través de ellos. Además, actualmente hay varios nodos infectados por malware controlados tanto por gobiernos como por piratas informáticos que, aunque suelen detectarse y bloquear, pueden llegar a suponer un peligro para los usuarios que deciden navegar por esta red.

TorWorld es un nuevo proyecto parte de la CryptoWorld Foundation que nace de la necesidad tanto de ayudar a los usuarios a montar y configurar correctamente y, sobre todo, de una forma mucho más rápida y sencilla que la que ofrece la documentación de Tor Project, tanto nodos de entrada y salida como relés.

Tal como podemos ver en su página web, TorWorld nos ofrece una serie de script para montar y configurar automáticamente los nodos o relés que queramos, así como información de para qué sirve cada uno. Además, también cuenta con una sencilla base de datos que nos permite conocer todos los nodos y relés que son fiables y seguros al 100%, así como la posibilidad de reportar los nodos sospechosos o maliciosos para registrarlos y darlos a conocer.

Estado nodos TorWorld

Por supuesto, todo es 100% OpenSource.

TaaS, o Tor-as-a-Service, un nuevo e interesante concepto en el que trabaja TorWorld

Por el momento, los responsables de este proyecto quieren facilitar la creación de nodos y relés totalmente seguros para ayudar a la red Tor a que siga creciendo, sin embargo, el proyecto es mucho más ambicioso de lo que parece.

En un futuro no muy lejano, esta plataforma quiere llegar a permitir a los usuarios montar sus propios nodos y relés de Tor por encima de su propia infraestructura simplemente pulsando un botón, sin la necesidad de nada más. De esta manera, todos los usuarios que quieran colaborar con el crecimiento y mantenimiento de la red Tor podrán hacerlo sin tener que llevar a cabo una compleja implementación y un complejo mantenimiento, incluso sin poner su propio hardware, ya que podremos alquilarlo a los responsables de este proyecto.

FUENTE: redeszone

¿Cuáles son las leyes argentinas más importantes en delitos informáticos?

Al hacer distintos cursos sobre informática forense internacionales, una de las cosas que primero se percibe es la poca información disponible sobre las leyes a nivel latinoamericano. Por lo tanto, en muchos casos tanto usuarios como peritos tienen que realizar un trabajo casi de investigación para conocer qué leyes existen y qué garantizan, ya que la información no esta tan a mano como se esperaría. Dado que estoy basado en Argentina y como vocero he recibido consultas sobre este tema en múltiples ocasiones, a lo largo de este artículo citaré algunas leyes y artículos que podrán ser de gran valor para aquellos que día a día conviven con la tecnología. Del mismo modo, es importante que quienes se dediquen específicamente a las pericias informáticas de este país, o pretendan hacerlo en un futuro, las conozcan.

A nivel mundial, cuando se habla de “delito informático” se implican actividades criminales que los países han tratado de encuadrar en figuras de carácter tradicional, tales como robos, hurtos, fraudes, estafas y sabotajes. En algunos países, como Argentina, esto generó que no se creen nuevas leyes, sino que se fueran modificando.

De manera general, podríamos decir que existen cuatro leyes que se encargan de enmarcar distintas figuras delictivas del mundo digital:

  1. Ley de Protección de Datos Personales (Ley 25326): Se caracteriza por definir principios generales relativos a la protección de datos. Esto abarca desde derechos de los titulares hasta las figuras de usuarios y responsables de archivos, registros y bancos de datos. El control, las sanciones, la acción de protección de los datos personales e inclusive el spam están vinculados a esta Ley.
  2. Ley de Propiedad Intelectual (Ley 11.723): Establece el régimen legal de la propiedad intelectual, es decir, actúa sobre las obras científicas, literarias y artísticas. Además, comprende los “escritos de toda naturaleza y extensión, entre ellos los programas de computación fuente y objeto”.
  3. Ley de Delitos Informáticos (Ley 388): Esta no es una ley especial que regula este tipo de delitos en un cuerpo normativo separado del Código Penal con figuras propias y específicas, sino una ley que modifica, sustituye e incorpora figuras típicas a diversos artículos actualmente en vigencia, con el objeto de regular las nuevas tecnologías como medios de comisión de delitos previstos en el Código. Principalmente incluye temas como:
  • Distribución y tenencia con fines de distribución de pornografía infantil
  • Violación de correos electrónicos
  • Acceso ilegítimo a sistemas informáticos
  • Daño informático y distribución de códigos maliciosos
  • Interrupción de comunicaciones o DoS
  1. Ley de Grooming (Ley 26.904): Esta ley sancionada en noviembre de 2013, tras una intensa campaña de organizaciones a favor, pena un delito que sigue en alarmante aumento. Según su Artículo 1°, que se incorporó como artículo 131 al Código Penal: “Será penado con prisión de seis (6) meses a cuatro (4) años el que, por medio de comunicaciones electrónicas, telecomunicaciones o cualquier otra tecnología de transmisión de datos, contactare a una persona menor de edad, con el propósito de cometer cualquier delito contra la integridad sexual de la misma”.

