Best practices: Recoger pruebas de equipos informáticos
Se trata de un documento divulgativo promovido por el Servicio Secreto de los Estados Unidos y en cuya elaboración han participado diferentes cuerpos policiales de aquel país.
En él se detalla el procedimiento a seguir para decidir si debe ser incautado algún dispositivo electrónico o informático y se detallan las normas más elementales para recoger las pruebas de forma fiable.
Se repasa el tratamiento de ordenadores, teléfonos móviles, buscapersonas, faxes, tarjetas inteligentes, rastreo de emails, etc.
En él se detalla el procedimiento a seguir para decidir si debe ser incautado algún dispositivo electrónico o informático y se detallan las normas más elementales para recoger las pruebas de forma fiable.
Se repasa el tratamiento de ordenadores, teléfonos móviles, buscapersonas, faxes, tarjetas inteligentes, rastreo de emails, etc.
Descarga: Best practices for seizing electronic evidence [US Secret Service].
Visto en Kriptópolis.
Outline
- Purpose
- Introduction
- Recognizing Potential Evidence
- Preparing for the Search and/or Seizure
- Conducting the Search and/or Seizure
- Secure the Scene
- Secure the Computer as Evidence - Other Electronic Storage Devices
- Wireless Telephones
- Electronic Paging Devices
- Facsimile Machines
- Caller ID Devices
- Smart Cards - Tracing an Internet E-mail
- About this Publication
domingo 8 de junio de 2008
Recolección de evidencias forenses en Sistema Vivo
Con la herramienta Evidence Collector se puede hacer una recolección de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados.
Con esta herramienta podemos extraer las siguientes evidencias:
* Información de sistema: Usuarios, IP y MAC .
* Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
* Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
* Software instalados: Listado del software instalado en la maquina.
* Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
* Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
* Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
* Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
* Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
* Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
* Módulos sospechosos: Explora módulos en busca rootkit.
* Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
* Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.* Información de sistema: Usuarios, IP y MAC .
* Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
* Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
* Software instalados: Listado del software instalado en la maquina.
* Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
* Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
* Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
* Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
* Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
* Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
* Módulos sospechosos: Explora módulos en busca rootkit.
* Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
Para utilizar esta herramienta se necesitan permisos de administrador.
Recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.
Recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.
Más información y descarga de Evidence Collector
Fuente: Guro de la Informatica
viernes 30 de mayo de 2008
Security Distros
. BackTrack is a distribution based off of what used to be WHAX and Auditor . It is a full size distro built off of SLAX. BackTrack Main Discuss Download Status: Active
. Damn Vulnerable Linux ( DVL ) is a Linux-based tool for IT-Security. It was initiated for training tasks during university lessons by the IITAC (International Institute for Training, Assessment, and Certification) and S²e - Secure Software Engineering in cooperation with the French Reverse Engineering Team. Web:DamnVulnerableLinux.org Damn Vulnerable Linux ( DVL ) Main Discuss Download Status: Active
. DEFT (acronym of Digital Evidence & Forensic Toolkit) is a customized distribution of the Kubuntu live Linux CD. It is a very easy to use system that includes an excellent hardware detection and the best open source applications dedicated to incident response and computer forensics. Web:Deft.yourside. it DEFT Main Discuss Download Status: Active
. FCCU: The Gnu/Linux boot CD-Rom is made by the Belgian Federal Computer Crime Unit (FCCU)It's based on the KNOPPIX Live CD version 4.02 by Klaus Knopper.The main purpose of the CD : help the forensic analyze of computersAll scripts made by the FCCU begin with the "fccu" prefix. Web:lnx4n6.be FCCU Main Download Status: Active
. Frenzy is a "portable system administrator toolkit," LiveCD based on FreeBSD. It generally contains software for hardware tests, file system check, security check and network setup and analysis. Size of ISO-image is 200 MBytes (3" CD)"- Web: frenzy.org.ua/eng/ Frenzy Main Discuss Download Status: Active
. grml is a bootable CD (Live-CD) based on Knoppix and Debian. grml includes a collection of GNU/Linux software especially for users of texttools and system administrators. grml provides automatic hardware detection. You can use grml for example as a rescue system, for analyzing systems/networks or as a working environment. Web: grml.org/ grml Main Discuss Download Status: Active
. Hakin9 a bootable distribution containing all the tools and materials needed for practising methods and techniques described in the hackin9 magazine. Web: www.hakin9.org/en/index.php?page=hakin9_live - Hakin9 Main Discuss Download Status: Active
. Helix is a customized distribution of the Knoppix Live Linux CD. Helix is more than just a bootable live CD. You can still boot into a customized Linux environment that includes customized linux kernels, excellent hardware detection and many applications dedicated to Incident Response and Forensics. Web: www.e-fense.com/helix/ Discuss Download Status: Active
. HeX is a live security distribution that focuses on security monitoring and forensics. HeX Main Discuss Download Status: Active
. KCPentrix Project was founded in May 2005 , KCPentrix 1.0 was liveCD designed to be a standalone Penetration testing toolkit for pentesters, security analysts and System administrators. Web:KCPentrix.com KCPentrix Main Discuss Download Status: Active
. Knoppix-NSM is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring or who want to qucikly and reliably deploy NSM in their network. Our goal is to provide an introduction to NSM and a distribution that can be used as a launch pad to bigger things. Web: www.securixlive.com Knoppix-NSM Main Discuss Download Status: Active
. Network Security Toolkit ( NST ): This bootable ISO live CD is based on Fedora. The toolkit was designed to provide easy access to best-of-breed Open Source Network Security Applications and should run on most x86 platforms. Web: networksecuritytoolkit.org Network Security Toolkit ( NST ) Main Discuss Download Status: Active
. nUbuntu: The main goal of nUbuntu is to create a distribution which is derived from the Ubuntu distribution, and add packages related to security testing, and remove unneeded packages, such as Gnome, Openoffice.org, and Evolution. Web:nubuntu.org nUbuntu Main Discuss Download Status: Active
. Ophcrack LiveCD contains a small linux system (SLAX6), ophcrack for linux and rainbow tables for alphanumerical passwords.The liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Windows Vista SAM can also be cracked. Web:Ophcrack.sourceforge.net Ophcrack Main Discuss Download Status: Active
. OWASP Labrat: The OWASP Live CD (LabRat) is a bootable CD akin to knoppix but dedicated to Application Security. It shall serve as a vehicle and distrubition medium for OWASP tools and guides. Web:OWASP.org OWASP Labrat Main Discuss Download Status: Active
. Protech is a specially designed Linux distribution for security technicians and programmers. It's imcomparable usability and stability makes this a unique product. Web:Techm4sters Protech Main Discuss Download Status: Active
. Stagos FSE aims to be a computer forensic framework based on FLOSS operating system. Builds from Ubuntu, it has many feature to do forensics stuff. It supports read variant filesystem, include ntfs. It also support read some forensic imaging file from another forensic software such like ENCASE. Web:linuxforums.org Stagos FSE Main Download Status: Active
