Guía para Autopsy Forensic Browser

Los chicos de Sans Forensics han publicado una guía con la que manejar el frontal de análisis forense Autopsy será prácticamente coser y cantar.


Autopsy es un frontal Web que permite realizar operaciones de análisis forense sirviendo como interfaz gráfico del popular juego de herramientas forenses The Sleuth Kit (TSK). TSK es un referente en el mundo del análisis forense mediante la línea de mandatos, y que permite a los investigadores lanzar auditorías forenses no intrusivas en los sistemas a investigar. Probablemente la mayor concentración de uso de TSK la tengamos en dos tipos de análisis: análisis genérico de sistemas de archivos y líneas temporales de ficheros.

TSK tiene una larga historia, ya que emplea el mismo código que The Coroner's Toolkit (TCT), de Wietse Venema y Dan Farmer, y puede ser empleado en plataformas Linux, Mac OS X, CYGWIN, OpenBSD, FreeBSD y Solaris. Es posible su instalación en Windows, aunque es poco frecuente, ya que la mayoría de suites forenses suelen estar disponibles como live CDs de Linux, aprovechando no sólo la abundancia de aplicaciones libres, sino la integración de las mismas.

Para facilitar la labor de los investigadores, TSK y Autopsy suelen ir de la mano, lo que hace que no sea necesario invocar constantemente la línea de comandos cuando queremos inspeccionar una imagen. Un paso a paso para aprender los conceptos básicos de este frontal puede resultar bastante útil para principiantes. En este ejemplo se describe cómo abrir un caso y cómo vincular una imagen de un sistema a investigar al mismo. También se muestra cómo acceder a los procedimientos básicos de investigación (líneas temporales de actividad, verificación de la integridad de una imagen, secuenciador de eventos ... etc.)

Podéis ojear el paso a paso en este enlace.

Fuente: http://seguridad-informacion.blogspot.com/

Extraído de http://unlugarsinfin.blogspot.es

Prueba tus herramientas de seguridad en Moth

Moth es una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables, que puedes utilizar para:

1. Probar scanners de seguridad en aplicaciones Web
2. Probar herramientas de análisis de código estático (SCA)
3. Dar un curso introductorio de seguridad en aplicaciones Web

La motivación para crear esta herramienta llegó al equipo de Bonsai después de leer "anantasec-report.pdf", el cual esta incluido en el archivo de distribución y puedes bajar libremente. El objetivo principal de esta herramienta es el de dar a la comunidad un banco de pruebas listo para utilizar a la hora de probar herramientas de seguridad Web. Para casi todas las vulnerabilidades en aplicaciones Web que existen, moth posee un script de prueba.

Hay tres maneras diferentes de acceder las aplicaciones Web y scripts vulnerables incluidos en moth:

1. Directamente

2. Por medio de mod_security

3. Por medio de PHP-IDS (solo si la aplicacion Web esta escrita en PHP)

Tanto mod_security como PHP-IDS poseen sus configuraciones por defecto, y muestran el detalle del ataque detectado cuando este sucede. Esta funcionalidad es muy útil para probar scanners de vulnerabilidades Web, y enseñar a estudiantes el funcionamiento de los Web application firewalls. Lo interesante es que un usuario puede acceder el mismo script vulnerable utilizando los tres métodos, lo cual ayuda mucho en el proceso de enseñanza.

Más información sobre moth en su página http://www.bonsai-sec.com/es/research/moth.php

Extraído de http://unlugarsinfin.blogspot.es

Un PC infectado puede enviar 600.000 emails de SPAM por día

Un estudio llevado a cabo por la compañía californiana Marshal8e6 en sus dependencias de investigación, TRACElabs, ha estudiado el comportamiento de un PC infectado de forma correlativa por los 9 bots que han creado las botnets más grandes del mundo. El estudio ha tenido en cuenta el comportamiento del PC así como la capacidad de mandar SPAM de cada infección.