ley delitos informaticos

Ahora bien, si en algún momento deseas participar en un proceso legal como perito informático, o si simplemente quieres saber la situación legal en el país, seguramente las siguientes temáticas y artículos del Código procesal penal te sean de utilidad:

Con respecto a la facultad de ordenar las pericias

Art. 253: “El juez podrá ordenar pericias siempre que para conocer o apreciar algún hecho o circunstancia pertinente a la causa, sean necesarios o convenientes conocimientos especiales en alguna ciencia, arte o técnica”.

Calidad habilitante

Art. 254: “Los peritos deberán tener título de tales en la materia a que pertenezca el punto sobre el que han de expedirse y estar inscriptos en las listas formadas por el órgano judicial competente. Si no estuviere reglamentada la profesión, o no hubiere peritos diplomados o inscriptos, deberá designarse a persona de conocimiento o práctica reconocidos”.

Incapacidad e incompatibilidad

Art. 255: “No podrán ser peritos: los incapaces; los que deban o puedan abstenerse de declarar como testigos o que hayan sido citados como tales en la causa; los que hubieren sido eliminados del registro respectivo por sanción; los condenados o inhabilitados”.

Excusación y recusación

Art. 256: “Sin perjuicio de lo dispuesto en el artículo anterior, son causas legales de excusación y recusación de los peritos las establecidas para los jueces. El incidente será resuelto por el juez, oído el interesado y previa averiguación sumaria, sin recurso alguno”.

Obligatoriedad del cargo

Art. 257: “El designado como perito tendrá el deber de aceptar y desempeñar fielmente el cargo, salvo que tuviere un grave impedimento. En este caso, deberá ponerlo en conocimiento del juez, al ser notificado de la designación. Si no acudiere a la citación o no presentare el informe a debido tiempo, sin causa justificada, incurrirá en las responsabilidades señaladas para los testigos por los Art. 154 y 247. Los peritos no oficiales aceptarán el cargo bajo juramento”.

Nombramiento y notificación

Art. 258: “El juez designará de oficio a un perito, salvo que considere indispensable que sean más. Lo hará entre los que tengan el carácter de peritos oficiales; si no los hubiere, entre los funcionarios públicos que, en razón de su título profesional o de su competencia, se encuentren habilitados para emitir dictamen acerca del hecho o circunstancia que se quiere establecer. Notificará esta resolución al ministerio fiscal, a la parte querellante y a los defensores antes que se inicien las operaciones periciales, bajo pena de nulidad, a menos que haya suma urgencia o que la indagación sea extremadamente simple. En estos casos, bajo la misma sanción, se les notifica que se realiza la pericia, que puedan hacer examinar sus resultados por medio de otro perito y pedir, si fuere posible, su reproducción”.

Facultad de proponer

Art. 259: “En el término de tres (3) días, a contar de las respectivas notificaciones previstas en el Art. anterior, cada parte podrá proponer, a su costa, otro perito legalmente habilitado, conforme a lo dispuesto en el Art. 254”.

Directivas

Art. 260: “El juez dirigirá la pericia, formulará concretamente las cuestiones a elucidar, fijará el plazo en que ha de expedirse el perito y, si lo juzgare conveniente, asistirá a las operaciones. Podrá igualmente autorizar al perito para examinar las actuaciones o para asistir a determinados actos procesales”.

Conservación de objetos

Art. 261: “Tanto el juez como los peritos procurarán que las cosas a examinar sean en lo posible conservadas, de modo que la pericia pueda repetirse. Si fuere necesario destruir o alterar los objetos analizados o hubiere discrepancias sobre el modo de conducir las operaciones, los peritos deberán informar al juez antes de proceder”.

Ejecución. Peritos nuevos

Art. 262: “Los peritos practicarán unidos el examen, deliberarán en sesión secreta, a la que solo podrá asistir el juez, y si estuvieren de acuerdo redactarán su informe en común. En caso contrario, harán por separado sus respectivos dictámenes. Si los informes discreparen fundamentalmente, el juez podrá nombrar más peritos, según la importancia del caso, para que los examinen e informen sobre su mérito o, si fuere factible y necesario, realicen otra vez la pericia”.