. Arudius is a Linux live CD with tools that try to address the network security aspect (penetration testing and vulnerability analysis) of information assurance. It is based on Slackware (Zenwalk) for i386 systems and targets the information security audience. Arudius Main Discuss Download Status: Inactive
. Auditor is a Live-System based on KNOPPIX. With no installation whatsoever, the analysis platform is started directly from the CD-Rom and is fully accessible within minutes. Independent of the hardware in use, the Auditor security collection offers a standardised working environment, so that the build-up of know-how and remote support is made easier. Web:www.remote-exploit.org/index.php Auditor Main Discuss Download Status: Inactive
. FIRE is a portable bootable cdrom based distribution with the goal of providing an immediate environment to perform forensic analysis, incident response, data recovery, virus scanning and vulnerability assessment. Web:fire.dmzs.com FIRE Main Discuss Download Status: Inactive
. INSERT is a complete, bootable linux system. It comes with a graphical user interface running the fluxbox window manager while still being sufficiently small to fit on a credit card-sized CD-ROM. Web:www.inside-security.de/insert_en.html - INSERT Main Discuss Download Status: Inactive
. Knoppix-STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Web:www.knoppix-std.org/- Knoppix-STD Main Discuss Download Status: Inactive
. Local Area Security ( LAS ) Main Discuss Download Status: Inactive
. NavynOS is a gnu/linux distribution based on Gentoo. Gentoo isn't a typical distribution like Debian or Slackware, it doesn't even have an installer, it is similar to making your own distribution. The main part of Gentoo is portage, a set of scripts for installing and removing programs. Web:navynos.linux.pl/ NavynOS Main Discuss Download Status: Inactive
. Operator is a complete Linux (Debian) distribution that runs from a single bootable CD and run s entirely in RAM. Web:www.ussysadmin.com/operator/ Operator Main Discuss Download Status: Inactive
. Pentoo is a penetration testing LiveCD distribution based on Gentoo. It features a lot of tools for auditing and testing a network, from scanning and discovering to exploiting vulnerabilities. Web:www.pentoo.ch/-PENTOO-.html - Pentoo Main Discuss Download Status: Inactive
. PHLAK is a modular live security Linux distribution (a.k.a LiveCD). PHLAK comes with two light gui's (fluxbox and XFCE4), many security tools, and a spiral notebook full of security documentation. PHLAK is a derivative of Morphix, created by Alex de Landgraaf. Web:www.phlak.org/modules/news/- PHLAK Main Discuss Download Status: Inactive
. PLAC is a business card sized bootable cdrom running linux. It has network auditing, disk recovery, and forensic analysis tools. ISO will be avialable and scripts to roll you own cd." web:sourceforge.net/projects/plac/ PLAC Main Discuss Download Status: Inactive
. Plan-B is a bootable Linux environment without the need for a hard drive, it runs entirely in ram or from the cd, based on a basic, stripped installation of Red Hat Linux and the fundamental workings of the SuperRescue CD. web:www.projectplanb.org/ Plan-B Main Discuss Download Status: Inactive
. SENTINIX is a GNU/Linux distribution designed for monitoring, intrusion detection, vulnerability assessment, statistics/graphing and anti-spam. It's completely free; free to use, free to modify and free to distribute. SENTINIX includes the following software, installed and pre-configured; Nagios, Nagat, Snort, SnortCenter, ACID, Cacti, RRDTool, Nessus, Postfix, MailScanner, SpamAssassin, openMosix, MySQL, Apache, PHP, Perl, Python and lots more. Web:sentinix.tigerteam.se/ SENTINIX Main Discuss Download Status: Inactive
. SNARL is a bootable forensics ISO based on FreeBSD and using @stake's autopsy and task as well as scmoo's list of known good checksums. Web:snarl.eecue.com SNARL Main Download Status: Inactive
. Talos is a security LiveCD, based on SLAX 5.1.0 with over 90 security tools preinstalled. It runs directly from the CD without the need to install on the harddisk. Talos is currently on BETA version 0.1 and its available to download. Web:ISafe.gr Talos Main Discuss Download Status: Inactive
. ThePacketMaster - Mission-Specific Live-CD Linux Distributions Web:thepacketmaster.com ThePacketMaster Main Discuss Download Status: Inactive
. Trinux: Minimal ramdisk linux distribution meant for network monitoring. Trinux Main Discuss Download Status: Inactive
. WarLinux A linux distribution for WarDrivers. WarLinux Main Discuss Download Status: Inactive
. WHAX Updated project from Whoppix. Currently discontinued and merged with BackTrack. WHAX Main Discuss Download Status: Inactive
. Whoppix is a stand-alone penetration-testing live CD based on KNOPPIX. With the latest tools and exploits, it is a must for every penetration tester and security auditor. Whoppix includes several exploit archives, such as Securityfocus, Packetstorm, SecurityForest and Milw0rm, as well as a wide variety of updated security tools. Whoppix Main Discuss Download Status: Inactive
. Damn Vulnerable Linux ( DVL ) is a Linux-based tool for IT-Security. It was initiated for training tasks during university lessons by the IITAC (International Institute for Training, Assessment, and Certification) and S²e - Secure Software Engineering in cooperation with the French Reverse Engineering Team. Web:DamnVulnerableLinux.org Damn Vulnerable Linux ( DVL ) Main Discuss Download Status: Active
. DEFT (acronym of Digital Evidence & Forensic Toolkit) is a customized distribution of the Kubuntu live Linux CD. It is a very easy to use system that includes an excellent hardware detection and the best open source applications dedicated to incident response and computer forensics. Web:Deft.yourside. it DEFT Main Discuss Download Status: Active
. FCCU: The Gnu/Linux boot CD-Rom is made by the Belgian Federal Computer Crime Unit (FCCU)It's based on the KNOPPIX Live CD version 4.02 by Klaus Knopper.The main purpose of the CD : help the forensic analyze of computersAll scripts made by the FCCU begin with the "fccu" prefix. Web:lnx4n6.be FCCU Main Download Status: Active
. Frenzy is a "portable system administrator toolkit," LiveCD based on FreeBSD. It generally contains software for hardware tests, file system check, security check and network setup and analysis. Size of ISO-image is 200 MBytes (3" CD)"- Web: frenzy.org.ua/eng/ Frenzy Main Discuss Download Status: Active
. grml is a bootable CD (Live-CD) based on Knoppix and Debian. grml includes a collection of GNU/Linux software especially for users of texttools and system administrators. grml provides automatic hardware detection. You can use grml for example as a rescue system, for analyzing systems/networks or as a working environment. Web: grml.org/ grml Main Discuss Download Status: Active
. Hakin9 a bootable distribution containing all the tools and materials needed for practising methods and techniques described in the hackin9 magazine. Web: www.hakin9.org/en/index.php?page=hakin9_live - Hakin9 Main Discuss Download Status: Active
. Helix is a customized distribution of the Knoppix Live Linux CD. Helix is more than just a bootable live CD. You can still boot into a customized Linux environment that includes customized linux kernels, excellent hardware detection and many applications dedicated to Incident Response and Forensics. Web: www.e-fense.com/helix/ Discuss Download Status: Active
. HeX is a live security distribution that focuses on security monitoring and forensics. HeX Main Discuss Download Status: Active
. KCPentrix Project was founded in May 2005 , KCPentrix 1.0 was liveCD designed to be a standalone Penetration testing toolkit for pentesters, security analysts and System administrators. Web:KCPentrix.com KCPentrix Main Discuss Download Status: Active
. Knoppix-NSM is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring or who want to qucikly and reliably deploy NSM in their network. Our goal is to provide an introduction to NSM and a distribution that can be used as a launch pad to bigger things. Web: www.securixlive.com Knoppix-NSM Main Discuss Download Status: Active
