futuro robot? futuro inerte?

Este cuento es viejo pero me acaba de llegar al correo y recorde la creatividad que tiene asi que lo comparto :D.

¿CUANTOS ESTUDIANTES SE REQUIEREN PARA CAMBIARLO???

EN LA U. CATOLICA: Dos, Uno para llamar al electricista y otro que llame a su papá para que pague la cuenta. Los demás analizan la manera de sacar plata de la situación, vendiendo al quíntuple de su costo velas, linternas, antorchas y fósforos. Y al final no sacan nada adelante.

EN LA U. NACIONAL: Ochenta, Uno para cambiar el bombillo, veinticinco para protestar por el derecho que tiene el bombillo a no ser cambiado, cincuenta para proteger a los demás de los manifestantes pro-independencia del bombillo, que ocasionan el cierre de las instalaciones y convocan al paro por dos semanas. Mientras tanto otros tres diseñan una fuente de energía nuclear para el bombillo, otro la instala y el otro idea un programa que controle el switch del bombillo. Se espera la pronunciación de la facultad de ciencias básicas argumentando porqué son los bombillos un atentado a la ecología. Al final no lo cambian porque no había presupuesto.

LOS DE LA U. DE MANIZALES: Ninguno, Están todos tan borrachos que ninguno se ha dado cuenta de que se fundió un bombillo.

LOS DE LA U. AUTONOMA: Trescientos dieciocho. Cinco para que organicen un fashion y con remate en POP que llevará por nombre 'Bring Back the Light', para celebrar 'el regreso de la luz a la U'. Uno para que se monte en la silla y cambie el bombillo, dos niñas para que posen a cada lado de la silla y cinco más para que le hagan 'free press' al evento.

LOS DE LA U. DE CALDAS: Ninguno, primero dejan sin bombillos todos los edificios.

PD: no expreso ninguna preferencia hacia algun tipo de persona universitaria y mucho menos hacia una universidad en especial

saludos roboticos

Quiero expresarles mis agradecimientos por seguir este blog, este proyecto no seria nada si no hubieran actores directos e indirectos por esta razon quiero agradecerles a todos por sus aportes.

Expreso mi gratitud a las siguientes webs, las cuales han ayudado al desarrollo de este blog (directamente o indirectamente) y ademas el fortalezimiento de la libertad del conocimientos; espero que sigan aportando como lo han hecho.

http://neosysforensics.blogspot.com/
http://www.ilegalintrusion.net/foro/
http://conexioninversa.blogspot.com/
http://hacking-avanzado.blogspot.com/
http://www.sahw.com/wp/
http://elladodelmal.blogspot.com/
http://www.sinfocol.org/
http://windowstips.wordpress.com/
http://latinohack.com/
http://colombiaunderground.org/
http://www.pentester.es/

por el momento se me escapan algunas mas asi que perdon si no los nombro.

NOTA: el orden no significa preferencia sobre otros

Cabe destacar a los lectores que han opinado y ayudado en el fortalezimiento del blog espero que este nuevo año les traiga felicidad.

Asi que , todos a pasar unas navidades con los seres queridos y esperar a que llege un año prospero lleno de felicidad amor y nuevo conocimiento.

saludos roboticos

Esta es la ultima entrada de pedro sanchez la cual me gusto mucho por esta razon comparto la entrada y ya saben no olviden visitar su blog es muy bueno para informaticos forenses.

-------------------------------------------------------------------------------------

Hola lectores,

El caso que vamos a ver hoy empieza a ser muy común con la crisis que tenemos encima. De todos es sabido que la facturación telefónica de móviles y de teléfonos fijos se revisa en las empresas con mucha exactitud con objeto de reducir gastos.

En este caso una empresa de servicios de soporte telefónico recibe una factura elevada por un empleado y se quiere analizar con objeto de depurar responsabilidades.

Más tarde se detecta una llamada a un número 800 lo que implica que se ha llamado a una linea erótica.
El empleado disponía de la aplicación Skype. Objeto de este post.

Skype es un programa que permite realizar llamadas utilizando Internet como medio. Esta aplicación es gratuita e incluye una característica denominada SkypeOut que permite a los usuarios llamar a teléfonos convencionales, cobrándoseles diversas tarifas según el país de destino. Otra opción que brinda Skype es SkypeIn, gracias al cual te asignan un número de teléfono para que desde un aparato telefónico en cualquier parte del mundo puedan contactar con tu ordenador.

El código y protocolo de Skype es propietario y no se dispone de código fuente. Su éxito reside en comprimir la transmisión de voz sin que afecte a la calidad. El programa ha sido desarrollado en Pascal, usando Delphi y también ha sido portado a Linux utilizando las librerias Qt.

Skype utiliza el algoritmo AES A 256-bit para cifrar la voz, la transferencia de archivos o un mensaje instantáneo. Para la versión de pago se utiliza el algoritmo RSA a 2048-bit y 1536-bit para la negociación a la hora de establecer la conexión. Para ello utilizan una llave asimétrica lo cual permite evitar ataques man-in-the-middle.

Una vez instalado mantiene un histórico con información como llamadas, ficheros transferidos, sesiones de mensajería, etc.

Deciros también que en cuanto a privacidad el perfil publico de una persona se mantiene durante 10 días, después de no haber iniciado sesión este perfil se elimina

Los otros usuarios de Skype pueden ver todo lo que escribes en tu perfil público, salvo el campo de tu dirección de correo electrónico, ya que se cifra antes de enviarla a la red para que nadie pueda verla cuando buscan contactos. No obstante, si ya conocen tu dirección de correo electrónico, pueden buscarte en el directorio.

El siguiente caso esta basado en un hecho real vamos a por ello.

La información de Skype se almacena en 'Document and Settings\usuario\datos de programa\skype'

Figura 1: Ruta de ficheros de Skype

Dentro de la carpeta Skype nos encontramos el fichero 'shared.xml' que contiene parámetros relativos a la configuración del audio, cortafuegos y servidores o supernodos. También dentro de cada perfil esta el fichero 'config.xml' que contiene la mayoría de los parámetros configurables desde la propia aplicación y a decisión del usuario.

En estos parámetros podemos ver estos importantes datos:

Primero la fecha de instalación en formato de fecha juliana, que una vez convertido nos dice que se configuro el perfil el día 25 de Noviembre de este año. Ademas se ve el alias utilizado y los destinatarios de su agenda.
También dentro del perfil nos encontramos con dos ficheros (main y dc) en formato BD-Lite o SQLite, siendo 'main' el más importante en cuanto a la información que debemos de buscar.

Para ver su contenido nos podemos descargar la utilidad SQLlite Admin disponible desde aquí

Podemos ver en formato gráfico como se componen la base de datos en tablas e indices.

Para centrarnos en la investigación voy a omitir algunas tablas importantes, dado que no son relevantes para este ejemplo como la tabla de SMS'S enviados y llamadas de pago (simplemente no se utilizo estos servicios).

EMPEZAMOS

Una vez ejecutado SQLlite Admin podemos ver varias tablas por las que podemos 'navegar' viendo su estructura y sus datos. Previamente a este proceso os recuerdo la necesidad de hacer un hash de los ficheros a análizar para mantener la integridad de los datos como ya comente en anteriores post.

La tabla 'accounts' contiene las cuentas o perfiles dadas de alta en el equipo los campos de interés en este caso son:

Skypename: Nombre del usuario Skype
Fullname: Nombre completo
languages: Idioma
email: Correo
profile_timestamp:Fecha de creación o modificación del perfil
aliases: Alias utilizado
avatar_timestamp: Fecha de creación o modificación del avatar
registration_timestamp: Fecha de registro de la cuenta

Figura 2: Cuentas

Aquí tenemos la base para establecer nuestra línea de tiempo y algo muy importante el 'avatar' dado que muchas veces se utilizan seudonimos para ocultar información.

La tabla 'contacts' contiene los contactos agregados, veamos los campos de interes:

Skypename: Nombre del usuario Skype
Fullname: Nombre completo
Displayname: Nombre mostrado
Mood_text: Mensaje de bienvenida del usuario agregado a los contactos

Figura 3:Contactos

Como vemos la cuenta agregada 'virginia' es de lo más sugerente ;-)

La tabla 'messages' muestra:

Chatname: Contiene el emisor y receptor con un valor númerico que corresponde a una carpeta temporal del disco que crea por cada conversación de chat iniciada
Timestamp: Fechas de inicio de la conversación
autor: Orden en nicks que inician la conversación
body_xml: Contiene el contenido de la conversación
call_guid: Contiene el directorio temporal que se crea en la sesión

Figura 4:Mensajes

Esta información importante dado que contiene lo que se ha dicho entre diversas conversaciones entre fechas

Tabla chats

Name: Identificadores de la sesión
Timestamp: Fechas de inicio de la conversación
Participants: Lo dicho participantes en la conversación por chat
FriendIlname: Contiene mensajes de texto intercambiados
FriendIlname: Contiene mensajes de texto intercambiados
lastchange: Ultimo cambio entre mensajes
dbpath: Contiene el nombre de los ficheros temporales que se crean durante la conversación

Figura 5: Chats

Es muy similar a la anterior de mensajes pero con la diferencia de que obtenemos algo más de información como es el número de telefono a donde se ha realizado alguna llamada.