Hasta aquí hemos dado un panorama acerca del código procesal argentino. Para finalizar, si tienes dudas acerca de cómo o dónde una víctima debe denunciar alguno de los delitos mencionados, no olvides revisar esta infografía de la organización Argentina Cibersegura:

FUENTE: welivesecurity

Deep Web, Dark Web y Darknet: éstas son las diferencias

El término Deep Web fue acuñado por la empresa especialista en indexado ‘Bright Planet’, y lo utilizaron para describir contenidos no indexables como las solicitudes de bases de datos dinámicas, los paywalls y otros elemento difíciles de encontrar mediante el uso de buscadores convencionales. Pero más tarde llegó el caso de Silk Road, y los medios de comunicación empezaron a utilizar ese término para referirse a otros elementos como las Dark Webs.

Bright Planet ha defendido en muchas ocasiones que el término Deep Web es inexacto para referirse a las Dark Webs y Darknets, pero el daño ya estaba hecho, la gente lo había asimilado y distinguir estas tres nomenclaturas se ha convertido en un infierno. Por eso, hoy vamos a intentar dejar estos tres conceptos para saber cuales son exactamente las diferencias y a qué nos referimos con ellos.

Iceberg

Por lo general, para distinguir los conceptos de Darknet, Deep Web y Surface Web o web superficial suele utilizarse el esquema del iceberg. La punta, lo poco que sobresale en la superficie es la web tal cual la conoces, la Surface Web. Todo lo que hay debajo del agua es la Deep Web, y la parte más profunda de ella es la de las Darknets.

Pero este esquema es demasiado simple, porque la Deep Web es algo más que lo no indexable en buscadores, y al lado del de Darknet habría que introducir otro término como el de la Dark Web que no suele aparecer. Por eso, vamos a empezar describiendo uno a uno cada uno de estos cuatro conceptos para saber diferenciarlos.

La Surface Web es el Internet que conoces

El primero de los conceptos que tienes que conocer es el de la ‘Clearnet’ o ‘Surface Net’, términos que en castellano significan ‘Red Limpia’ o ‘Red de superficie’. Ambos se refieren a lo mismo, Internet tal cual lo conocen la mayoría de los cibernautas, ese pedazo de la World Wide Web a la que cualquiera puede acceder fácilmente desde cualquier navegador.

Se trata de una red en la que somos fácilmente rastreables a través de nuestra IP. La componen principalmente las páginas indexadas por los buscadores convencionales como Google, Bing o Yahoo, pero también todas esas otras webs a las que puedes acceder de forma pública aún sin estar indexadas, como puede ser Facebook, Twitter y demás redes sociales, así como cualquier otra página web o blog.

Es difícil saber su tamaño exacto. Según Internet Live Stats esta está compuesta por más de 1.139 millones de páginas web, mientras que datos como WorldWideWebSize.com apuntan a que las superficie de Internet cuenta con más de 4.700 millones de páginas indexadas. Sea como fuere, la red accesible sigue teniendo sólo una pequeña parte de los datos que navegan por el ciberespacio.

Deep Web, las profundidades de la World Wide Web

Deep Web

Así como en líneas generales la Clearnet es esa porción de Internet a la que puedes acceder fácilmente con tu navegador, podríamos decir que la Deep Web viene a ser justo lo contrario. Teniendo en cuenta que el ~90% del contenido de la red no es accesible a través de motores de búsqueda estándar, estamos hablando de muchos datos.

También conocida como Invisible Web (Web Invisble) o Hidden Web (Web Oculta), engloba toda esa información que está online, pero a la que no puedes acceder de forma pública. Por una parte, pueden tratarse de páginas convencionales que han sido protegidas por un paywall, pero también archivos guardados en Dropbox o correos electrónicos guardados en los servidores de nuestro proveedor.

La Deep Web también la componen sitios con un “Disallow” en el archivo robots.txt o páginas dinámicas que se generan al consultar una base de datos. Por ejemplo, cuando entras en un portal de viaje y buscas un hotel en una ciudad determinada para un día concreto, la página que se crea con los resultados se indexa en ningún buscador, es temporal y forma parte de la Deep Web como las consultas bancarias y consultas similares.

Dark Web, el Internet de las profundidades

Cuentas Robadas

Muchas veces confundida con la Deep Web, aunque forma parte de ella, la Dark Web es ese fragmento de Internet al que sólo se puede acceder mediante aplicaciones específicas. Así como la Deep Web supone en torno al 90% de del contenido de la World Wide Web, la Dark Web ocuparía únicamente el 0,1% de ella.