. Network Security Toolkit ( NST ): This bootable ISO live CD is based on Fedora. The toolkit was designed to provide easy access to best-of-breed Open Source Network Security Applications and should run on most x86 platforms. Web: networksecuritytoolkit.org Network Security Toolkit ( NST ) Main Discuss Download Status: Active
. nUbuntu: The main goal of nUbuntu is to create a distribution which is derived from the Ubuntu distribution, and add packages related to security testing, and remove unneeded packages, such as Gnome, Openoffice.org, and Evolution. Web:nubuntu.org nUbuntu Main Discuss Download Status: Active
. Ophcrack LiveCD contains a small linux system (SLAX6), ophcrack for linux and rainbow tables for alphanumerical passwords.The liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Windows Vista SAM can also be cracked. Web:Ophcrack.sourceforge.net Ophcrack Main Discuss Download Status: Active
. OWASP Labrat: The OWASP Live CD (LabRat) is a bootable CD akin to knoppix but dedicated to Application Security. It shall serve as a vehicle and distrubition medium for OWASP tools and guides. Web:OWASP.org OWASP Labrat Main Discuss Download Status: Active
. Protech is a specially designed Linux distribution for security technicians and programmers. It's imcomparable usability and stability makes this a unique product. Web:Techm4sters Protech Main Discuss Download Status: Active
. Stagos FSE aims to be a computer forensic framework based on FLOSS operating system. Builds from Ubuntu, it has many feature to do forensics stuff. It supports read variant filesystem, include ntfs. It also support read some forensic imaging file from another forensic software such like ENCASE. Web:linuxforums.org Stagos FSE Main Download Status: Active
. Arudius is a Linux live CD with tools that try to address the network security aspect (penetration testing and vulnerability analysis) of information assurance. It is based on Slackware (Zenwalk) for i386 systems and targets the information security audience. Arudius Main Discuss Download Status: Inactive
. Auditor is a Live-System based on KNOPPIX. With no installation whatsoever, the analysis platform is started directly from the CD-Rom and is fully accessible within minutes. Independent of the hardware in use, the Auditor security collection offers a standardised working environment, so that the build-up of know-how and remote support is made easier. Web:www.remote-exploit.org/index.php Auditor Main Discuss Download Status: Inactive
. FIRE is a portable bootable cdrom based distribution with the goal of providing an immediate environment to perform forensic analysis, incident response, data recovery, virus scanning and vulnerability assessment. Web:fire.dmzs.com FIRE Main Discuss Download Status: Inactive
. INSERT is a complete, bootable linux system. It comes with a graphical user interface running the fluxbox window manager while still being sufficiently small to fit on a credit card-sized CD-ROM. Web:www.inside-security.de/insert_en.html - INSERT Main Discuss Download Status: Inactive
. Knoppix-STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Web:www.knoppix-std.org/- Knoppix-STD Main Discuss Download Status: Inactive
. Local Area Security ( LAS ) Main Discuss Download Status: Inactive
. NavynOS is a gnu/linux distribution based on Gentoo. Gentoo isn't a typical distribution like Debian or Slackware, it doesn't even have an installer, it is similar to making your own distribution. The main part of Gentoo is portage, a set of scripts for installing and removing programs. Web:navynos.linux.pl/ NavynOS Main Discuss Download Status: Inactive
. Operator is a complete Linux (Debian) distribution that runs from a single bootable CD and run s entirely in RAM. Web:www.ussysadmin.com/operator/ Operator Main Discuss Download Status: Inactive
. Pentoo is a penetration testing LiveCD distribution based on Gentoo. It features a lot of tools for auditing and testing a network, from scanning and discovering to exploiting vulnerabilities. Web:www.pentoo.ch/-PENTOO-.html - Pentoo Main Discuss Download Status: Inactive
. PHLAK is a modular live security Linux distribution (a.k.a LiveCD). PHLAK comes with two light gui's (fluxbox and XFCE4), many security tools, and a spiral notebook full of security documentation. PHLAK is a derivative of Morphix, created by Alex de Landgraaf. Web:www.phlak.org/modules/news/- PHLAK Main Discuss Download Status: Inactive
. PLAC is a business card sized bootable cdrom running linux. It has network auditing, disk recovery, and forensic analysis tools. ISO will be avialable and scripts to roll you own cd." web:sourceforge.net/projects/plac/ PLAC Main Discuss Download Status: Inactive
. Plan-B is a bootable Linux environment without the need for a hard drive, it runs entirely in ram or from the cd, based on a basic, stripped installation of Red Hat Linux and the fundamental workings of the SuperRescue CD. web:www.projectplanb.org/ Plan-B Main Discuss Download Status: Inactive
. SENTINIX is a GNU/Linux distribution designed for monitoring, intrusion detection, vulnerability assessment, statistics/graphing and anti-spam. It's completely free; free to use, free to modify and free to distribute. SENTINIX includes the following software, installed and pre-configured; Nagios, Nagat, Snort, SnortCenter, ACID, Cacti, RRDTool, Nessus, Postfix, MailScanner, SpamAssassin, openMosix, MySQL, Apache, PHP, Perl, Python and lots more. Web:sentinix.tigerteam.se/ SENTINIX Main Discuss Download Status: Inactive
. SNARL is a bootable forensics ISO based on FreeBSD and using @stake's autopsy and task as well as scmoo's list of known good checksums. Web:snarl.eecue.com SNARL Main Download Status: Inactive
. Talos is a security LiveCD, based on SLAX 5.1.0 with over 90 security tools preinstalled. It runs directly from the CD without the need to install on the harddisk. Talos is currently on BETA version 0.1 and its available to download. Web:ISafe.gr Talos Main Discuss Download Status: Inactive
. ThePacketMaster - Mission-Specific Live-CD Linux Distributions Web:thepacketmaster.com ThePacketMaster Main Discuss Download Status: Inactive
. Trinux: Minimal ramdisk linux distribution meant for network monitoring. Trinux Main Discuss Download Status: Inactive
. WarLinux A linux distribution for WarDrivers. WarLinux Main Discuss Download Status: Inactive
. WHAX Updated project from Whoppix. Currently discontinued and merged with BackTrack. WHAX Main Discuss Download Status: Inactive
. Whoppix is a stand-alone penetration-testing live CD based on KNOPPIX. With the latest tools and exploits, it is a must for every penetration tester and security auditor. Whoppix includes several exploit archives, such as Securityfocus, Packetstorm, SecurityForest and Milw0rm, as well as a wide variety of updated security tools. Whoppix Main Discuss Download Status: Inactive
Fuente: Security Distro .com
Otras Distros de Seguridad:
. TPM Security Server: I've just completed the final touches on version 1.2.1. This version incorporates all the packages I had been working on in January until the problem with the Linux kernel mremap function came around and I decided to put out a fix first. TPM Security Server Main and Download
. ELE is a bootable Live CD Linux distribution with focus on privacy related software. It is based on Damn Small Linux and aims to be (obviously) as small as possible. The first release was 65M, the current one 61M. ELE Main and Download
. Anonym.OS is an OpenBSD 3.8 Live CD with strong tools for anonymizing and encrypting connections. Standard network applications are provided and configured to take advantage of the tor onion routing network. Anonym.OS Main and Download
Tools: NetworkMiner - Análisis de red con sniffer pasivo
Utilizando la herramienta NetworkMiner es un sniffer pasivo para Windows, con un interfaz fácil de utilizar. Puede detectar: los sistemas operativos, las sesiones, los nombres de equipo, los puertos abiertos…
NetworkMiner hace uso de bases de datos de la huellas del sistema operativo para identificarlos y también utiliza la listas de Mac fabricantes para identificar dispositivos de red.