Tal y como ha aclarado el analista senior de amenazas en TRACElabs, Phil Hay, uno de sus objetivos es ver el papel que tienen las redes botnet en el mundo del spam. El estudio ha concluido que Rustock y Xarvester, son los más prolíficos en cuanto a SPAM, pudiendo enviar hasta 25.000 emails por hora, lo que acaba con 600.000 emails por día y 4,2 millones por semana.

Según TRACElabs, Rustock fue el responsable del 26 % de todo el SPAM generado en el primer trimestre de 2009, Mega-D y Pushdo le siguen con un 22 % y 18% respectivamente, dejando el cuarto lugar para el también prolífico y mencionado anteriormente Xarvester con un 8 % del SPAM generado globalmente desde enero hasta finales de marzo.

El año pasado, antes de la desarticulación de los servidores de McColo, desde donde trabajaban numerosos bots, Stewart de SecureWorks afirmó que Srizbi y toda su red eran capaces de enviar 60.000 millones de emails de SPAM por día.

Fuente: theinquirer.es

Extraído de http://unlugarsinfin.blogspot.es

Process Hacker

Process hacker es una herramienta para manipular los procesos y servicios del equipo.


Primo hermano de Process Explorer de Sysinternals, trae algunas características que animan a usarlo en su lugar:

Muestra un listado de los procesos.
Los procesos aparecen coloreados y te indica si son procesos del sistema, del usuario, si es nuevo, etc.
Te informa de los tipos de memoria que usa cada programa, los archivos usados por el programa en ejecución.
En ésta versión, en comparación con las anteriores, mejora la terminación de los procesos y el escaneo de procesos ocultos.
Tiene un mejor rendimiento.
Incluye soporte básico para Windows 7.

Para que funcione necesitas tener instalado .NET Framework 2.0
Plataformas: Win 2000/XP/2003/Vista/7.
Idiomas: Inglés.
Licencia: Gratis (GPL).

Web: processhacker.sourceforge.net

Descarga: Process Hacker

Extraído de http://unlugarsinfin.blogspot.es

Security Tools List

Muy recomendable, echar un vistazo a la lista " Security Tools List - The security list from security auditors for security auditors " que actualiza la web http://securitytoolslist.domandhost.com/ donde se muestra las principales herramientas de seguridad que se utilizan en la actualidad para auditoría informática y cumplimiento de medidas relacionadas con la seguridad de la Información.

Extraído de http://unlugarsinfin.blogspot.es

Shatter attacks

Este post en una introducción a ‘shatter attacks’, un tipo de ataque ya veterano (del 2002) que se basa en el uso del API de Windows, y que como veréis más adelante todavía sigue siendo muy delicado.

Una aplicación que se ejecuta en Windows básicamente lo que hace es procesar los mensajes que va recibiendo. Cualquier programa tiene la capacidad de enviar mensajes a otros programas y no existe ningún sistema de autenticación, lo que abre la posibilidad a un nuevo mundo de vulnerabilidades de seguridad.

"Exploiting design flaws in the Win32 API for privilege escalation - or Shatter Attacks - How to break Windows" es un artículo de Foon (Chris Paget) que presentaba un nuevo método para atacar los sistemas basados en Win32 (y con la posibilidad que otros entornos basados en el proceso de mensajes se ven igualmente afectados).

Lo más importante de esta vulnerabilidad es que no tiene una solución fácil. Al menos no mediante la aplicación de un simple parche, ya que se trata de un problema en el propio diseño del entorno.

La estructura de un programa Windows se puede simplificar, muy superficialmente, de la siguiente forma: el programa está constantemente recibiendo mensajes que son enviados por el núcleo y los otros programas en ejecución. Su misión consiste en procesar todos aquellos para los que el programador ha incluido alguna acción. Por ejemplo, cada vez que se pulsa una tecla, Windows envía el mensaje WM-KEYDOWN a la aplicación que está en primer plano. Todos los mensajes generados se sitúan en una cola y son procesados de forma secuencial por cada aplicación.