Páginas como Diccionary.com la definen como “la porción de Internet que está intencionalmente oculta a los motores de búsqueda, usa direcciones IP enmascaradas y es accesible sólo con un navegador web especial: parte de la Deep Web”. Por lo tanto, aunque ambas están ocultas de los buscadores convencionales, la Deep Web es una recopilación de todo lo que hay fuera de ellos, incluyendo la Dark Web, que forma parte de ella pero es algo diferente.

Principalmente la Dark Web suele formarse por páginas que tienen dominios propios como las .onion de TOR o las .i2p de los eepsites de I2P, pero a las que no puedes acceder a no ser que tengas el software necesario para navegar por las Darknets en las que se alojan.

Existe la creencia de que, como la Deep Web suele ser en cierta manera la parte de Internet no indexada por los buscadores comerciales, la Dark Web no puede ser indexada por ninguno. Pero esto no es del todo cierto. Vale, en Google no encontrarás acceso a ella, pero existen otros buscadores específicos en los que sí que se puede hacer.

Algunos son accesibles desde la Clearnet, como Onion City, capaces de indexar miles de páginas .onion. También existen otros buscadores dentro de las propias Darknets como not Evil, Torch o una versión de DuckDuckGo también hacen lo mismo. Además, otras herramientas como Onion.to permiten acceder a las Dark Webs de TOR con sólo añadir la terminación .to, al dominio .onion, de manera que la web luzca como tupagina.onion.to.

Darknets, las redes independientes que componen la Dark Web

Cebolla

El término Darknet fue acuñado en 2002 en el documento “The Darknet and the Future of Content Distribution” escrito por Peter Biddle, Paul England, Marcus Peinado y Bryan Willman, cuatro investigadores de Microsoft. En él se refieren a ella como una colección de redes y tecnologías que podría suponer una revolución a la hora de compartir contenido digital.

Para explicar este concepto podríamos decir que mientras la Dark Web es todo ese contenido deliberadamente oculto que nos encontramos en Internet, las darknets son esas redes específicas como TOR o I2P que alojan esas páginas. Vamos, que aunque Internet sólo hay uno, la World Wide Web, hay diferentes darknets en sus profundidades ocultando el contenido que compone la Dark Web.

Las más conocidas son la red friend-to-friend Freenet, I2P o Invisible Internet Project con sus Eepsites con extensión .i2p o ZeroNet. con sus múltiples servicios. Pero la más popular de todas es TOR, una red de anonimización que tiene también su propia Darknet, y es básicamente a la que suele referirse todo el mundo cuando habla de ellas.

Teniendo en cuenta que no hay una definición prestablecida para las Darknets, tienes que tener en cuenta que aunque técnicamente es algo diferente, en muchas ocasiones se suele utilizar este mismo nombre para referirse a la Dark Web. O sea que no te asustes si ves en los medios que se refieren a uno como lo otro, lo importante es que se sepa diferenciar por fin de la Deep Web.

Deepweb Darknet 120815

Pero esta imagen que tienes arriba te marca la diferencia, mostrándote que la Darknet son las redes ocultas en sí, mientras que Dark Web se puede utilizar para referirse dos cosas. Por una parte, el término se utiliza para referirse al contenido, a las webs oscuras, mientras que por otra también se usa para hablar de la cultura que implica, un concepto un poco ambiguo para referirnos a todo lo relacionado, y que tantas veces se confunde con Deep Web.

Las connotaciones negativas de la Darknet

Darknet, red oscura, traducido el nombre enseguida te das cuenta de que puede tener una connotación negativa. Esto no es así por casualidad, ya que muchas de las Dark Webs que suele haber alojadas en ellas suelen tener fines negativos. Asesinos a sueldo, anonimato total y habitaciones rojas, no todos estos mitos son reales, pero ya vimos que no son pocas las páginas en las que encontrar objetos, sustancias o contenidos de dudosa legalidad.

Sin embargo no todo el mundo acepta estas connotaciones negativas, y muchos piensan en el término “oscuro” de estas redes como un símil de algo que está oculto entre las sombras. No porque sea necesariamente negativo, ya sabemos que en las Darknets también hay contenido útil y constructivo, sino por el simple hecho de que no se puede acceder a él de forma convencional.