Esta herramienta puede extraer los archivos que fluyen a través de una red, excepto los archivos multimedia (tales como archivos audios o video) almacenándolos en carpetas clasificadas por IP de las que provienen. Otra característica muy útil es que el usuario puede buscar los datos interceptados o almacenados por palabras claves.
También utiliza métodos estadísticos para la identificación de una sesión de TCP o UDP, identificando el protocolo correcto basado en el contenido del paquete de TCP/UDP. De esta manera NetworkMiner puede identificar protocolos incluso si el servicio funciona en un puerto no estándar.Con esta herramienta se puede hacer un sencillo análisis forense de las capturas de trafico guardadas en archivos PCAP.
Visto en Guru de la informática
lunes 5 de mayo de 2008
COFEE (Computer Online Forensic Evidence Extractor)
COFEE (Computer Online Forensic Evidence Extractor) es una memoria Flash USB entregada por Microsoft en forma gratuita a fuerzas de seguridad de distintos países que dispone de más de 150 comandos que facilitan la obtención de pruebas desde una máquina sospechosa de haber intervenido en un delito. Según el anuncio permite descifrar contraseñas, rastrear la actividad reciente en Internet y acceder a los datos almacenados en la PC a la que se conecten para hacer análisis forense.
Más de 2.000 policías de quince países disponen ya de este dispositivo.
Mas Info...
martes 22 de abril de 2008
Insecure Mag 16
Se publico el ultimo numero de la revista digital de libre descarga Insecuremag (para descargar el numero hacer click en la imagen).Temario del numero:
- Security policy considerations for virtual worlds
- US political elections and cybercrime
- Using packet analysis for network troubleshooting
- The effectiveness of industry certifications
- Is your data safe? Secure your web apps
- RSA Conference 2008 / Black Hat 2008 Europe
- Windows log forensics: did you cover your tracks?
- Traditional vs. non-tranditional database auditing
- Payment card data: know your defense options
- Security risks for mobile computing on public WLANs: hotspot registration
- Network event analysis with Net/FSE
- Producing secure software with security enhanced software development processes
- AND MORE!
viernes 11 de abril de 2008
Primer Congreso Nacional de Hacking Ético (Colombia)
Primer Congreso Nacional de Hacking Ético
10 de Mayo del 2008, Bogotá - Colombia
El programa de Tecnología en Redes de Computadores y Seguridad Informática de la Corporación Universitaria Minuto de Dios – UNIMINUTO – organiza por primera vez en Colombia este congreso de carácter informático, computacional y de relevancia socio cultural.
El desarrollo temático del congreso está a cargo de los siguientes ponentes:
WEB SERVICES: CONCEPTOS E INSEGURIDAD
La evolución de las plataformas tecnológicas exige de las organizaciones revisar y analizar las condiciones y características de la seguridad de la información. Eneste sentido, los paradigmas de seguridad han venido cambiando conforme los desarrollos tecnológicos y de negocio así lo han exigido. En este contexto, estacharla busca presentar y analizar los retos emergentes de las aplicaciones orientadas a servicios y cómo nuevamente se exige a los especialista de seguridad dela información repensar la seguridad ahora en un contexto abierto y de amplia interacción, donde la inseguridad tiene un nuevo espacio para crecer y madurar. Jeimy J. Cano, Ph.D, CFE
"HACKING WITHIN NAILS" (HACKEANDO CON LA UÑAS) .
Una perspectiva sobre diferentes técnicas "aparentemente de bajo nivel técnico", con las cuales "cualquier individuo inquieto" puede desarrollar estrategias efectivas de ataques informáticos (con una alta capacidad de daño). La idea es observar con "demos en vivo" cómo, sin ser ingeniero, sin ser el "super-hacker", sin ser el experto programador, una persona hostil puede lograr excelentes resultados de intrusión en empresas y organizaciones "típicas colombianas". La presentación incluye: demo del desarrollo de un gusano con funciones de troyano y puerta trasera (10 minutos), un video de ataque masivo a servicios adsl con una duración de 14 minutos, y un video de un ataque real a una infraestructura ISP (supuestamente los roles más importantes a nivel de conectividad) con una duración de 17 minutos. Guillermo Jurado.
REDES INALÁMBRICAS: “LO QUE SABEN LOS HACKERS Y UD. NO” En las grandes ciudades proliferan las Redes Inalámbricas. La movilidad y facilidad de instalación atraen masivamente a nuevos usuarios. Pero la tecnología WIFI, presenta problemas de seguridad que se suman al desconocimiento de la mayoría de usuarios. Estudios demuestran que más del 60% de las redes están totalmente desprotegidas o con seguridad muy débil. Por ello, se requieren muchos menos conocimientos para hackear una red inalámbrica que para hackear una red cableada. En la conferencia se analizarán los siguientes temas:
REDES INALÁMBRICAS: “LO QUE SABEN LOS HACKERS Y UD. NO” En las grandes ciudades proliferan las Redes Inalámbricas. La movilidad y facilidad de instalación atraen masivamente a nuevos usuarios. Pero la tecnología WIFI, presenta problemas de seguridad que se suman al desconocimiento de la mayoría de usuarios. Estudios demuestran que más del 60% de las redes están totalmente desprotegidas o con seguridad muy débil. Por ello, se requieren muchos menos conocimientos para hackear una red inalámbrica que para hackear una red cableada. En la conferencia se analizarán los siguientes temas:
- Nociones básicas de la tecnología wifi
- Puntos débiles de las Redes Inalámbricas
- Lo que saben los Hackers y Ud. no
- Recomendaciones para mejorar la seguridad de su red inalámbrica
Ing. Eduardo Tabacman
TÉCNICAS ANTI-FORENSES: UN NUEVO RETO PARA LAS ORGANIZACIONES
El mundo de la inseguridad informática ha despertado a un nuevo frente de acción que viene generando grandes desafíos en los ambientes tecnológicos modernos "las ciencias antiforenses", esta charla tiene como propósito mostrar los nuevos retos a los que se encuentran tanto la seguridad de la información como las ciencias forenses, y con ello afrontar el nuevo panorama de evasión al cual nos estamos enfrentando. Ing. Andrés Ricardo Almanza Junco.
El mundo de la inseguridad informática ha despertado a un nuevo frente de acción que viene generando grandes desafíos en los ambientes tecnológicos modernos "las ciencias antiforenses", esta charla tiene como propósito mostrar los nuevos retos a los que se encuentran tanto la seguridad de la información como las ciencias forenses, y con ello afrontar el nuevo panorama de evasión al cual nos estamos enfrentando. Ing. Andrés Ricardo Almanza Junco.
DESARROLLO DE HERRAMIENTAS DE HACKING PARA REDES
La posibilidad de implementar diferentes técnicas a partir del desarrollo de herramientas de hacking marca la diferencia en las capacidades de un consultor en seguridad de la información. El conocimiento profundo de los protocolos, complementado con las habilidades programación le permiten adaptarse fácilmente a diferentes entornos y realizar pruebas que no necesariamente sean posibles con las herramientas existentes para realizar análisis de vulnerabilidades. Esta charla pretende mostrar cómo, a partir del análisis de algunas características básicas de TCP/IP, desarrollar herramientas que permitan controlar estas características de tal manera que puedan ser utilizadas bien sea obtener información de un host, evadir un mecanismo de protección o bien encontrar fallas en la implementación de los mismos. Ing. Daniel Torres Falkonert.