Para comprobarlo realizamos una busqueda por google y este es el resultado:

Figura 6: Sin comentarios

Como buen análista voy a llamar desde el teléfono del cliente para comprobarlo

Tabla 'Transfers':

Partner_handle y partner_dispname: Contiene el receptor de ficheros
Startime: Tiempo de comienzo del envío de fichero (creo)
Filepath:Ruta y fichero que se adjunto para el envío de este.
Filename:Nombre del fichero
Filesize: Tamaño del fichero enviado

Figura 7: Transferencias

Es curioso que ademas de darnos la ruta y el fichero de origen que es aparentemente un PDF en el campo 'filename' aparezca un EXE. Tiene pinta de troyano. Esta será una evidencia a buscar posteriormente en el disco

CONCLUSIONES

Prácticamente en estos ficheros SQLLite disponemos de una completa información que nos puede ayudar en la búsqueda de información, aunque el fabricante no pone a disposición las especificaciones dado que considera confidencial la arquitectura de la aplicación.

Hemos visto algunas tablas, pero existe mucha más información en otros campos que son relevantes y que por el caso y por tiempo no pueden ser comentadas, quizás mas adelante en futuros post podamos aportar algo más de luz.

-------------------------------------------------------------------------------------

FUENTE:

http://conexioninversa.blogspot.com/

Saludos

Buenos dias, en estos dias he estado leyendo varios blogs donde dan solucion al reto de analisis de trafico.

He visto varias soluciones y a mi pareser la mas sencilla para cualquier persona es la realizada por pedro sanchez ademas los mejores textos para ayudar a resolverl son los realizados por juanito.

Asi que les dejo los links para que profundizen en el tema ya que es excelente :D.

Links:

Solucion mas facil de entender para iniciados en el tema:

http://neosysforensics.blogspot.com/2009/12/analizando-capturas-de-red.html

Ayudas didacticas:

http://windowstips.wordpress.com/2009/09/21/analizando-trafico-de-red-i-de-iii/
http://windowstips.wordpress.com/2009/09/21/analizando-trafico-de-red-ii-de-iii/
http://windowstips.wordpress.com/2009/09/21/analizando-trafico-de-red-iii-de-iii/

Bueno mas tarde probaremos muchas cosas mas :D.

saludos roboticos

este titulo es de un post realizado por jbyte el cual me llego un recorte al correo lo estuve mirando y me gusto mucho la forma como conecta todos los temas y brinda herramientas para realizar operaciones.
Asi que les dejo el recorte que me llego al correo y el link para que profundizen el post.

-------------------------------------------------------------------------------------

la Seguridad. Si hay un tema que puede darnos que hablar durante incluso días, es éste. Hay muchas formas básicas de aplicar medidas a nivel particular y mantener a salvo al integrante más importante de la familia –el ordenador, claro-. Y qué mejor que NeoTeo para repasar contigo algunas opciones que ya hemos conocido y otras que nos damos la oportunidad de recomendarte precisamente ahora, que no requieren que sepas más de lo que sabes, y están al alcance de todos.

A lo largo de este tiempo, en NeoTeo se ha escrito una carretilla de páginas comentando sobre aplicaciones y métodos de seguridad para la PC. Algunos de los programas y sitios que les hemos acercado son tan caros, estéticamente horribles, infuncionales o todo lo anterior junto, que la mayoría de nosotros no los utilizaría ni bajo amenaza de bomba. Pero entre aquello que reseñamos y lo que los lectores se han dado tiempo a compartir con nosotros, hay un sinfín de aplicaciones de carácter gratuito, y de código abierto en el mejor de los casos, que son francamente imperdibles y hasta irreemplazables. De ellas estamos hablando hoy, y te mostramos en unos pocos puntos fundamentales cómo sin tener que desenvainar la billetera ni fundirse las neuronas por recalentamiento, es realmente posible armar al ordenador hasta los dientes contra los –música tenebrosa- visitantes inoportunos.

Ya no quiero verte más

Hemos dicho anteriormente que el borrado de archivos es, la mayor parte de las veces, apenas una ilusión bonita, dado que no es precisamente intrincado recuperar información que creemos que “se ha ido”. Sin embargo, con el software adecuado, eliminar los rastros más profundos de los ficheros de tu ordenador puede ser sencillo como cualquier otro barrido en el disco. Un buen ejemplo es Eraser (9 MB), que hace un trabajo preciso y a fondo, exterminando de una vez la basura innecesaria, y también a lo que haya quedado de algún archivo indecoroso.

Suponiendo que no pueda apelarse a tu paciencia y quieres ir más al grano (o tienes un disco pesado como un collar de melones), puedes optar por alternativas que no te tengan borrando entradas individuales durante una semana. DBAN (5.5 MB) es un Eraser “masivo” que no hará otra cosa que volar al diablo discos enteros de manera irreversible, sin recurrir al formateo, y auspiciado por el gobierno de Canadá, que algo debe saber.

Candados siempre efectivos

Todavía hay quienes prefieren hacer a un lado los métodos de bloqueo de carpetas y archivos proporcionados por el mismo sistema operativo (mediante sesiones, permisos y demás), y eligen aplicaciones especialmente dedicadas a proteger con contraseñas o directamente borrar de la vista los directorios personales. Programas como My LockBox (1.4 MB) y Free Hide Folder (745 KB) tienen ligeras diferencias (el primero cuenta con algunas opciones más, pero el segundo permite ocultar más carpetas), aunque son igualmente recomendables.

Hay otras limitaciones que pueden hacerse para evitar el manoseo sobre nuestras pertenencias en el ordenador, tal como bloqueos para evitar que archivos y carpetas sean copiados o borrados por ajenos. M File Anti-Copy (3.5 MB) y System Protect (5 MB) son algunas aplicaciones que actúan restrictivamente sobre los permisos, muy sencillas de usar. Un poco escuetas en cuanto a lo que ofrecen, pero al menos son efectivas, y a los fisgones no les quedará otra opción que no sea desistir.

Y como último recurso, si tu ordenador es realmente un sitio donde lo último que quieres ver es extraños, mejor le pones una contraseña a la BIOS y al cuerno con los otros. Por supuesto que algo podría salir horrible, como que te olvides la clave. De ser así acabarás maldiciendo la ocurrencia envuelto en la mugre de tu gabinete con un destornillador en la mano, ya que en caso de olvido, quitar el password es un poco más trabajoso que crearlo. Pero si tienes algo de coraje, ya sabes lo que dicen: muerto el perro se acabó la rabia.

Un trabajo para Robert Langdon

Aquí una revelación mundial: Internet es un espacio inseguro. ¿Sorprendidos? ¡Y eso que aún hay más! Sus correos privados, conversaciones de Chat, y básicamente todo lo que hacen en línea, puede ser monitoreado por administradores de sitios, moderadores, Bush, y otras tantas encarnaciones del mal. Tomando puntualmente el caso de la comunicación y el correo electrónico, encriptar mensajes no parece una solución popular para espantar mirones, pues según cómo lo hagas, resulta una incomodidad innecesaria. Sin embargo, si te urge mandar un mensaje “secreto” inocente, hay opciones simpáticas como CrypColor (470 KB), donde introduces un texto y recibes a cambio una imagen como de un televisor averiado, pero que contiene tu mensaje para que cualquiera que también tenga el programa pueda leerlo, contraseña mediante. Similar en uso es InfoProtect-Data Security (3 MB), que también crea imágenes para ficheros, no sólo para textos.

Si lo tuyo, en cambio, es la acción en directo, puedes optar por addons para clientes de correo de manera que puedas enviar e-mails sin recurrir a archivos adjuntos, como Freenigma para Firefox, Crypto Anywhere para Outlook o Enigmail en Thunderbird. Incluso algún programa de mensajería instantánea estilo Mikogo (1.3 MB), donde crear salones de Chat de conversación cifrada, sin necesidad de registros previos (sólo utilizando un ID de sala y contraseña), o tablones protegidos donde colgar un mensaje, para que otro vaya a recogerlo luego con el debido password, como iLocker.

Puedes ir más lejos con el asunto de cifrar datos, si no confías en la protección naif de los programas que bloquean carpetas o unidades de disco con una simple contraseña. Entonces te sugerimos intentar con TrueCrypt (3.2 MB), que desde hace años se mantiene como una de las opciones más robustas y completas (al menos en Windows) para usuarios comunes a la hora de cifrar, desde simples archivos hasta particiones, memorias USB, y demás. Es una complejidad diferente, claro, pero se ve bien compensada si dedicas un tiempo a asimilarlo. En resumen, hay muchas maneras de comunicarse privadamente, con la seguridad de que tu información y datos sensibles están protegidos, y esos son algunos con los que lograr exactamente lo que se quiere sin liarte la vida.

Desde las sombras

A esta altura, casi todos nosotros tarde o temprano hemos buscado maneras de ocultar nuestra IP por algún motivo, y en NeoTeo hablamos más de una vez de utilidades para pasar desapercibido por internet. En los últimos años, varios servicios de la web han decidido restringirse a grupos limitados de países, e incluso algunos gobiernos han penado en su jurisdicción las descargas e intercambios de material multimedia, lo que ha despertado la necesidad de disfrazar la conexión para acceder sin problemas a ciertos contenidos en línea.