Fuente:https://www.xataka.com

lunes, 30 de enero de 2017

Los escribanos plantan cara al Whatsapp (ESP)

  • El decano de la institución, Francisco Cantos, afirma que estos mensajes encierran una «fácil manipulación»
  • El Colegio Notarial de Valencia pide prudencia a la hora de levantar actas sobre conversaciones de esta aplicación

El Whatsapp se ha extendido a una velocidad vertiginosa, va muy por delante de la legislación, Por ello el Colegio Notarial de Valencia aconseja no levantar acta sobre las conversaciones de esta red de mensajería instantánea ante su «vulnerabilidad y su poca fiabilidad». Cada vez hay más casos que presentan como prueba judicial mensajes de esta aplicación y los notarios advierten de «su validez relativa».

Resultado de imagen para whatsapp notario

El decano del Colegio Notarial de Valencia, Francisco Cantos, confiesa que «este es un tema que lleva rondando desde 2014, cuando se probó que el remitente de los mensajes se podía hackear y manipular, pero como cada vez se nos piden más actas de certificación, estamos advirtiendo a nuestro colectivo para que ande con pies de plomo, porque sólo una persona con conocimientos informáticos puede certificar con seguridad la veracidad del ese tipo de mensajes instantáneos, su contenido y su origen».

Un acta firmada por un notario es como un plus de fiabilidad y precisamente Whatsapp no es sinónimo de este adjetivo, por eso a los miembros del gremio «no nos gustan los temas relacionados con esta red de mensajería en los que además aparecen conversaciones sobre temas peliagudos que pueden vulnerar los derechos a la privacidad de la otra persona», explica el decano.

Cantos asegura que su trabajo se puede limitar a certificar una evidencia pero no a dar una garantía procesal. Es más, estas actas suelen ser impugnadas en los juzgados por los abogados contrarios por su validez relativa. Los Ingenieros informáticos advierten de que aproximadamente una de cada 20 pruebas electrónicas están manipuladas.

Es por ello que desde la Asociación de Perítos Judiciales Informáticos, su presidente Ángel Bahamontes, asegura que «son nuestras máquinas las que son capaces de desgranar cualquier documento digital para darle mayor validez en un juicio. Nosotros realizamos informes de 17.000 páginas de garantías con toda esa información que se esconde detrás, porque todo lo digital es rastreable y tiene evidencias, otra cosa es que todos las sepan leer». Esta asociación con tan sólo cinco años de vida aumenta sus socios a pasos agigantados. Empezaron con 46 y ahora son 1.200 y todos ellos con trabajo en donde verificar conversaciones de Whatsapp sobre divorcios, custodias y violencia de género está a la orden del día.

Unos se acercan y otros se alejan de esta aplicación que tantos dolores de cabeza causa a la justicia. Pero todavía no existe ni un juez 2.0 ni sobre todo un notario 2.0 que pueda firmar con seguridad la procedencia y el contenido de estos documentos digitales. El gremio quiere mantenerse lejos de cualquier posible responsabilidad civil o futuras reclamaciones de indemnizaciones porque la prueba no sea del todo fehaciente.

viernes, 20 de enero de 2017

¿Puede un WhatsApp borrado convertirse en una prueba en un juicio?

ESPAÑA

Las conversaciones a través de sistemas de mensajería instantánea siempre han estado en entredicho como medio de prueba. La posibilidad de eliminar mensajes enviados podría complicar más las cosas.
Miles de millones de usuarios de smartphones utilizan sistemas de mensajería instantánea como WhatsApp o Telegram como herramienta central para sus comunicaciones. Tanto es así, que muchas de estas conversaciones han terminado por llegar a los juzgados como medio de prueba en causas abiertas. Aunque los jueces se mostraron reacios en un inicio, poco a poco, este sistema de comunicación ha calado en las jurisdicciones nacionales como indicio, al igual que sucedió en su día con los correos electrónicos.
Sin embargo, las informaciones que se han publicado y que afirman que se podrán eliminar y editar mensajes de las conversaciones mantenidas tanto a través de WhatsApp como Telegram, las dos compañías más importantes a nivel mundial, hace que muchos se planteen si este tipo de sistemas perderán fuerza probatoria ante un tribunal.
"Actualmente, las comunicaciones digitales -correo electrónico o mensajería instantánea- son el principal medio de comunicación que existe y negar a la evidente licitud sería una locura. Creo que la posibilidad de eliminar o editar mensajes no tendrá un impacto demasiado relevante en la aportación de conversaciones como medio de prueba en los tribunales. Hay que recordar que este tipo de evidencias han sido aceptadas en los juzgados, pero siempre en conjunción con otro tipo de pruebas y nunca en solitario. Cualquier caso se basa en la presentación de una serie de pruebas que permiten alcanzar una conclusión razonable visualizándolas en conjunto", explica Norman Heckn, socio el departamento de tecnologías de la información de Ramón y Cajal.