EVOLUCIÓN DE LOS LABORATORIOS DE INFORMÁTICA FORENSE: CONCEPTOS Y CASOS
La conferencia ilustrará acerca del proceso de implementación de los laboratorios de Informática Forense en Colombia, la valoración de la evidencia digital en algunos casos llevados a Audiencia de Juicio Oral por parte de la Policía Nacional, problemas presentados, así como las proyecciones que se tienen frente a esta temática. Mayor Freddy Bautista Garcia.
HACKING DE TODO TIPO DE TECNOLOGIAS
Generalmente se piensa que el "hacking" está orientado únicamente a redes, servidores y aplicativos. Esta charla intenta cambiar esa percepción y crear una conciencia de la vulnerabilidad a la que estamos expuestos todos los días al emplear todo tipo de tecnologías en nuestra vida cotidiana. Todos los días, en todo lugar, nuestras vidas dependen de la tecnología. Alguna vez ha pensado Ud. en qué tan seguro es el sistema de su tarjeta de débito, de crédito, su celular, su pase de Transmilenio, el chip de identificación que le implantaron, etc? Esta conferencia muestra las experiencias y resultados de alguien que si se lo ha preguntado, y lo ha investigado. Se hablará de tecnologías de infrarrojo, bandas magnéticas, bluetooth, RFID, entre otros, con demostraciones en vivo. Martín A. Rubio C.
Generalmente se piensa que el "hacking" está orientado únicamente a redes, servidores y aplicativos. Esta charla intenta cambiar esa percepción y crear una conciencia de la vulnerabilidad a la que estamos expuestos todos los días al emplear todo tipo de tecnologías en nuestra vida cotidiana. Todos los días, en todo lugar, nuestras vidas dependen de la tecnología. Alguna vez ha pensado Ud. en qué tan seguro es el sistema de su tarjeta de débito, de crédito, su celular, su pase de Transmilenio, el chip de identificación que le implantaron, etc? Esta conferencia muestra las experiencias y resultados de alguien que si se lo ha preguntado, y lo ha investigado. Se hablará de tecnologías de infrarrojo, bandas magnéticas, bluetooth, RFID, entre otros, con demostraciones en vivo. Martín A. Rubio C.
ATACANDO REDES INALAMBRICAS
En la charla se busca explicar los protocolos WEP y WPA, sus fortalezas y debilidades y explicar como el programa Aircrack funciona, mezclando estos conocimientos en la parte práctica para hacer crack de una llave WEP y realizar un ataque de diccionario contra el protocolo WPA. Héctor Giovanni Cruz Forero
En la charla se busca explicar los protocolos WEP y WPA, sus fortalezas y debilidades y explicar como el programa Aircrack funciona, mezclando estos conocimientos en la parte práctica para hacer crack de una llave WEP y realizar un ataque de diccionario contra el protocolo WPA. Héctor Giovanni Cruz Forero
Fuente: ACIS.org.co
Web del evento: hacking.uniminuto.edu/
miércoles 26 de marzo de 2008
Como saber que dispositivos USB se han conectado
El portal forensic-es.org dedicado a la informática forense, nos presenta la herramienta USBDeview:
Con el bajo coste de estos dispositivos todo el mundo tiene un PenDrive en su bolsillo, con lo que facilita el transporte de la información personal y laboral. Por desgracia también generan problemas de seguridad, a saber, robo de información, virus, herramientas ilícitas, etc...
Con todo, se hace necesario tener controlados estos dispositivos, ya sea negando su uso general, negando casos específicos o simplemente recuperando la información sobre su uso.
Todas estas operaciones nos las facilita USBDeview que con solo 80Kb en disco se convierte en una utilidad ideal para llevar en USB.
La información que nos brinda es muy variada pasando por última conexión, fabricante, numero de serie, etc. 
License
This utility is released as freeware. You are allowed to freely distribute this utility via floppy disk, CD-ROM, Internet, or in any other way, as long as you don't charge anything for this. If you distribute this utility, you must include all files in the distribution package, without any modification !
System Requirement
This utility works on Windows 2000/XP/2003/Vista. Windows 98/ME is not supported.
Using USBDeview
USBDeview doesn't require any installation process or additional DLL files. Just copy the executable file (USBDeview.exe) to any folder you like, and run it. The main window of USBDeview displays all USB devices installed on your system. You can select one or more items, and then disconnect (unplug) them , uninstall them, or just save the information into text/xml/html file.
Más info y descarga aquí.
Post Relacionados:
- Auditoria de puertos USB
- Los pendrive (USB flash drive) traen de cabeza a las empresas
- Los riesgos empresariales con los dispositivos móviles
- Ocultan programas espía en hardware para exportación
- 82% de pérdida de información es producida por los empleados
martes 25 de marzo de 2008
Centro de Informática Forense comenzará a operar en 2009
En enero del próximo año comenzará a operar el Centro Nacional de Informática Forense (Cenif) que forma parte de los convenios binacionales entre las Repúblicas de Cuba y Venezuela.
La información la suministró este lunes la superintendente de Servicios de Certificación Electrónica (Suscerte), Niurka Hernández, durante el acto de entrega a la Fundación Instituto de Ingeniería (FII) del certificado como proveedor de Servicios de Certificación Electrónica y Seguridad de la Información.
Hernández detalló que el proceso de capacitación del personal que laborará en el Cenif comenzó el pasado mes de enero y que en la misma fecha del próximo año ya estará operativo este laboratorio en donde se procesarán las evidencias digitales presentes en delitos informáticos.
La superintendente indicó que el proyecto de conformación del Cenif están involucrados funcionarios del Cuerpo de Investigación Científicas Penales y Criminalísticas (CICPC), del Ministerio Público, de la División Ejecutiva de la Magistratura (DEM) y de Suscerte.
“El personal del CICPC va a tener las herramientas necesarias para detectar algún tipo delito relacionado con medios electrónicos como la clonación de tarjetas, el secuestro exprés con correos electrónicos, la búsqueda de recompensas, el cambio de identidad, estafas, y amenazas”, explicó la titular de Suscerte.
Asimismo, señaló que desde el Cenif se harán los rastreos de las evidencias digitales para poder determinar dónde, cómo, y quién generó el delito informático, a fin de darle valor probatorio a las pruebas digitales que posteriormente irán a juicio. Para el desarrollo de este proyecto, la Comisión Mixta cubo-venezolana invertirá unos 4,3 millones de bolívares fuertes, aproximadamente unos 2 millones de dólares al cambio actual.
Cadena Global/ABN
Via CadenaGlobal.com
martes 11 de marzo de 2008
Informática forense tipo CSI
Menos mal se superó de una forma rápida y elegante la crisis de la semana pasada con Ecuador, Venezuela y Nicaragua y que ojalá la dura mirada de Correa, cuando le dio la mano a Uribe, haya sido solo flor de un día.
Dentro de los cuestionamientos que se hicieron sobre los documentos encontrados en los computadores del narcoterrorista alias 'Reyes', el principal fue que estos se habían implantado después de haber dado de baja a los bandidos, para inventarles cuentos a los gobiernos de Chávez y Correa. Este argumento puede ser desmentido muy fácilmente usando los principios, la tecnología y el software que se requiere para hacer una aplicación de computación forense en estos equipos.