Entre las opciones más comunes de camuflaje encontramos proxies que ya son un clásico, como HideMyAss, ATunnel o Ninja Cloak, y otros montados casi que por amor al arte, fácilmente ubicables a través de listas que se actualizan a diario, como es el caso de AtProxy o ProxyList. En Firefox, algunos complementos como QuickProxy integran los proxies al funcionamiento del navegador. Además hay hasta navegadores que trabajan con la red Tor (OperaTor y XeroBank los más populares), y software que hace lo suyo a cambio de unas monedas (unas cuantas), como Hide My IP o Anonymizer, aunque tengan versiones gratuitas con menos prestaciones. Éstos y otros justicieros del anonimato están minuciosamente detallados en un artículo para escurridizos escrito por mi amigo personal Lisandro Pardo hace un tiempo, aunque todavía vigente.

Guardianes de secretos

Ahora que hacemos cada vez más y más cosas a través de internet, somos alentados con medidores de seguridad y sugerencias desde los mismos sitios de comunidades, bancos, e-mail y otros, para pensar claves rebuscadas e impredecibles. Sin embargo, muchas veces la ñoñez de las contraseñas nada tiene que ver con posteriores hurtos de nuestras cuentas en la red, puesto que las aplicaciones malintencionadas están a la orden del día. Para este caso particular, los gestores de contraseñas son una gran ayuda, ya que pueden administrar cientos de claves distintas (algunos también respuestas a preguntas secretas) e interceder por nosotros cada vez que haya que tipear datos de identificación en ordenadores ajenos o simplemente sospechosos, utilizando nada más que una clave maestra. Por lo general son livianos y portables, cuestión de poder llevarlos en dispositivos de memoria. Algunos de código abierto muy utilizados son KeePass (1.5 MB) y PasswordSafe (4.4 MB), aunque también LoginControl (2 MB) y Password Memory (7.5 MB) son buenos y potentes. También pueden actuar desde el navegador en forma de complementos, como Sxipper en Firefox o 1Password, que se integra con Safari y Firefox.

Avistaje preventivo

Las conexiones de internet se dan estableciendo comunicaciones entre puertos. Descuidar esta suerte de aduana por la que pasa todo el tráfico de información desde y hacia nuestra computadora es caer en una indiferencia que podría salirnos realmente costosa. Generalmente, si haces un control periódico y no tienes muchos enemigos, esta posibilidad no es una vulnerabilidad tan frecuente entre usuarios comunes, pero siempre hay excepciones a la regla. Antes que tener un intruso abriendo puertos adicionales y contrabandeando tu información, puedes optar por monitores gratuitos, como Advanced Port Scanner (420 KB), algunos más feos y viejos pero con trayectoria, como VisualLookOut, o (460 KB), o ProcNetMonitor, que además de todo es portable.

Viejos conocidos

Y así todo, ninguno de estos métodos es infalible. Cualquier persona que sepa más que uno en cuanto a materias de “protección” está potencialmente habilitado a burlar de alguna manera las barreras que hemos incorporado, por lo cual ningún método de cifrado es lo suficientemente sólido sin las bases de la seguridad de cualquier sistema, con los que se puede pelear de igual a igual: Antivirus, Antispyware y Firewall.

Tenemos tantos artículos de Antivirus que estaría un buen tiempo comentándolos, pero a partir de nuestras recomendaciones generales y las opiniones de usuarios en las notas de NeoTeo, puedes elegir el que más se adapte a lo que estás buscando. Los hay de escritorio, en la nube, clásicos, de prueba, para sistemas nuevos y otros tantos. Lo mismo para los Antispyware gratuitos de los que hemos hablado, y otros también muy buenos a los que no hemos dado reseña, como Spyware Terminator (33 MB). En esta categoría, sin embargo, casi siempre se destacan los mismos: Ad-Aware (73 MB) y Spybot: Search and Destroy (15 MB).
Del lado de los cortafuegos, también hay preferencias: ZoneAlarm, Outpost y Black Ice son de los más difundidos. De los gratuitos, sin embargo, Lock N’ Stop, Sygate (8.8 MB) y PC Tools Firewall Plus (10 MB) cumplen prácticamente en todos sus objetivos, son cómodos y fáciles de usar.

A esto sumamos la importancia de que todos los programas utilizados necesitan estar actualizados, de manera que si no se descargan updates y parches automáticamente, lo mejor es agendarse una revisión periódica a paciencia y sudor de las chucherías que empleamos. Si particularmente tú eliges otras formas para resguardar los datos de tu ordenador, ¡no dudes en comentarlo con nosotros!

Link del post original

http://jbyte-security.blogspot.com/2009/11/cifra-todo-tu-ordenador.html

saludos

Que es Nagios?

Es un sistema de monitoreo de red el cual usa los protocolos icmp y snmp por defecto para tener control sobre la red a adminsitrar.

Que hace?

Los sistemas de monitoreo proporciona la admnistracion de todos los host y servicios de la red para saber que estan en perfecto funcionamiento.

Que ventajas tengo?

La principal ventaja es la pro-actividad proporcionada por el sistema de monitoreo el cual avisara al administrador cuando algun suceso acontese.

Hay que pagar?

Nagios es un software open source el cual es libre y no tendremos que pagar costosas licencias.

Bueno esos son algunos tips que debemos saber antes de llevar a cabo el montaja de este servicio.

Instalacion:

1.Prerequisitos

Code:
yum install httpd php

yum install gcc glibc glibc-common

yum install gd gd-devel2.Creamos cuenta nagios y grupo para apache

Code:
/usr/sbin/useradd -m nagios

passwd nagiosNOTA: aqui nos pedira el nuevo password para el usuario nagios

Creamos un grupo llamado nagcmd y agregamos el usuario nagios para tener acceso al servicio apache

Code:
/usr/sbin/groupadd nagcmd

/usr/sbin/usermod -a -G nagcmd nagios

/usr/sbin/usermod -a -G nagcmd apache3.Descargamos nagios y plugins

Personalmente para las personas que son nuevos en la administracion les recomiendo descargarlo desde la pagina oficial, pero el resto de personas sabemos que los servidores son en modo consola asi mismo procedemos a la descarga
Tambien es recomendable organizar las descargas en la misma carpeta asi que vamos a crear una carpeta en la cuenta root

mkdir ~/downloads

cd ~/downloads

Ahora procedemos a la descarga

Code:
wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.2.0.tar.gz

wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.14.tar.gzNOTA: al momento de realizar el tutorial se uso fedora 11 y nagios 3.2.0 y plugins 1.4.14

4.Compilando e instalando

Code:
cd ~/downloads

tar xzf nagios-3.2.0.tar.gz
cd nagios-3.2.0

./configure --with-command-group=nagcmd
make all

make install
make install-init
make install-config
make install-commandmode
make install-webconf
5.Cremos el login para la interfaz web de nagios

Code:
htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin service httpd restart6.Compilamos e instalamos los plugins

Code:
cd ~/downloads
tar xzf nagios-plugins-1.4.14.tar.gz
cd nagios-plugins-1.4.14
./configure --with-nagios-user=nagios --with-nagios-group=nagios
make
make install7.Iniciamos nagioschkconfig --add nagios
chkconfig nagios on/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
service nagios start

Ahora ya esta nuestro servicio funcionando ahora solo queda entrar:

http://localhost/nagios/

El usuario es nagiosadmin y el pass el que le dieron en la instalacion.

Bueno esto es todo por hoy , el proximo post sera la configuracion de equipos windows y profundizacion en la configuracion del servicio

Bibliografias:

http://www.nagios.org/ proyecto nagios
http://www.nagios.org/download/core/thanks/ nagios
http://www.nagios.org/download/plugins plugins
http://nagios.sourceforge.net/docs/3...rt-fedora.html documentacion de instalacion

Hasta aqui la parte 1 , la segunda parte explicare como configurar lo basico para tenerlo monitoreando la red ademas de mostrarles el sistema que ofrece nagios ya instalado en fedora core 5.

Tambien evaluaremos distintos sistemas de gestion de red , usare mas que todo Zenoss como evolucion de ellos.

hasta la proxima.

saludos roboticos

Introducción:

Hoy vamos a estudiar un sistema vivo con la herramienta DEFT-EXTRA designada para sistemas Windows.
El laboratorio será dividido en cuatro partes, donde se evaluara el desempeño de la herramienta y la profundidad de investigación que nos proporciona.

Objetivos:

Recolectar la mayor información posible del sistema “vivo”
Evaluar el desempeño de DEFT-EXTRA

Que vamos a recolectar:

Información del sistema: nombre del host , Dirección IP, discos de almacenamiento, registro, información de los dispositivos USB conectados alguna vez , eventos acontecidos, procesos activos etc.

Que vamos a determinar:

Programas maliciosos instalados con sus repectivas fechas de instalacion , ejecucion y desistalacion(si ocurrio)
Nombre del equipo atacante con su usuario
Diagnosticar las posibles acciones realizadas por el usuario para llevar a cabo su acto delictivo(robo de informacion por dispositivos externos, acceso a recursos compartidos, conexiones remotas, etc..)

Link de descarga:

http://www.mediafire.com/?4hmj1iguihi

NOTA: el contenido esta suseptible a algun cambio

saludos roboticos

Ahora ya tenemos nuestro Ubuntu 8.04 como Mac Os X :D vamos ahora a navegar con mas velocidad les parece? bien.