Alteración lícita

El letrado insiste en que, aunque una conversación sea alterada de manera lícita -puesto que se lo permite el sistema de mensajería-, ya sea borrando o editando el contenido, siempre deja un rastro y se puede demostrar que ha existido una conversación. "Siempre se podrá justificar que la comunicación ha tenido lugar, aunque será más complicado acreditar el contenido", añade.
En este sentido, Alejandro Touriño, socio director de Ecija, entiende que para hacer valer en un juicio una conversación de WhatsApp y su contenido como prueba no sólo valdrán fotografías de la misma, sino que deberán siempre ir apoyadas por una validación técnica. "La instantánea de una conversación a través de un sistema de mensajería instantánea no tiene demasiado valor probatorio en sí, puesto que esta fotografía puede ser alterada. Frente a esta situación, lo mejor es contar con un peritaje informático que acredite que la evidencia electrónica cumple la cadena de custodia y que existe una certeza técnica de que no ha sido alterada".
El experto en nuevas tecnologías de Ecija insiste en que con este tipo de informe cualquier juez debería aceptar este tipo de prueba y que si una de las partes aporta una conversación completa como medio de prueba y la otra lo niega, será esta última la que tendrá que aportar evidencias que acrediten lo contrario.
"Pensar que la posibilidad de borrar o editar un mensaje en una comunicación electrónica a través de WhatsApp podría rebajar la importancia y validez en un juicio de una prueba como ésta sería una locura. Al fin y al cabo, es lo mismo que si una de las partes se niega a mostrar la conversación en su dispositivo, aunque no hubiese borrado los mensajes", concluye.

Sistemas de acreditación

En la sentencia 300/2015, de 19 de mayo, el Tribunal Supremo estableció que la prueba de una comunicación bidireccional mediante sistemas de mensajería instantánea debía ser abordada con "todas las cautelas, debido a que la posibilidad de una manipulación forma parte de la realidad de las cosas". Frente a esta necesaria precaución de juicio y para evitar la impugnación de la prueba, una de las mejores opciones es presentar ante un juzgado el smartphone o dispositivo en el que se encuentre la conversación para que un secretario judicial levante acta del contenido con la transcripción literal de los mensajes. Otra de las opciones existentes es acudir ante un notario para que éste, mediante un acta, dé fe pública del contenido, tanto en lo que respecta al propio chat, como de las conversaciones que se encontraban en el dispositivo aportado y deje claro los números de teléfono correspondientes a las personas que enviaron los mensajes. Por último, y para dar una muestra más de que la integridad de la conversación no ha sido alterada, también es esencial contar con un informe pericial.

miércoles, 18 de enero de 2017

Tinfoleak v.2.0- Vicente Aguilera

 

Download last version


Las redes sociales son una fuente de información imprescindible en procesos de investigación con distintos propósitos. Entre estas redes, Twitter destaca por la actividad de sus usuarios dada la facilidad de uso y su simplicidad. En muchas ocasiones, los usuarios no son conscientes de todos los datos que facilitamos (directa o indirectamente) y del uso que podría realizar un tercero de la información que publicamos.

Con idea de disponer de una herramienta OSINT (Open-Source INTelligence) que permita automatizar la extracción de información en Twitter y facilitar el análisis posterior para la generación de inteligencia, Vicente Aguilera Díaz ha desarrollado la herramienta Tinfoleak.

La versión 2.0 actual, implementa las siguientes funcionalidades:

Tinfoleak v2.0

Steve Wozniak twitter profile Tinfoleak 

Información básica sobre el usuario:

  • Imagen del perfil.
  • Fecha de creación de la cuenta.
  • Estado de verificación de la cuenta.
  • Nombre en Twitter.
  • Nombre completo de usuario.
  • Descripción de la cuenta.
  • ID de Twitter.
  • Número de seguidores.
  • Número de usuarios a los que sigue.
  • Número de tweets enviados y promedio de tweets por día.
  • Número de likes.
  • Número de listas.
  • URL extendida.
  • Característica de geolocalización.
  • Ubicación.
  • Zona horaria.
  • Idioma.

Steve Wozniak Client Applications Tinfoleak 

Aplicaciones utilizadas por el usuario:

  • Aplicaciones utilizadas por el usuario para publicar tweets.
  • Número de tweets publicados por el usuario desde cada una de las aplicaciones.
  • Porcentaje de uso de cada aplicación respecto el total de aplicaciones.
  • Fecha del primer uso de la aplicación.
  • Primer tweet publicado con cada aplicación.
  • Fecha del último uso de la aplicación.
  • Último tweet publicado con cada aplicación.
  • Número total de aplicaciones identificadas.