La computación o informática forense es el equivalente a lo que se ve con frecuencia en la televisión en los programas de CSI, en los que un investigador se coloca guantes, protege el sitio del delito rodeándolo de cinta, recoge las pruebas forenses preservando la cadena de custodia y las lleva a las autoridades respectivas para que sean usadas para lo que se requiera.
Lo mismo sucede cuando se hace computación forense en un computador.
Generalmente son cuatro los pasos que se deben seguir.
- El primero es el de la identificación de la evidencia digital.
- El segundo radica en su preservación.
- El tercero es el del análisis de las evidencias.
- Y el cuarto, su presentación para efectos legales.
Con la informática forense se puede saber la fecha exacta de creación de los documentos en un disco así se haya modificado la fecha para hacer creer que son más antiguos. Se puede establecer cuándo se crearon, si fueron compartidos o no, etc. La creencia de que borrar documentos del disco duro equivale a volverlos invisibles es totalmente equivocada. Existen técnicas para revivirlos y examinarlos como si nunca se hubieran botado a la caneca digital.
Igualmente, con mucha frecuencia se puede recuperar, de una forma íntegra y confiable, la información grabada en un disco duro así este se encuentre en muy mal estado, e inclusive si está roto. Para ello existen tecnologías y técnicas que tienen mucho que ver con computación forense.
En el caso que nos concierne, se deben aplicar las técnicas digitales forenses para eliminar cualquier duda sobre la veracidad de los documentos, lo que sin duda va a ocurrir. Como esta evidencia digital no se va a usar para un juicio legal sino para establecer la fecha real de creación de los documentos para rebatir los argumentos superficiales de los presidentes Chávez y Correa, no se hace necesario seguir todos los pasos exigidos, aunque si esto se hace, mucho mejor.
Guillermo Santos Calderón. Columnista de EL TIEMPO
miércoles 23 de enero de 2008
Papers: Computación Forense
A continuacion les presentamos algunos papers realizados en el contexto del curso Introducción a la Computación Forense ofrecido en la Pontificia Universidad Javeriana, durante el segundo semestre de 2007.
Práctica de Asalto a una Sesión TCP
Autores: Guillermo Fonseca, María Camila González, Bernardo Andrés Neira
Resumen: En este documento se explica la estructura de un asalto a una sesión TCP, se presenta un ejemplo práctico utilizando la herramienta Hunt y se evidencian los rastros que se dejan tras el ataque.
DESCARGA
DESCARGA
Métodos de Control y Acceso a través de Dispositivos de Almacenamiento USB
Autores: Paola Peña, Iván Vásquez
Resumen: Este documento presenta un análisis de mecanismos de acceso a través de dispositivos USB, siendo éstos destinados principalmente a quebrantar la seguridad de sistemas basados en Microsoft Windows. Igualmente, el documento presenta una aplicación de “Hackblade” la cual es una de las técnicas que pueden ser utilizadas para realizar un ataque a través de un dispositivo USB. Por último, se discuten algunas medidas de detección y prevención recomendables para evitar un ataque realizado con un dispositivo USB.
DESCARGA
Autores: Paola Peña, Iván Vásquez
Resumen: Este documento presenta un análisis de mecanismos de acceso a través de dispositivos USB, siendo éstos destinados principalmente a quebrantar la seguridad de sistemas basados en Microsoft Windows. Igualmente, el documento presenta una aplicación de “Hackblade” la cual es una de las técnicas que pueden ser utilizadas para realizar un ataque a través de un dispositivo USB. Por último, se discuten algunas medidas de detección y prevención recomendables para evitar un ataque realizado con un dispositivo USB.
DESCARGA
Blue MAC Spoofing: El Backdoor de Bluetooth
Autores: Carlos Castillo, José Luis Gómez-Casseres, Edgar TorresBajo la dirección de: Julio Álvarez y Jeimy Cano
Resumen: El siguiente documento es un análisis del ataque de seguridad informática Blue MAC Spoofing en dispositivos móviles. Se inicia con una introducción de la tecnología de telefonía celular, incluyendo el protocolo de comunicación Bluetooth y sus mecanismos de seguridad. Luego de esto se expone la realización del ataque, cómo se realiza y cuales de las políticas de seguridad del protocolo son vulneradas. Por último realizamos un análisis forense buscando rastros en el celular afectado para poder identificar el posible atacante y que acciones realizó en el dispositivo sin autorización. Al final del artículo se exponen las conclusiones y las consecuencias de este fallo de seguridad en los dispositivos móviles actuales.
DESCARGA
Via La WeB de DragoN
viernes 11 de enero de 2008
Oracle Forensics II
Como complemento al post "Oracle Forensics", presentamos una serie de documentos realizados por David Litchfield, NGSSoftware dedicados específicamente al análisis forense de base de datos Oracle:
martes 23 de octubre de 2007
Certificaciones en Análisis Forense
Todos los que trabajamos en IT conocemos la importancia de las certificaciones hoy en día, no solo para probar nuestros conocimientos, sino también para conseguir un mejor sueldo.
Para todos los interesados en comenzar a especializarse en el análisis forense, aquí les dejo una lista de las certificaciones más conocidas:
Certificaciones de Fabricantes:
Certificaciones Genéricas:
- SANS GCFA, "GIAC Certified Forensics Analyst"
- CHFI, "Computer Hacking Forensic Investigator"
- CFCE, "Certified Forensic Computer Examiner"
- CCE, "Certified Computer Examiner"
Cual es la mejor ? eso depende de los objetivos de cada uno, pero puedo decirles que haciendo una búsqueda de empleos en el campo forense he visto que las más solicitadas son la EnCE, GCFA y ACE.
Generalmente se solicita una de estas en conjunto con alguna otra de seguridad como la CISSP.
Fuente: kungfoosion.blogspot.com
Articulo relacionado:
CFEC - Computer Forensic External Certification
. Credenciales para investigadores forenses en informática. Certificaciones y entrenamiento
. Computer Forensic External Certification
lunes 8 de octubre de 2007
Investigaciones vinculadas a Redes Informáticas e Internet
"Investigaciones vinculadas a Redes Informáticas e Internet" es una traducción efectuada por ARCERT [*] del documento "Investigations Involving the Internet and Computer Networks", desarrollado por el grupo técnico de tareas para la investigación de delitos de Alta tecnología de Estados Unidos.
Resumen
Atendiendo las problemáticas planteadas a partir de las investigaciones que siguen a un número creciente de incidentes informáticos, ArCERT pone a su disposición este documento introductorio, resultado de la traducción parcial publicado por el Instituto Nacional de Justicia de los Estados Unidos de Norte América.
El objetivo del documento es introducir los pasos básicos a seguir para realizar una investigación que involucre a Internet o a redes de computadoras, cubriendo temas tales como el rastreo de una dirección IP, la obtención de información a partir de mensajes de correo electrónico, sitios web y redes para compartir archivos y los procedimientos para investigar intrusiones en la red o ataques de denegación de servicio. En algunos capítulos específicos se incluyeron notas de ArCERT con el fin de clarificar y actualizar algunos puntos o adaptar los contenidos a la realidad de nuestro país.
[*] Arcert, es la unidad del gobierno argentino que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional.
Principales funciones:
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional.