-1:
Escribimos en una nueva pestaña "about:config" (sin las comillas)

-2:
Donde dice filtro tecleamos "network.http.pipelining" (sin las comillas)

-3:
Hacemos doble clik y colocamos su valor como true

-4:
Ahora tecleamos en filtro "network.http.pipelining.maxrequests"

-5:
Damos clik derecho->Modificar, y cambianos su valor 4 por el valor 8

-6:
Tecleamos "network.http.request.max-start-delay"

-7:
Cambiamos su valor de 10 a 0

Muy bien una vez hecho esto porcedemos a bajarnos Fasterfox
Abrimos en nuestro firefox Herramientas->Complementos->Extenciones
y arrastramos el archivo fasterfox-2.0.0-fx.xpi a la ventana y lo instalamos, reiniciamos y eso es todo, ya navegaremos mas rapido, funciono en mi firefox :D :D espero les haya sido de utilidad este articulo

Navegando me encontre con algunos documentos interezantes sobre el tema aqui los comparto:

Criptografía

Iniciación a la Criptografía clásica. Partiendo de cero"
Aportación anónima de un .doc de 15 paginas que trata los conceptos más básicos para aquellos que esten empezando con la Criptografía por primera vez. RECOMENDADO.

Descarga: 1 archivo .rar sin pass. Tamaño: 120 Kb.

http://rapidshare.com/files/133868838/Aritm_tica_modular_y_Criptograf_a.rar

"Criptografía y Seguridad en Computadores"
por Manuel José Lucena López. (Versión 4-0.7.51. 11 de junio de 2008 )

* I Preliminares:
- Introducción
- Conceptos básicos

* II Fundamentos teóricos de la Criptografía:
- Teoría de la Información.
- Complejidad algorítmica.
- Aritmética modular.
- Curvas elípticas en criptografía.
- Aritmética entera de múltiple precisión.
- Criptografía y números aleatorios.

* III Algoritmos criptográficos:
- Criptografía Clásica.
- Cifrados por Bloques.
- Cifrados de Flujo.
- Cifrados Asimétricos.
- Funciones Resumen.
- Esteganografía.
- Pruebas de conocimiento cero.

* IV Aplicaciones criptográficas:
- Protocolos de comunicación segura.
- Autentificación, Certificados y Firmas digitales.
- PGP.

* V Seguridad en computadores:
- Introducción a la seguridad informática.

Descarga: 1 archivo .rar sin pass. Tamaño: 1.5 Mb. Se incluyen ficheros de muestra sobre firmas digitales y claves públicas.
http://rapidshare.com/files/133854012/Cripto.rar

"Libro electrónico de Seguridad Informática y Criptografía v4.1
" Versión 4.1 (1 de marzo de 2006). La más reciente. Autor: JORGE RAMIO AGUIRRE.

- 01 PresentaLibro Presentación del curso y libro electrónico v 4.1
- 02 BreveIntroCrip to Introducción breve y rápida a la criptografía
- 03 IntroSegInfo Introducción a la Seguridad Informática
- 04 CalidadInfo Calidad de la Información y Virus
- 05 GestionSeg Introducción a la Gestión de la Seguridad
- 06 TeoriaInfo Teoría de la Información
- 07 TeoriaNumeros Teoría de los Números
- 08 CompAlgoritmos Teoría de la Complejidad Algorítmica
- 09 CifraClasica Sistemas de Cifra Clásicos
- 10 CifraModerna Sistemas de Cifra Modernos
- 11 CifraFlujo Sistemas de Cifra en Flujo
- 12 CifraSimetrica Cifrado Simétrico en Bloque
- 13 CifraMochilas Cifrado Asimétrico con Mochilas
- 14 CifraAsimetric a Cifrado Asimétrico Exponencial
- 15 FuncionesHash Funciones Hash en Criptografía
- 16 AutenticaFirma Autenticación y Firma Digital
- 17 CertDigitalesP KCS Certificados Digitales y Estándar PKCS
- 18 CorreoSeguro Aplicaciones de Correo Seguro
- 19 ProtocolosCrip to Protocolos y Esquemas Criptográficos
- 20 CurvasEliptica s Introducción a Cifra con Curvas Elípticas (*)
- 21 BibSWTablasyOt ros Bibliografía, Enlaces, Tablas, Software y Documentos

Descarga: 1 archivo .rar sin pass. Tamaño: 6.5 Mb.
http://rapidshare.com/files/133859663/v4.1_Libro_Electronico.rar

"Criptografía Clásica"

Este ebook se trata de un extracto del tercer capítulo del libro "Aplicaciones Criptográficas", en su segunda edición de junio de 1999, ISBN 83-87238-57-2, publicado por el departamento de Publicaciones de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, España.

* I. Cifradores históricos
- La escítala
- El cifrador de Polybios
- El cifrador del César
- El cifrador de Alberti

* II. Cifradores del siglo XIX
- El cifrador de Wheatstone
- El cifrador de Bazeries

* III. Máquinas de cifrar en el siglo XX
- La máquina Enigma
- La máquina Hagelin

* IV. Alfabetos y características del lenguaje
- Alfabetos de cifrado
- Estadísticas del lenguaje

* V. Clasificación de los Criptosistemas clásicos

* VI. Cifradores por sustitución monográmica monoalfabeto
- Cifradores por sustitución
- El cifrador del César
- Cifrador del César con clave
- Cifradores tipo César con alfabetos mixtos
- Criptoanálisis del cifrado del César
- Cifradores genéricos por sustitución
- Cifradores por desplazamiento puro
- Cifradores por decimación pura
- Cifradores por transformación afín
- Criptoanálisis de cifrados monoalfabéticos por sustitución

* VI. Cifradores por homófonos
- Cifradores por homófonos de primer orden
- Cifradores por homófonos de orden mayor
- Cifrador homofónico de segundo orden
- Criptoanálisis de los cifrados por homófonos

* VII. Cifradores por sustitución monográmica polialfabeto
- Cifradores polialfabéticos periódicos
- Cifrador de Vigenère
- Cifrador autoclave
- Cifrador de Beaufort
- Variante del cifrador de Beaufort
- Criptoanálisis de los cifrados polialfabéticos periódicos
- Método de Kasiski
- Índice de Coincidencia
- Cifradores polialfabéticos no periódicos
- Cifrador con clave continua
- Criptoanálisis de los cifrados con clave continua
- Cifrador de Vernam

* VIII. Cifradores por sustitución poligrámica monoalfabeto
- Cifrador de Playfair
- Criptoanálisis del cifrado de Playfair
- Cifrador de Hill
- Criptoanálisis del cifrado de Hill

* IX. Cifradores por transposición
- Transposición por grupos
- Transposición por series
- Transposición por columnas
- Cifrador de transposición por columnas simple con clave
- Cifrador de doble transposición por columnas
- Transposición por filas
- Criptoanálisis de los cifrados por transposición

* X. Otras transformacion es
- Transformación por adición
- Transformación por conversión de base
- Transformación por lógica de Boole
- Transformación matricial

Descarga: 1 archivo .rar sin pass. Tamaño: 1 Mb.
http://rapidshare.com/files/133866906/CriptoClasica.rar

Libros:

Aqui una pequeña lista de aquellos libros sobre Criptografía que recomendaríamos.

- "Los Códigos Secretos", de Simon Singh. (Español)
- "The Codebreakers", de David Khan. (Inglés)

NOTA: descargados y probados.

saludos roboticos

FUENTE:
http://www.tdescarga.info/foro/index.php?topic=60429.new#new

En esta entrega, tratare un poco mas con Avant, teniendo en cuenta que mi monitor es de 800x600 llego a la conclusion de que no puedo tener gnomenu, y Avant al mismo tiempo, tonces como le hago? Gnomenu o Avant?.. pues yo escogi quedarme con Avant y hacer que mi escritorio se pareciera en la medida de lo que se pudiera a "Mac OS X"; Para lograr nuestro cometido, debemos ocultar totalmente los paneles gnome

Comencemos!!!

Ahora abrimos terminal y ejecutamos gconf-editor, para ir acostumbrandonos a no tener paneles :)

ahora nos vamos a esta direccion /apps/panel/toplevels
y seleccionamos los paneles o el panel que vamos a desaparercer de la pantalla

En mi caso el panel 0 :D una vez alli nos aseguramos de que tengan estos valores para que se esfume el panel

auto_hide marquelo
auto_hide_size 1
expand no lo marque
hide_delay 1
unhide_delay 10000
x 10000
y 10000

asegurese de que los valores

x_centered
y_centered

no esten marcados :) ahora solo queda configurar nuestro run_dialog.

Ahora nos movemos hacia /apps/metacity/global_keybindings/ (sin salirnos del gconf-editor)

y escribimos la combinacion de teclado que queramos usar en mi caso
z

Ahora vamos a confirurar nuestra tecla de menu editando panel_main_menu clik derecho y le damos a "Editar clave..."

y Colocamos la combinacion de teclas que queramos usar en mi caso la tecla con el icono del windows llamada Super_L

Ahora bien ya no tenemos paneles y nuestro lanzador de aplicaciones esta configurado, pero si queremos solamente darle un clik a un lanzador, pero que no este en el escritorio que este en Avant!!

Bien, pues al AWN (Avant Window Navigator) se le puede añarid lanzadores, bien sea arrastrandolo o añadiendolo desde el editor del mismo

veamos como añadirlo desde el editor.

Damos clik derecho sobre Avant y sellecionamos preferencias, y nos vamos a donde dice "Launchers" una vez en esa seccion le damos al boton que esta en la parte lateral derecha "Añadir" y nos aprece un recueadro para añadir un lanzador

ahora solo añadimos nuestros lanzadores, cerramos AWN y ya esta!