El problema de seguridad se encuentra en el hecho que Windows permite a una aplicación en ejecución enviar un mensaje a cualquier ventana abierta en el mismo ordenador (o escritorio, para ser más exactos), con independencia de si la ventana receptora tiene alguna relación con la aplicación que emite el mensaje o de sí el receptor de mensajes desea recibir los mensajes que le son enviados.

Adicionalmente, Windows no facilita a las aplicaciones ningún mecanismo para determinar la autenticación del emisor del mensaje.

Es justamente esta falta de funciones de autenticación la que puede ser aprovechada en este tipo de ataques.

Una aplicación maliciosa puede enviar un mensaje a un programa que se está ejecutando con el que puede manipular las ventanas y los procesos del programa receptor del mensaje.

Este tipo de ataques, hoy por hoy, todavía sólo pueden realizarse en local.

Parece que Microsoft ha solventado estos problemas a partir de Windows Vista y a través de la asignación de niveles de integridad a cada proceso a través de UIPI (User Interface Privilege Isolation) e impediendo que los usuarios por defecto se logeen con Sesión 0.

Aunque recordemos que todavía el rey de los puestos cliente sigue siendo XP…

Extraído de http://unlugarsinfin.blogspot.es

Seminario Seguridad en redes sociales

SEMINARIO SEGURIDAD EN REDES SOCIALES: ¿ESTÁN NUESTROS DATOS PROTEGIDOS?

Fecha: miércoles 6 de mayo de 2009
Lugar: Salón de Actos de la EUITT - UPM
Se ha cambiado de lugar pues hay más de 275 inscritos a fecha 15 de abril

08:45 - 09:00
Recepción y acreditación
09:00 - 09:30
INAUGURACIÓN
D. Artemi Rallo, Director de la Agencia Española de Protección de Datos AEPD
D. Arturo Canalda, Defensor del Menor de la Comunidad de Madrid
Dña. María Teresa González, Defensora Universitaria de la UPM
D. Pablo Pérez, Gerente del Observatorio de la Seguridad de la Información de INTECO
D. Jorge Ramió, Director de la Cátedra UPM Applus+
09:30 - 10:00
Los menores y las nuevas tecnologías
D. Arturo Canalda, Defensor del Menor de la Comunidad de Madrid
10:00 - 10:30
Las redes sociales como nuevo entorno de confianza
D. Ícaro Moyano, Director de Comunicación de Tuenti

10:30 - 11:15
DESCANSO E INVITACIÓN A CAFÉ
11:15 - 11:45
Redes sociales: nueva frontera para la privacidad de los digital babies
D. Emilio Aced, Subdirector de la Agencia de Protección de Datos de la Comunidad de Madrid

11:45 - 12:15
Diagnóstico sobre la seguridad de la información y privacidad en las redes sociales online
D. Pablo Pérez, Gerente del Observatorio de la Seguridad de la Información de INTECO

12:15 - 13:45
COLOQUIO
Modera:
D. Justo Carracedo, Catedrático EUITT - Cátedra UPM Applus+
Participan:
Dña. María Teresa González, Defensora Universitaria de la UPM
D. Emilio Aced, Subdirector de la Agencia de Protección de Datos de la Comunidad de Madrid
D. Ícaro Moyano, Director de Comunicación de Tuenti
D. Pablo Pérez, Gerente del Observatorio de la Seguridad de la Información de INTECO
13:45 - 14:00
CONCLUSIONES Y CLAUSURA
D. Antonio Troncoso, Director de la Agencia de Protección de Datos de la Comunidad de Madrid
Dña. Gemma Déler, Directora de IT & Telecom de Applus+
D. Rafael Herradón, Subdirector de Relaciones Externas e Institucionales de la EUITT
D. Justo Carracedo, Cátedra UPM Applus+
D. Jorge Ramió, Director de la Cátedra UPM Applus+



Extraído de http://unlugarsinfin.blogspot.es