Principales funciones:
- Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.Proveer un servicio especializado de asesoramiento en seguridad de redes.
- Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
- Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
martes 2 de octubre de 2007
Revista de Derecho Informático
Revista de Derecho Informático (RDI), publicación on line que a la fecha cuenta con más de 100 números, desde Agosto de 1998, es la publicación digital editada en Hispanoamérica, de mayor continuidad y relevancia en temas de Políticas y Marco Regulatorio de la Sociedad de la Información. RDI es un instrumento para el desarrollo de doctrina, legislación y jurisprudencia en la región.
La revista se conjuga con noticias que son producidas por Alfa-Redi (*) y otras organizaciones para poder tener en un solo lugar acceso a la información actualizada en los diversos temas relacionados.
Algunos temas tratados en las ultimas ediciones:
- México: Referentes Legales para un Marco Protector de Datos Personales en Mexico Por: Vicente Hernandez Delgado, (Acceso a la Informacion, Privacidad, )
- Colombia: Estrategias anti-forenses en informática: Repensando la computación forense Por: Jeimy José Cano Martínez, (Peritaje Informático, Seguridad Informatica, )
- Ecuador: Introducción a la Informática Forense Por: Santiago Martín Acurio Del Pino, (Informática Jurídica, Peritaje Informático, )
- Perú: Tendencia Peruana al Procedimiento Administrativo vía Internet Por: Rene Raul Ticona Luna, (Administración de Justicia y TICs, )
- Chile: Procedimientos Administrativos y Gobierno Electrónico: El impacto de las tecnologías en el Derecho Público Chile Por: Renato Javier Jijena Leiva, (Documento Digital, e-Government, )
- Colombia: Evidencia Digital en Colombia: Una reflexión en la práctica Por: Diana Bogota Prieto, Claudia Moreno Peña, (Peritaje Informático, )
- España: Los dererechos del interesado en la normativa española de protección de datos Por: María Luisa González Tapia, (Privacidad, )
- Puerto Rico: La evidencia electrónica y la autenticación de correos electrónicos. Por: Vivian I. Neptune-Rivera, (Peritaje Informático, )
- Chile: Derechos de autor y derechos conexos como herramientas estratégicas para avanzar hacia una Sociedad del Conocimiento. El Caso de Chile. Por: Claudio Ossa Rojas, (Derechos de Autor en el Entorno Digital, Sociedad de la Información, )
- Colombia: Administrando la confidencialidad de la información: Algunas consideraciones sobre el saneamiento de medios de almacenamiento Por: Jeimy José Cano Martínez, (Seguridad Informatica, )
(*) Alfa-Redi tiene como pilar de acción la actividad científica de investigación. Esta organizacion ha realizado, promovido y/o auspiciado diversas jornadas locales, regionales e internacionales en el marco de los tres ejes de acción.
En en el eje de Políticas y Marco Regulatorio de Sociedad de la Información tenemos como principales actividades que realizamos en el transcurrir del año: El Congreso Andino de Derecho Informático (CADI), el Congreso Mercosur de Derecho Informático (CMercosurDI), el Congreso Iberoamericano Independiente de Internet Governance (CIIIG), el Congreso Latinoamericano de Derecho Informático (CLDI) y el Congreso Mundial de Derecho Informático (CMDI).
En en el eje de Políticas y Marco Regulatorio de Sociedad de la Información tenemos como principales actividades que realizamos en el transcurrir del año: El Congreso Andino de Derecho Informático (CADI), el Congreso Mercosur de Derecho Informático (CMercosurDI), el Congreso Iberoamericano Independiente de Internet Governance (CIIIG), el Congreso Latinoamericano de Derecho Informático (CLDI) y el Congreso Mundial de Derecho Informático (CMDI).
lunes 24 de septiembre de 2007
Guía de Buenas Prácticas para el Peritaje Informático en Recuperación de Imágenes y Documentos
Para los que están buscando material relacionado con el peritaje informático a continuación les presentamos una breve guía que publico en el portal de Infoperitos[*] hace unos años Ignacio Boixo, perito informático de España titulada: "Guía de Buenas Prácticas para el Peritaje Informático en Recuperación de Imágenes y Documentos"
Contenido del documento:
1.- Intervencion
2.- Revision Preliminar
- Discos flexibles y ópticos
- Discos Duros
- Ordenador portátil
- Ficheros borrados
3.- Exploracion de Ficheros
- Imágenes
- Documentos
- Programas
4.- Informe Pericial
- Portada
- Peritos
- Antecedentes
- Prueba pericial
- Ficheros relevantes
- Conclusiones
- Firma
Anexos I: equipos peritados
Anexo II: ficheros relevantes
Conservación de elementos periciales
5.- Enlances
[*] INFOPERITOS es el Gabinete Técnico y Facultativo de los Colegios y Asociaciones de Ingenieros en Informática, que integra a facultativos con formación específica en los procedimientos y metodologías que caracterizan los servicios de la Sociedad de la Información. Disponen asimismo del apoyo de un equipo técnico de colaboradores especializados en las diversas plataformas y entornos de producción.
sábado 22 de septiembre de 2007
Análisis Forense de Sistemas
Análisis Forense de Sistemas es un documento de 32 paginas publicado por Vte. Javier García Mayén en Septiembre/2006 donde incluye la presentacion de distintas herramientas vinculadas con el Análisis Forense(*).
Índice de contenido
1. Instalación de las herramientas
-1.1. Instalación de Sleuthkit
-1.2. Instalación de Autopsy
-1.3. Iniciando y probando el programa
2. Abriendo nuestro primer caso
-2.1. Primeros pasos con Sleuthkit y Autopsy Browser
3. Análisis de una intrusión
-3.1. Análisis del log de snort
-3.2. Análisis de las imágenes del sistema
-3.3. Análisis de las herramientas del intruso
-3.4. Final y resumen
-3.5. Disclaimer
-3.6. Enlaces de interés
Apéndice: Kit de herramientas
Outport, AIRT (Advanced Incident Response Tool), Foremost, WebJob, HashDig, md5deep, Automated Forensics Analysis, Gpart, TestDisk, Dump Event Log, fccu-docprop, fcc-evtreader, otros.
(*) Análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem. [Wikipedia]
La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. [Ausejo]
domingo 26 de agosto de 2007
Monster.com tarda 5 días en revelar un robo de identidades
Como complemento a la noticia de robo de informacion "Sigue el robo de información personal en la Web", se conocio que Monster.com esperó cinco días para contar a sus usuarios que se había producido una violación en su seguridad que tuvo como consecuencia el robo de información confidencial de unos 1,3 millones de personas que buscan trabajo, dijo el jueves a Reuters un directivo de la empresa.
Se trata de una de las mayores violaciones de la seguridad en los últimos tiempos.
Los piratas informáticos consiguieron entrar en la biblioteca de currículos protegida por contraseña de la página web de Monster.com utilizando unas credenciales que la compañía de empleo en Internet dijo fueron robadas de sus clientes.
Para ello usaron dos servidores en una compañía de servicios de alojamiento (web-hosting) situada en Ucrania y un grupo de ordenadores personales que los 'hackers' controlaban tras infectarles con un programa informático maligno conocido como Infostealer.Monstres, explicó en una entrevista telefónica Patrick Manzo, vicepresidente de prevención de fraudes para Monster.
La compañía supo por primera vez del problema el 17 de agosto, cuando investigadores de la compañía de seguridad en Internet Symantec les dijeron que estaban siendo atacados, indicó Manzo.