Pero si no sabemos el comando??? bueno, un truquillo muy simple :D

le damos a Super_L mensionada anteriormente y arrastramos el icono de la aplicacion hacia el escritorio, una vez en el escritorio nuestro icono damos clik derecho propiedades->Lanzador

y ahi esta el comando otra manera menos tediosa es llamar a nuestro panel_run_dialog

y buscar la aplicacion que queremos ejecutar :D

Encase esta certificado para realizar un analisis forense legal y ser valido ante un jues de garantias.

Existen varias versiones de ella , la basica es gratis pero las versiones actuales son privativas y tienen su costo, pero si quieres probarla puedes pedir el demo cd.

Encase creo que no necesita presentacion pero aun asi colocare algunas caracteristicas:

Análisis de Sistema de archivos NT (NTFS)

Recuperación Avanzada de datos NTFS

Examen del Registro de Microsoft Windows

Análisis y recuperación de archivos de registro de sucesos de Microsoft Windows

Examination De hardware y software en tecnología RAID, adquisición y examen

Principios de recuperación de datos cifrados

Comprensión y el examen de Windows BitLocker ™

Estuve navegando buscando la version 6 "libre para descarga" y la encontre aun la estoy probando y pronto colocare los resultados.

Aqui dejo los links de la version 6(iso)

http://rapidshare.com/files/115925740/ev6.1.part1.rar
http://rapidshare.com/files/115931619/ev6.1.part2.rar
http://rapidshare.com/files/116142118/ev6.1.part3.rar
http://rapidshare.com/files/116148630/ev6.1.part4.rar
http://rapidshare.com/files/116147676/ev6.1.part5.rar
http://rapidshare.com/files/116149081/ev6.1.part6.rar

Esta es la version 4 por si les hace falta en la coleccion

http://rapidshare.com/files/14171296/Easyv4.rar

Certificacion:

bueno este fue el link que encontre directo, solo un problema tiene password xD.

http://rapidshare.com/files/92146657/EnCase_Computer_Forensics_Study_Guide__2Ed__0470181451__-_Sybex_.rar

La version que me sirvio esta en torrent en la siguiente direccion:

http://www.torrentreactor.net/torrents/1674788/Sybex-EnCase-Computer-Forensics-Study-Guide-2nd-Edition-Dec-2007-eBook-BBL

REFERENCIAS:

http://www.encaseenterprise.com/products/ee_index.asp
http://www.ebookchm.com/download_guidance-software39s-encase-product-is-the-premier_1_1194.html
http://www.torrentreactor.net/torrents/1674788/Sybex-EnCase-Computer-Forensics-Study-Guide-2nd-Edition-Dec-2007-eBook-BBL
http://www.guidancesoftware.com/computer-forensics-training-advanced.htm
http://www.certbible.org/offer-encase-v6-forensic-toolkit/

saludos roboticos

Como habran visto hace poco se unio un nuevo escritor para el blog, nuestro amigo BLACKUBAY.

El anterior post fue gracias a el LINK ,

Muchos exitos en su colaboracion en este blog y esperemos ver lo mejor.

NOTA:

Para las personas que se quieran unir para escribir en el blog es muy sencillo, escribirme un correo y mandarlo a bad_robot_only@hotmail.com y ahi les respondere.

saludos roboticos

Me presento, Soy Blackubay, escribo este articulo con la finalidad de ayudar a todo aquel que tenga las ganas de personalizar su ubuntu pero que su pc no esta en optimas condicones para tener lindos graficos...

pues les cuento, mi maquina es una pentium 4 de tan solo 512 de memoria ram y la verdad no creo que tenga tarjeta de video, porque la ultima vez que la destape fue hace como 3 años y la verdad ni me acuerdo, pero por comoe sta diria que no tiene ni donde caerse muerta la pobre, mi monitors e uno de 800x600 :( mi pantalla plana se fumo de tanto que racionan la luz en venezuela XD (y el bad robot se queja de colombia)

Comencemos a tunear la lata esa a la que llamo PC

ingredientes:

cairo-compmgr

Avant
Gnomenu

aire acondiconado para que no nos mate el calor, y cocacola para pasar el buche

empezamos paso por paso:

1 abrimos la terminal y nos logeamos como root (sudo su)

2 editams el archivo sources.list nano /etc/apt/sources.list
y agregamos este repositorio agregando esta linea tal como esta

deb http://ppa.launchpad.net/gandalfn/ubuntu hardy main

yo utilizo nano pero pueden utlizar el editor de texto que gusten
este repositorio es solo para ubuntu 8.04 hardy si no usa este cambie la palabra hardy por el nombre de la version de su SO

3 ahora guardar, cierar y actualizar apt-get

apt-get update y luego de esto apt-get cairo-compmgr

una vez instalado, nos vamos a menu aplicaciones -> Herramientas del sistema -> Cairo Compositer Manager

ahora nos vamos a sistemas -> Preferencias -> sesiones

le damos a añadir

Ok muy bien vamos a tomar un trago de esa coca-cola....aaaaaahhhh
muuy bien a lo otro instalar el tal Avant... puf faaacil

abrimos nuestro menu y le damos a añadir y quetar aplicaciones y el recuadro de buscar escribimos Avant

y seleccionamos esta opcion

y una vez instalado nos vamos a aplicaciones -> accesorios -> avant

nos bajamos unos temas de esta pagina

http://wiki.awn-project.org/Themes

una vez que los bajemos le damos clik derecho a la barra del avant clik en preferencias

y ahi vemos Claramente las opciones de

Añadir
Quitar
Aplicar

le damos a añadir y buscamos donde dejamos el tgz :D

y repetimos la misma operacion de agregarlo a la lista de programas

oks ya tenemos cairo y avant, creo que es hora de otro trago...mmmmm
refrecante, muy bien vamos a lo otro... que era???? aaaaa siii!!

Gnomenu

aqui dejo dos link de descargas el primero es la version gnomenu 2.1
el segundo gnomenu version 1.9, los dos en mi cuenta de 4shared :)

Gnomenu 2.1.0.1.deb

Gnomenu 1.9.99-0.deb

Una vez instalada la version de Gnomenu que escogimos, vamos al panel gnomen y le damos clik derecho -> Añadir al panel... ->Gnomenu

y ya esta todo listo!!!!!

Espero su chatarra haya quedado tuning como la mia xD les dejo un pantallazo para que admiren como se ve una pantalla de 800x600
tuning

http://i45.tinypic.com/35mgx9y.png

otro dia me meto con emerald y actualizamos el firefox hasta la proxima

me llego al correo y lo comparto

Querido Niño Dios,

En este año que te llevaste a mi cantante favorito Michael Jackson; a mi actor favorito Patrick Swayze; a mi actriz favorita Farrah Fawcet; a mi compositor favorito Rafael Escalona...,

Quiero decirte, que mi presidente favorito es Alvaro Uribe Velez y aún el año no termina...

Lúcete!!!!

PD: lo comparto solo por fines de creatividad , no tengo propiedad en lo escrito anteriormente.

saludos

Hace tiempo atras se habla de esta herramienta donde microsoft realizo una preparacion informatica a los encargados de llevar la autoridad en este caso la informatica.

Se sabia que cofee era solo liberado para la autoridad y no para uso comercial, bueno hoy encontre una sorpresa , ya estaba para descargar :D y ser probado.

Desde entonces me tome la tarea de buscar y si encontre muchos links algunos en torrent , otros rapid bloqueados xd(tipico) y entre otros.

Voy a compartir con uds donde lleve a cabo la busqueda mas satisfactoria , no lo he descargado ni probado por falta de tiempo pero espero que uds lo prueben y me cuenten, si estos links que les paso para la descarga no sirven por favor avisarme yo coloco mas.

http://rapidshare.com/files/305015512/Cafe_By_Blade.rar

Descargado de este link y probado , solo hay un problema y es que se limita la descarga es solo cuestion de tiempo para descargarlo.

mirrors
http://rapidshare.com/files/304622817/0RdZagBL.zip
http://rapidshare.com/files/304721661/COFEE_INSTALLED.rar
http://www.zshare.net/download/68241715f56f34a6/
http://www.easy-share.com/1908391278/COFEE%20INSTALLED.rar
http://www.uploadmirrors.com/redirect/1BBDTWGJ/14 http://megaupload.com/?d=XGKRPDHI

Espero les sirva

FUENTES:

http://sharpiton.blogspot.com/2009/11/cofee-computer-online-forensic-evidence.html

http://www.intercambiowarez.org/software/microsoft-invita-un-cofee-para-todos-los-policias-informaticos-alerta

http://www.taringa.net/posts/downloads/3883596/COFEE-Programa-usado-por-las-agencias-forenses.html

http://www.taringa.net/posts/downloads/3886221/Microsoft-Cofee,-como-obtener-los-datos-de-windows-xp-usb.htmlç

http://www.rapidshareindex.com/Microsoft-Computer-Online-Forensic-Evidence-Extractor-v1-1-2-A76-_363640.html

http://www.megaleecher.net/taxonomy/term/8305

http://www.intercambiowarez.org/software/microsoft-invita-un-cofee-para-todos-los-policias-informaticos-alerta

saludos roboticos

esto me llego al correo y quiero compartirlo:

Se encuentran Alvaro Uribe, George Bush y la reina de Inglaterra en el infierno...(motivos no faltan...!!!) Bush le contaba a la Reina de Inglaterra que había un teléfono rojo en el infierno y que iba a hablar con el diablo para pedirle autorización para usarlo.