Análisis de hahstags:

  • Fecha, hora, número de retweets, número de likes, usuario que publica el hashtag,
    imagen de perfil del usuario que publica el hashtag, ubicación del usuario que
    publica el hashtag y consulta de los tweets publicados por el usuario
    conteniendo hashtags.
  • Para cada hashtag utilizado por el usuario, se muestra el periodo de tiempo en el
    que fue publicado, el número de retweets, el número de likes, y el número
    de veces que fue utilizado.
  • Fecha, hora, número de retweets, número de likes, y consulta de tweet,
    de los diez hashtags más utilizados por el usuario.
  • Número de hashtags identificados.

Steve Wozniak hashtags Tinfoleak
Análisis de menciones:

  • Fecha, hora, número de retweets, número de likes, usuario que publica las
    menciones, imagen del perfil del usuario que publica las menciones, ubicación del
    usuario que publica las menciones y consulta de los tweets publicados por
    el usuario conteniendo menciones de usuario.
  • Para cada usuario mencionado, se muestra el periodo de tiempo en el que fue
    mencionado, el número de retweets, el número de likes, y el número
    de veces que fue utilizado.
  • Fecha, hora, número de retweets, número de likes, y
    consulta de las diez menciones más utilizadas por el usuario.
  • Número de menciones identificadas.

Steve Wozniak Twitter Mentions Tinfoleak

Análisis del texto publicado:

  • Se muestran los tweets publicados por el usuario que cumplen el filtro especificado
    (búsqueda por palabras clave, retweets, contenido multimedia y listas negras).
  • Para cada tweet, se muestra la fecha, hora, el usuario que publica el tweet,
    la imagen del perfil del usuario, el nombre del usuario, la ubicación
    del usuario y el contenido del tweet.
  • Número de tweets reportados.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de Metadatos:

  • Se muestran metadatos asociados a las imágenes.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de imágenes y videos:

  • Se muestran las imágenes y videos publicados por el usuario, junto a la fecha y
    hora de su publicación, la aplicación utilizada, el usuario a quien se ofrece
    respuesta (si la hubiera), el número de retweets y likes, así como la consulta
    del tweet donde se publica el contenido multimedia asociado.
  • Número de imágenes y videos publicados por el usuario.
  • Descarga de todo el contenido multimedia publicado por el usuario.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de la geolocalización:

  • Fecha y hora de la publicación del tweet.
  • Coordenadas y localización desde las que se publicó el tweet.
  • Información sobre el contenido multimedia (fotografía o video) contenido en el tweet.
  • Acceso al tweet geolocalizable.
  • Aplicación utilizada para la publicación del tweet.
  • Localización asociada a las coordenadas desde las que se publicó el tweet.
  • Ruta seguida por el usuario (incluyendo periodo de tiempo en el que permanece
    en cada ubicación, y número de tweets que envía desde cada una de ellas).
  • Localizaciones más visitadas por el usuario, incluyendo periodo de tiempo
    desde el que publica tweets desde cada localización, número de tweets que envía,
    días de la semana en los que ha publicado tweets desde cada localización,
    día de la semana que más publicaciones ha realizado, coordenadas de cada
    localización y nombre de la ubicación.
  • Generación de fichero de salida en formato KML para ser importado desde
    Google Earth, mostrando los tweets y el contenido multimedia publicado
    desde cada ubicación.

Steve Wozniak Twitter Metadata Tinfoleak


Análisis basado en coordenadas geográficas

  • Identificación de tweets publicados en el área geográfica especificada.
  • Fecha, hora, coordenadas geográficas, contenido multimedia publicado, y
    aplicación utilizada en la publicación de cada tweet, así
    como el usuario geolocalizado y consulta del tweet asociado.
  • Identificación de usuarios geolocalizados, incluyendo fotografía del usuario,
    su identificador en Twitter, así como sus identidades digitales en Instagram,
    Foursquare y Facebook.
  • Identificación de usuarios etiquetados en el área geográfica especificada.
    Se incluye el usuario etiquetado, el usuario que lo ha etiquetado, la fecha y hora
    de publicación del tweet, la fotografía en la que se ha etiquetado al usuario,
    y las coordenadas geográficas donde se publicó el tweet.
  • Análisis de contenido multimedia publicado en el área geográfica especificada.
  • Análisis de hashtags y menciones realizadas en el área geográfica especificada.