A última hora del 20 de agosto o primera del 21 su equipo de seguridad logró que la compañía de servicios de alojamiento cerrase los servidores utilizados, pero no fue hasta el 22 de agosto, al día siguiente de que Symantec sacase su informe, que Monster colocó un aviso en su web - www.monster.com - advirtiendo a los usuarios de que podrían ser objetivo de intentos de timo por correo.
Manzo aseguró que según la revisión que han hecho la información robada se limita a nombres, direcciones, números de teléfono y direcciones de correo electrónico, y que no se llevaron otros datos, como cuentas bancarias.
Se trata de una de las mayores violaciones de la seguridad en los últimos tiempos.
Los piratas informáticos consiguieron entrar en la biblioteca de currículos protegida por contraseña de la página web de Monster.com utilizando unas credenciales que la compañía de empleo en Internet dijo fueron robadas de sus clientes.
Para ello usaron dos servidores en una compañía de servicios de alojamiento (web-hosting) situada en Ucrania y un grupo de ordenadores personales que los 'hackers' controlaban tras infectarles con un programa informático maligno conocido como Infostealer.Monstres, explicó en una entrevista telefónica Patrick Manzo, vicepresidente de prevención de fraudes para Monster.
La compañía supo por primera vez del problema el 17 de agosto, cuando investigadores de la compañía de seguridad en Internet Symantec les dijeron que estaban siendo atacados, indicó Manzo.
A última hora del 20 de agosto o primera del 21 su equipo de seguridad logró que la compañía de servicios de alojamiento cerrase los servidores utilizados, pero no fue hasta el 22 de agosto, al día siguiente de que Symantec sacase su informe, que Monster colocó un aviso en su web - www.monster.com - advirtiendo a los usuarios de que podrían ser objetivo de intentos de timo por correo.
Manzo aseguró que según la revisión que han hecho la información robada se limita a nombres, direcciones, números de teléfono y direcciones de correo electrónico, y que no se llevaron otros datos, como cuentas bancarias.
Symantec dijo que había encontrado copias de los correos que los ingenieros del ataque estaban usando, pretendiendo hacerlo como empresas que ofrecen empleo desde la web de Monster en las que piden a los receptores datos financieros personales y hacer 'click' en enlaces que les infectarían con viruses.
De los 1,3 millones de buscadores de empleo afectados, menos de 5.000 son de fuera de Estados Unidos, según un comunicado de la compañía.
La base de datos de Monster tiene unos 73 millones de currículos, añadió un portavoz de la empresa.
De los 1,3 millones de buscadores de empleo afectados, menos de 5.000 son de fuera de Estados Unidos, según un comunicado de la compañía.
La base de datos de Monster tiene unos 73 millones de currículos, añadió un portavoz de la empresa.
Fuente: www.swissinfo.org
viernes 24 de agosto de 2007
Sigue el robo de información personal en la Web
- Esta vez usaron una herramienta muy sofisticada.
- La información comprometida permite todo tipo de estafas virtuales.
El diario digital Minutouno.com informa de dos nuevos casos de robo de información que se dieron a conocer por estos días: un troyano y una herramienta desarrollada por hackers. Por un lado, el troyano denominado ‘Infostealer.Monstres’ [*] fue el anzuelo para acceder a información personal de cientos de miles de usuarios del portal de empleo Monster.com, según informa Symantec.
El troyano “Infostealer.Monstres” se encargaba de reenviar los datos recogidos en el portal de búsquedas laborales Monster.com a un servidor remoto, en el que expertos de Symantec encontraron alrededor de 1.600.000 de entradas con información personal de cientos de miles de personas. El informe de la firma de seguridad informática destaca que sólo se observaron conexiones a través de los subdominios para empleados ‘hiring.monster.com’ y ‘recruiter.monster.com’, utilizados por captadores de candidaturas y encargados de recursos humanos para la búsqueda de potenciales candidatos.
Estos sitios requieren la introducción de claves de acceso para visualizar la información de los candidatos, por lo que ‘probablemente el troyano haya utilizado los códigos robados de algunos empleados’, explicó Symantec, y afirmó haberse puesto en contacto con el portal Monster para indicar las cuentas comprometidas, y facilitar su eliminación.
Por otra parte, una versión de la herramienta Apophis, que sirve a los ciber-delincuentes para gestionar toda la información robada a los usuarios infectados con distintas variantes de troyanos de la familia Nuklus, posee ya datos de más de 30.000 usuarios de más de veinte países. PandaLabs, fabricantes del antivirus Panda, ha tenido acceso a un archivo que contenía parte de esos datos robados. En él se guardaba, de forma cifrada, información confidencial de casi 1.500 personas de USA, Canadá y Reino Unido.
Lo llamativo es que entre los datos robados y guardados en el archivo descubierto por PandaLabs figuraban, además de la cuenta bancaria o el email, otros como el domicilio del usuario, su número telefónico o la fecha de expiración de su tarjeta de crédito. Con esta información, los ciber-delincuentes no sólo pueden hacerse con el dinero del usuario, sino que pueden suplantar su identidad y utilizarla para realizar todo tipo de compras, transferencias, etc., en su nombre.
Más casos que hacen necesario, como siempre, elevar los medios para prevenir este tipo de estafas. El uso de un antivirus y la actualización del sistema operativo son dos pilares básicos en la lucha contra estos nuevos “cuentos del tío” virtuales.
Por otra parte, una versión de la herramienta Apophis, que sirve a los ciber-delincuentes para gestionar toda la información robada a los usuarios infectados con distintas variantes de troyanos de la familia Nuklus, posee ya datos de más de 30.000 usuarios de más de veinte países. PandaLabs, fabricantes del antivirus Panda, ha tenido acceso a un archivo que contenía parte de esos datos robados. En él se guardaba, de forma cifrada, información confidencial de casi 1.500 personas de USA, Canadá y Reino Unido.
Lo llamativo es que entre los datos robados y guardados en el archivo descubierto por PandaLabs figuraban, además de la cuenta bancaria o el email, otros como el domicilio del usuario, su número telefónico o la fecha de expiración de su tarjeta de crédito. Con esta información, los ciber-delincuentes no sólo pueden hacerse con el dinero del usuario, sino que pueden suplantar su identidad y utilizarla para realizar todo tipo de compras, transferencias, etc., en su nombre.
Más casos que hacen necesario, como siempre, elevar los medios para prevenir este tipo de estafas. El uso de un antivirus y la actualización del sistema operativo son dos pilares básicos en la lucha contra estos nuevos “cuentos del tío” virtuales.
"Con los datos robados los delincuentes pueden suplantar la identidad de una persona".
martes 14 de agosto de 2007
Oracle Forensics
El portal "Oracle Forensics" de Paul M. Wright dedicado a la seguridad de base de datos Oracle presenta distintos documentos en ingles dedicados a la informática forense que pueden ser de mucha utilidad para auditores de incidentes de seguridad relacionados con motores de base de datos de este vendor:
- Finding Evidence of Data Theft in the Absence of Auditing
- Forensic checksumming on all versions of supported Oracle databases
- Using Oracle 10g database as a forensics tool
- Oracle Forensics In A Nutshell
- MD5 and SHA1 for high security checksums
- Central SYSLOG host for Oracle
- Oracle Audit Vault
- Otros
Entradas
No hay comentarios:
Publicar un comentario