Rápidamente, fue y le pidió al diablo permiso para hacer una llamada a los EE.UU., para saber como quedaba el país después de su partida.
El diablo le concedió la llamada y habló durante 2 minutos.
Al colgar, el diablo le dijo que el costo de la llamada eran 3 millones de dólares, y Bush le pagó.

Al enterarse de esto, la reina de Inglaterra quiso hacer lo mismo y llamó a Inglaterra durante 5 minutos. El diablo le paso una cuenta de 10 millones de libras que la vieja pago sin chistar .

Alvaro Uribe también sintió ganas de llamar a Colombia para ver como había dejado el país, y habló durante 3 horas. (nunca puede hablar menos)
Cuando colgó, el diablo le dijo que eran 50 centavos.

Uribe se quedo atónito, pues había visto el costo de las llamadas de los demás,
así que le preguntó por que era tan barato llamar a Colombia....... y el diablo le respondió:
'Mirá, viejo.... con la cantidad de desempleados, los jubilados muertos de hambre, la famosa "seguridad democrática", "los falsos positivos", la situación de los hospitales públicos, los maestros mal pagados, los desplazados en los semáforos, la violencia familiar, la desnutrición infantil, la falta de justicia, el aumento del costo de vida, la inseguridad ciudadana, los secuestros, violaciones, asesinatos, la parapolítica, la mala calidad de la enseñanza, la corrupción del gobierno, los millones de narcodólares para pagar el caos, el clientelismo político, las mentiras de RCN y otros, la banda de politiqueros sueltos que has comprado, los militares asesinos, la impunidad rampante, los narcos al poder, el DAS, tus hijos dejando sin trabajo a los recicladores!! etc. etc. etc. Ese país se ha convertido en un infierno!.
y de 'infierno' a 'infierno', la llamada es ' local'...

saludos roboticos

Bueno les dejo un paper muy interezante sobre este tema, este paper va ser una introduccion para los siguientes laboratorios que vamos a realizar sobre "forense en p2p y forense en mensageros" si alguien quiere colaborar para la construccion de los laboratorios es bienvenido.

Link online:

http://www.scribd.com/doc/12926281/ARTICLE-Forensic-Artefacts-Left-by-Windows-Live-Messenger-80

saludos roboticos

Hoy les traigo un muy buen post realizado por nuestro amigo ECrawler , saludos

--------------------------------------------------------------------------------------------------

Cada vez se extiende más el uso de las memòrias usb, los gerentes las acarrean encima con información muy confidencial.

Que pasa si se pierde? cualquiera puede tener acceso a esa información, ya que no suelen tener el cuidado de encriptarlo o protegerlo.

Esta semana le ha pasado a un amigo, que su gerente ha perdido sus dos memòrias usb, en el golf.. o quien sabe.. y el gran problema, és que contenian resumenes contables, planes de marketing, datos de clientes...

A parte de poder tener problemas con la LOPD alguien puede hacer mal uso de esa información.

ENCRIPTACIÓN DE DISPOSITIVOS USB

La opción más sencilla, pero no al alcance de todos, es comprar memorias usb seguras, como la Kingston DataTraveler Blackbox .

En tiempo de crisis, quizá este sea el gasto de menor prioridad en la empresa, con lo cual vayamos a lo free.

Hay muchos programas para proteger carpetas o unidades, como Steganos Safe One, pero creo que nos puede servir el mundialmente conocido TrueCrypt .

ENCRIPTANDO CON TRUECRYPT
Os descargáis el programa y lo ejecutáis, pero en lugar de instalarlo seleccionad extract y lo extraemos en el usb a encriptar.

Seguidamente vais al dispositivo y iniciáis el programa Truecrypt y seleccionamos Create Volume

Podríamos encriptar toda la unidad, pero queremos que sea un proceso ágil y no tener que instalar el Truecrypt en cada pc que usemos el dispositivo, por eso crearemos una unidad encriptada del tamaño que deseéis, el resto será público.

Seguidamente nos pedirá el archivo sobre el que montar el disco duro virtual. Seleccionais el nombre que le querais asignar, dentro del usb.

Seguidamente os pedirá las opciones de encriptación, que podéis dejar las que lleva por defecto y darle a next.

Ahora debéis establecer el tamaño que tendrá el disco duro virtual encriptado. Eso depende de vuestra necesidad.. si el USB és de 4 gb podéis asignar 3 gb encriptados y 1 sin... pero a vuestra elección.

Bien, ahora es el momento de poner la contraseña de encriptado, podéis poner lo que queráis. Como más larga y complicada sea, más dificil de romper.

Ahora viene el paso de formatear el disco virtual, podéis dejar las opciones de filesystem y Cluster por defecto.

Una vez formateado ya podemos darle a Exit y ya tendremos el dispositivo preparado

TRABAJAR CON LA UNIDAD ENCRIPTADA DES DE CUALQUIER PC

Cuando queráis usar la información confidencial, almacenada en la unidad virtual encriptada, solo tendréis que iniciar el Truecrypt (que antes habeis extraido en la unidad).

En la pantalla principal seleccionamos la unidad sobre la que montarla, en nuestro caso O:. Le damos a select file y seleccionamos el archivo que contiene el disco virtual (que hemos creado anteriormente)
Y le damos a Mount.

Después de pedirnos nuestra contraseña, se nos abrirá la unidad O: y podremos trabajar con ella con tranquilidad.

No se les olvide visitar la fuente :D

FUENTE:http://evidenciasdigitales.blogspot.com/2009/10/he-perdido-mi-usb.html

Este pareser ser uno de los ultimos post de eduardo, esperemos que no sea asi.

-------------------------------------------------------------------------------------------------

Hoy vamos a hablar de cómo buscar lo siguiente en un disco duro robado:

- passwords
- números de cuenta
- números de tarjeta de crédito
- información personal (direcciones, números de teléfono, ...)

En general, buscaremos información de la que podamos sacar un cierto beneficio económico. No nos interesa para nada coleccionar documentos de word, ni mails por los que no nos darían un miserable céntimo, ni tampoco los videos porno que tenga el tío en su PC, por muy entretenido que resulte.

Primero, desde linux, podemos extraer todos los strings del disco duro haciendo esto: strings /dev/sda > strings.txt, y ahora simplemente vamos buscando lo que nos interesa. Para ello, contamos con la ayuda de egrep que, dada una expresión regular, nos buscará patrones coincidentes.

Por ejemplo, podemos buscar números de teléfono así:

egrep "\b[0-9]{3}.[0-9]{2}.[0-9]{2}.[0-9]{2}\b" strings.txt

Que nos devolverá todos los números del tipo 976.66.88.11, con un espacio antes y después. A partir de esta expresión regular, podemos buscar cosas similares, por ejemplo separando con guiones o bien agrupando los números de otra forma. Sirva de ejemplo:

egrep "\b9[0-9]{2}[-|.][0-9]{2}[-|.][0-9]{2}[-|.][0-9]{2}\b" strings.txt

Que buscaría números separados por un guión o por un punto y agrupados como antes. Además, dado que todos (creo) empiezan por 9, le he metido uno como primer dígito, para optimizar la búsqueda. Otra posible forma de buscar sería mirar los strings tfno y teléfono.

Para buscar direcciones de mail, lo más sencillo es intentar encontrar los strings hotmail.com y gmail.com, que son los más probables. A partir de ahí, encontraremos todos los demás.

Y para passwords, pues más de lo mismo: buscamos passwd, password, contraseña y otros strings que se nos ocurran.

Ahora vamos a algo más interesante: intentaremos localizar números de cuenta y de tarjetas de crédito.

Los patrones son muy fáciles de encontrar. En el caso de las visas, bastaría con modificar el algoritmo que en su día vimos en este artículo

Para los números de cuenta, hay que tener en cuenta que tienen el siguiente formato:

XXXX-OOOO-DD-CCCCCCCCCC

Donde:

XXXX: entidad de la cuenta. Para entidades de España tenéis un listado completo aquí.

OOOO: oficina de la cuenta
DD: dígitos de control
CCCCCCCCCC: número de cuenta.

El número de cuenta se suele descomponer a su vez en TT-CCCCCC-DD, que quiere decir TIPO + CUENTA + DIGITOS-DE-CONTROL.