Análisis de conversaciones entre usuarios

Análisis de conversaciones entre usuarios

  • Se muestran las conversaciones que ha mantenido el usuario especificado
    con el resto de usuarios.
  • Los tweets se agrupan por conversación y se muestran ordenados
    en base al tiempo, mostrando una apariencia de chat.
  • Las conversaciones pueden ser filtradas en base a usuarios, fechas,
    o palabras clave.
  • Se muestra el número de conversaciones y el número
    de mensajes por conversación.

Steve Wozniak Twitter Metadata Tinfoleak

Análisis de identidades digitales

  • Identificación de la presencia del usuario en otras redes sociales
  • Se muestra la red social en la que se ha identificado al usuario, el identificador,
    nombre y fotografía que utiliza en cada red social, así como información adicional.
  • Se analiza la presencia del usuario en las siguientes redes sociales:
    Twitter, Instagram, Foursquare, Facebook, LinkedIn, Runkeeper, Flickr, Vine,
    Periscope, Kindle, Youtube, Google+ y Frontback.

sábado, 14 de enero de 2017

eToolz, una herramienta de ping, traceroute y WhoIS todo en uno

Por lo general, cuando queremos comprobar la conectividad de nuestro equipo con un host solemos utilizar la herramienta Ping, si queremos conocer todos los saltos de red desde nuestro sistema al destino la herramienta de traceroute y si queremos obtener información sobre un dominio una aplicación WhoIS. Todas estas aplicaciones suelen ser independientes unas de otras, sin embargo, gracias a eToolz, vamos a poder unificarlas y poder acceder fácilmente a todas ellas sin depender de nada más.

eToolz es una aplicación de origen alemán totalmente gratuita que nos permite centralizar las principales herramientas de red e Internet en una única interfaz de manera que podamos realizar fácilmente todas las consultas y comprobaciones que necesitemos sin tener que depender de varias herramientas diferentes para dicho fin.

Las principales características de eToolz son:

  • Combina y unifica las principales herramientas de red como Ping, Traceroute y Whois.
  • Permite conocer los principales registros DNS de un dominio.
  • Búsqueda automática o manual de los servidores Whois.
  • Permite comprobar la validez de las direcciones de correo.
  • Permite actualizar la hora del sistema desde diferentes servidores.
  • Muestra el encabezado HTTP de una URL.
  • Nos permite ver el adaptador de red utilizado y su información IPv4.

Como hemos dicho, esta aplicación es totalmente gratuita para todos los usuarios, y podemos descargarla desde su página web principal. Además, esta aplicación es portable, por lo que para utilizarla no necesitaremos instalarla en nuestro ordenador y podremos llevarla siempre con nosotros en una memoria USB.

Controla el tráfico de tu red local con Network Meter

Controla el tráfico de tu red local con Network Meter

Cómo funciona eToolz

Una vez descargada esta herramienta la ejecutaremos y lo primero que veremos será una interfaz similar a la siguiente.

etoolz

Como podemos ver, en la parte superior tendremos una barra de menú con todas las herramientas que nos ofrece esta aplicación, como las consultas DNS, las pruebas de Ping, el Traceroute, el WhoIS, etc.

Para utilizar cualquiera de estas herramientas, lo único que debemos hacer es pulsar sobre ella y veremos, en la parte inferior, su apartado correspondiente. Por ejemplo, en el caso de las consultas DNS, tendremos que introducir el dominio a analizar, marcar las opciones deseadas y pulsar sobre “Start” para que el programa nos muestre los resultados obtenidos.

etoolz dns

En el caso del Ping, tan solo debemos introducir la IP o el dominio que queremos comprobar (o el rango de IPs si seleccionamos MultiPing) y pulsar de nuevo sobre Start.

etoolz ping

Si queremos comprobar la ruta tracert desde nuestro ordenador a un host, igualmente introduciremos la IP o el dominio de destino y lanzaremos el test.

etoolz trace

Para obtener la información WhoIS de un host o dominio, el proceso es similar. Tan solo tendremos que introducir el dominio o IP a analizar, elegir la información que queremos que nos devuelva la herramienta y lanzar el análisis desde el botón Start.

etoolz whois

Esta herramienta nos ofrece, como hemos dicho, otras herramientas como el comprobador de direcciones de correo, el analizador de cabeceras HTML, el reloj NTP o el analizador de tarjetas de red locales y, a grandes rasgos, todas ellas funcionan de forma muy similar.

Aunque la mayoría de estas herramientas (ping, tracert, etc) vienen incluidas por defecto en los principales sistemas operativos, como podemos ver, eToolz nos brinda acceso muy sencillo a estas herramientas desde una interfaz clara y, además, nos muestra la información de la forma más intuitiva posible para que con un solo vistazo podamos encontrar la información que estamos buscando.