Los dígitos de control se pueden calcular dado el resto de datos y, para que nadie se queje, he programado una función en php que hace esta validación para nosotros. No es muy bonita ni muy rápida, pero funciona:


function validarCCC($entidad, $oficina, $dig1, $dig2, $tipo, $cta, $dig3){

$dc1 = calcularDC1($entidad, $oficina); 
if ($dc1 != $dig1) return ERROR_CCC_NOK;

$dc2 = calcularDC2($tipo, $cta, $dig3);
if ($dc2 != $dig2) return ERROR_CCC_NOK;
}


//calculamos el primero de los dígitos de control

function calcularDC1($entidad, $oficina)
{

 $d=0;

 $d4=$entidad%10;
 $d3=($entidad/10)%10;
 $d2=($entidad/100)%10;
 $d1=($entidad/1000)%10; 
 $d += $d1*4 + $d2*8 + $d3*5 + $d4*10;

 $d4=$oficina%10;
 $d3=($oficina/10)%10;
 $d2=($oficina/100)%10;
 $d1=($oficina/1000)%10; 
 $d+= $d1*9 + $d2*7 + $d3*3 + $d4*6;

 $d%=11;
 if ($d==0) return $d;

 $d = 11-$d;

 if ($d==10) return 1;
  else return $d;
}


// calculamos el segundo de los dígitos de control

function calcularDC2($tipo, $cta, $dig3)
{

 $d=0;
 $d10=$dig3%10;
 $d9=($dig3/10)%10;
 $d8=$cta%10;
 $d7=($cta/10)%10;
 $d6=($cta/100)%10;
 $d5=($cta/1000)%10;
 $d4=($cta/10000)%10;
 $d3=($cta/100000)%10;
 $d2=($tipo%10);
 $d1=($tipo/10)%10;

 $d= $d1*1 + $d2*2 +
  $d3*4+ $d4*8+ $d5*5+ $d6*10+ $d7*9+ $d8*7 +
  $d9*3 + $d10*6;

 $d%=11;
 if ($d==0) return $d;
 $d = 11-$d;

 if ($d==10) return 1;
  else return $d;

}

Como veis, con la ayuda de las expresiones regulares y de unas llamaditas a funciones de validación, podemos extraer información muy interesante de un disco duro.

Y quien nunca haya guardado números de visa o passwords en un txt que tire la primera piedra ...

Saludos y hasta pronto,

FUENTE Y AGRADECIMIENTOS:

http://hacking-avanzado.blogspot.com/2009/10/computer-forensics-buscando-numeros-de.html

Ojala siga el blog :D

A veces sucede, que en determinados sitios nos permiten subir imágenes pero no se nos permite subir archivos php, porque eso permitiría meterles una shell.

Pues bien, dependiendo de cómo manejen el archivo de la imagen, es posible que lleguen a ejecutar nuestro código ...

El procedimiento vale para, en principio, cualquier tipo de archivo, sea .gif, .jpeg, ...

(1) bajamos cualquier imagen
(2) la abrimos con un editor, por ejemplo notepad
(3) al final del archivo, pegamos el código php separado por un ; (ver imagen)

Suponiendo que el código php incluya imágenes usando include(), require(), include_once(), ... nuestro código será ejecutado y podremos acceder al archivo backdoor.php.

Otra cosa interesante a tener en cuenta es que la imagen se previsualiza correctamente, con lo que un usuario normal jamás sospechará nada.

En todo caso, merece la pena intentarlo, aunque normalmente no vaya a funcionar.

Saludos y hasta pronto.

Referencias (22/10/09):

milw0rm-video1.
milw0rm-video2.

FUENTE:http://hacking-avanzado.blogspot.com/2009/10/pen-testing-ejecutando-codigo-php-desde.html

bueno hace tiempo empeze este hilo de laboratorios siguiendo la metodologia owasp, en el momento de empezar estaba en la version 2 , actualmente vamos a seguir con la version 3.

Esta seria de labs va enfatizado para los que inician en el tema de pentest sobre aplicativos web o bien para personas que empiezen en el mundo de la seguridad y el "hacking".

bueno espero seguir sacando un tiempo para terminar esta serie de labs y seguir con lo mas interezante, tambien seguir con los labs de forense y el curso.

Bueno les dejo los links donde fue posteado el lab.

http://foro.colombiaunderground.org/index.php/topic,5231.0.html

http://foro.latinohack.com/showthread.php?p=60425#post60425

espero les guste.

saludos roboticos

Bueno este post es mas técnico que otra cosa.

Veo la inquietud de adolfo en el chat sobre como recuperar carpetas en windows ; pues bueno hay muchos programas que permiten eso del momento no recuerdo ninguno porque a decir verdad solo me ha funcionado uno a mi medida y del cual dejare el links en la parte final.

Quiero aclarar varias cosas antes de irnos a la descarga:

1.son recuperables todos los archivos?, claro si no han sido sobreescritos.

2.Si los sobreescribir ya no hay solucion?, claro que la hay pero no se garantiza el 100% de recuperacion incluso en el caso de no haber realizado una sobreescritura.

3.cual es el mejor método?, el mejor método es el forense..eso implica maquinaria para ese tipo que igual es costosa.

4.como hago para saber si lo que borro no lo recuperan?, vale los métodos anti forenses se basan en la sobrescritura y en los peores de los casos dañar la cinta, medio magnético y hasta quemarlo xD.

Bueno sin mas bla bla bla xD dejo el link de descarga

Aviso....Tiene Medicina incorporada.

descarga

http://rs522.rapidshare.com/files/295037925/Recover_My_Files_4.0.2.441.rar

Saludos roboticos

Bueno el siguiente mensaje me llego al correo; DEBO aclarar algo... NO estudio ni he estudiado en universidades publicas pero se que es entrar en ellas y lo mucho que se debe estudiar para mantenerse en la institucion.

Publico esto no solo por apoyo incondicional a la educacion colombiana sino tambien con un sentido de critica hacia la administracion del gobierno hacia la educacion por el momento tengo un interrogante ¿como piensan en calidad educativa con el cierre de las universidades publicas? , porque tanta preparacion a los profesores con cursitos de ingles y cursitos de tics sino dan prioridad a la invesitigacion? y ademas darle la sostenibilidad econonima que la educacion eso sin contar que están "matando" al profesorado dejándolos sin tiempo para descanzar.

Si bien es sabido las TICs nos llaman a estar en constante estudio y bien? porque cerrar una institucion publica? osea solo estudien los que tengan modo...osea el mandato siempre sera de ellos.

Bueno no critico mas , eso es lo que cada persona deberia ver!!! y no dejarse manipular por rcn ni caracol que van con el gobierno y siempre ocultan TODO!!!! para que el pueblo no sienta las dolencias "embobar al pueblo".

NOTA: esta opinión que aquí expreso es de sentido critico , no culpo a nadie solo son pensamientos que me vienen a la cabeza; si alguien quiere opinar es bienvenido a opinar y sobre todo si estoy equivocado que me corrijan.

Bueno los dejo con el correo que me llego

----------------------------------------------------------------------------------------------------------------

UNIVERSIDADES PUBLICAS EN RIESGO,

Por favor ayúdanos a informar al Colombiano común , al que ve al país a través de RCN y Caracol, al bogotano que no tiene ni idea de las protestas de las otras ciudades porque no hay tiempo para ellas en los noticieros, aunque si lo haya para informar 45 min de fútbol , 30 min de farándula y 15 min de novelas. Al colombiano que cree que en la U no hay clase, porque 'unos pocos no dejan estudiar' pues nadie le dijo por qué protestaban estos estudiantes.

¿Cómo ha sido la protesta?

-Ha habido marchas al estilo carnaval , 15.000 alumnos bailaban o iban disfrazados.

-Hemos rodeado la universidad nacional con velas.

-Los compañeros de artes han hecho pinturas muy bonitas por todo el campus en señal de protesta.

¿Quieres ver las fotos?

http://picasaweb.google.com/informartes/PropuestasCreativas

¿Y por qué no sabías de la protesta?

Simple,eso no vende en rcn ni caracol , como si lo hace el reinado y los avances de las telenovelas que dan unos minutos después.

No te enteraste de la marcha más que en el reporte de tráfico de city tv, ese día no cogiste transmilenio porque 'los revoltosos de la nacho, ladistri y la piedragógica si que joden....' no te molestaste en preguntar el porqué.

¿Por qué es la protesta en las Universidades Públicas?

Por el plan nacional de desarrollo, particularmente por el artículo 38.

En este se estipula que las universidades tienen que asumir parcialmente su pasivo pensional.

¿y qué pasa?

Lo que sucede es que el pasivo pensional es demasiado dinero, billones de pesos.

¿Podría pagarlo?

La respuesta es no. Se repetiría el el caso de la Universidad del Atlántico, una universidad pública que está al borde de la quiebra hace años por la aplicación de un régimen similar ( ¿no lo sabías? y no es la única universidad pública que se está muriendo.... No lo sabías porque nunca sale en las noticias, debe ser que no quieren que lo sepas. )

Para pagarlo, la universidad tendría que aumentar las matrículas hasta en un 300%, dejar de investigar, contratar profesores más baratos y arrendar sus propios predios. y aun así no podría pagar la deuda que le generaría el asumir su pasivo pensional. Muchos no podrían pagar la matrícula, bajaría el nivel académico y la universidad se vendería hasta quebrarse.

Otros motivos de protesta....

Hace poco el congreso aprobó otros artículos de este plan, uno dice que los egresados de universidades públicas tendrán que pagar, después dehaberse graduado , 15 años más por haberse educado ahí.

Otro artículo problemático, dice que las carreras en las universidades públicas tienen que responder a las necesidades del mercado. Es decir,lo que no tenga utilidad inmediata se suprime. (como lo q quieren hacer con Bellas Artes en Cali)

De nada le sirve al país la investigación, según este concepto, ni las ciencias humanas, ni mucho menos las artes.

¿Para qué filósofos? ¿Para qué matemáticos?, ¿para qué músicos? , según ellos, para nada.

Sólo sirve lo que haga falta, el país no puede innovar, tiene que satisfacer sus necesidades inmediatas, se educa gente para que pueda comer y ya,quieren que Colombia no deje de ser un país subdesarrollado. Aquí no existirá ni el conocimiento ni la investigación , eso le corresponde a los países desarrollados que invierten en esto y que cada vez se vuelven más ricos por estar a la vanguardia en el conocimiento.

En resumidas cuentas... las universidades públicas protestan porque:

- el plan nacional de desarrollo pretende imponer les una deuda que no les corresponde y que no pueden pagar. Una deuda que las llevará a la quiebra.

- los que puedan graduarse de lo que queda de universidad tendrán que seguir pagando por un periodo largo de su vida.

-las nuevas generaciones no podrán escoger entre un amplio número de programas sino entre los que el gobierno crea que el país necesita a cortísimo plazo.
http://www.rcn.com.co/noticia.php3?nt=19197

http://www.portafolio.com.co/port_secc_online/porta_econ_online/2007-05-22/ARTICULO-WEB-NOTA_INTERIOR_PORTA-3516534.html

todos merecemos educación superior, los estudiantes de las universidades públicas queremos estudiar, de hecho a todos nos costó mucho trabajo ingresar a ellas,

COLOMBIA MERECE TENER EDUCACIÓN SUPERIOR PÚBLICA DE CALIDAD.

Te agradeceremos enormemente , si hay un espacio en tu corazón para los miles de estudiantes del país que se educan en las universidades públicas.

----------------------------------------------------------------------------------------------------------------

Reflexionen sobre el futuro o es que no lo hay?

saludos roboticos

En algun tiempo intente buscar un exploit en google y la verdad nunca lo encontre tal parese que google bloquea una parte de las paginas con este contenido; pero hoy les traigo la solucion.
Se trata de un buscador de exploits , es una interezante propuesta para las personas que nos gusta el pentest o el hacking ya que nos facilita mucho el trabajo.

Bueno sin mas detalles aqui les dejo el link:

http://exploitsearch.com/

Bueno espero les sirva.

saludos roboticos

Es un placer anunciarles que Cain & Abel estrenan nueva version, hace mucho tiempo que esperaba cambios y aumento de sus caracteristicas porque para mi es una de las mejores herramientas que existen(obviamente libre).
Para las personas que no conoscan esta herramienta les comentare a grandes rasgos para que sirve:

1.Cracking
2.Snifing

De estas dos tecnicas salen muchas utilidades asi que las caracteristicas de esta herramienta son muchas y muy utiles.

Hasta ahora tengo entendido estos cambios:

Añadido Abel64.exe y Abel64.dll para apoyar los hashes de la extracción en los sistemas operativos de 64bits.
Añadido soporte de NTLM hashes Dumper, MS-CACHE hashes Dumper, LSA Secrets Dumper, Wireless Password Decoder, credenciales para los sistemas operativos de 64bits.
Password Manager Decoder, Dialup Password Decoder.
Añadido Windows Live Mail (Windows 7) Password Decoder para POP3, IMAP, NNTP, SMTP y las cuentas LDAP.
Corregido un error de la Calculadora RSA SecurID dentro de la función de importación XML.

Bueno prontamente estare haciendo laboratorios con el para provar la diferencia entre versiones al igual que el nmap, asi que esten atentos.

Link de desacarga, pagina oficial y manual

http://www.oxid.it/cain.html

Que lo disfruten y

saludos roboticos

Me place presentarles una herramienta muy util desarrollada por un moderador de la comunidad LH que la disfruten.

--------------------------------------------------------------------------------------------------

ASCIIC - by xassiz

Bueno, os dejo esta aplicacion que acabo de programar en VBScript xDD

Pasa una cadena a ASCII y además tiene la opción de copiar el resultado al portapapeles.. =)

Esta perfecto para convertir las tablas en una inyección SQL.

Descarga Aqui

Pass: xassiz09

FUENTE:http://foro.latinohack.com/showthread.php?t=21879&page=2

Agradecimientos a xassiz por su colaboracion

Este es un post de neofito , como siempre con sus grandes aportes en forense.

--------------------------------------------------------------------------------------------------

Una timeline sería un diagrama cronológico donde cada uno de los registros se correspondería con un evento determinado. Para el caso del análisis forense de sistemas existen una serie de valores asociados a todos los ficheros/directorios y que resultan de especial interés. Se trata de las marcas de tiempo, MAC times, o lo que es lo mismo:

Fecha de creación
Fecha de modificación
Fecha de último acceso

Estos valores podemos consultarlos desde la línea de comandos de Windows, método preferente dado que así no los alteraremos de forma involuntaria:

dir /tc fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"
dir /tw fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"
dir /ta fichero | findstr /r "[0-9]*/[0-9]*/[0-9]*"

Los comandos anteriores se utilizan para obtener, respectivamente, la fecha de creación, modificación y último acceso para un fichero determinado. La coletilla se encargará de filtrar la salida para mostrarnos únicamente esta información.

Las diferentes operaciones realizadas sobre ficheros en particiones NTFS provocan la actualización de las diferentes marcas de tiempo. Podemos consultar un resumen de estos procesos en el artículo 299648 de la base de datos de conocimientos de Microsoft.

Muy a tener en cuenta es la forma en que Windows trata el proceso de modificación del parámetro fecha de último acceso. Bajo sistemas de ficheros NTFS este valor no resulta actualizado a veces hasta incluso una hora después de producirse el acceso, todo para conseguir un mayor rendimiento. Según menciona Brian Carrier en su recomendadísimo "Filesystem Forensic Analysis" el valor se almacenaría en memoria hasta su posterior volcado a disco.

El siguiente artículo de la MSDN indica como crear un valor del registro que deshabilitará por completo el proceso de actualización de este valor. De hecho, bajo Windows Vista, esta funcionalidad viene aplicada por defecto.

Si a esto le sumamos que podemos alterar cualquiera de los valores MAC de forma voluntaria ya tenemos una forma burda de dificultar una investigación.

Modificando las marcas de tiempo

Podemos utilizar la API de Win32, concretamente las funciones CreateFile para abrir un fichero y SetFileTime para modificar cualquiera de las marcas de tiempo asociadas al mismo. Sirva como ejemplo el siguiente "programa" generado por un servidor utilizando estos dos artículos de la MSDN:

Changing a File Time to the Current Time
Opening a File for Reading or Writing

El "código" anterior establecerá la fecha de creación de un fichero, indicado como argumento desde la línea de comandos, a la fecha y hora en que se ejecute. Su modificación para otros menesteres resulta realmente trivial. Huelga decir que no me responsabilizo en forma alguna por los efectos negativos que puedan derivarse de su uso (u mal uso).

Y recurriendo a utilidades de terceros dado que en Windows no existe un comando touch integrado como el de los sistemas *NIX, podemos utilizar, por mencionar alguno, el binario ChangeTime. A continuación un ejemplo de uso para modificar la fecha de creación de un fichero, prueba.txt, dejando el resto de parámetros como estaban y consultando sus valores antes y después del proceso:

C:\>ChangeFileTime.exe prueba.txt

*********************************************************************

Filename           : prueba.txt
Creation Time      : 20-08-2009  23:55:47
Last Access Time   : 20-08-2009  23:55:47
Last Modified Time : 20-08-2009  23:55:47

*********************************************************************

C:\>ChangeFileTime.exe -c prueba.txt

*********************************************************************

Filename           : prueba.txt
Creation Time      : 20-08-2009  23:55:47
Last Access Time   : 20-08-2009  23:55:47
Last Modified Time : 20-08-2009  23:55:47

*********************************************************************


Note : You can press  if you want to retain previous date/time

Creation Time      : 20-08-2009  23:55:47
New Date( dd-mm-yyyy) : 20-08-2009

New Time( hh-mm-ss)   : 23:00:00

Last Access Time   : 20-08-2009  23:55:47
New Date( dd-mm-yyyy) :

New Time( hh-mm-ss)   :

Last Modified Time : 20-08-2009  23:55:47
New Date( dd-mm-yyyy) :

New Time( hh-mm-ss)   :

C:\>ChangeFileTime.exe prueba.txt

*********************************************************************

Filename           : prueba.txt
Creation Time      : 20-08-2009  23:00:00
Last Access Time   : 20-08-2009  23:55:47
Last Modified Time : 20-08-2009  23:55:47

*********************************************************************

Bueno, aún no está todo perdido, existen otros valores de tiempo que el SSOO no nos muestra pero que, como las meigas, haberlos hailos. Empezaremos hablando de la "fecha de modificación para la entrada de la MFT", pero para eso, bajaremos varias capas de abstracción analizando la estructrura del disco en crudo.

Introducción al sistema de ficheros NTFS

Primero decir que esto es sólo una introducción, por lo que se quedarán muuuchas cosas en el tintero. Para ahondar más en el tema recomiendo nuevamente el libro de Brian Carrier, "Filesystem Forensic Analysis", y el todavía inacabado (esperemos que por poco tiempo) taller de análisis forense de NTFS publicado en Wadalbertia por el compañero Vic_Thor.

NTFS es, sin duda, uno de los sistemas de ficheros más extendidos en la actualidad y apareció en escena con la presentación de Windows NT. Se diseñó con la intención de que fuera fácilmente escalable y su principal característica es que toda la información relacionada con la estructura del sistema de ficheros se almacena precisamente en ficheros, los cuales no son directamente visibles desde el sistema operativo.

El corazón del sistema de ficheros lo compone la MFT, una tabla de registros por cada uno de los ficheros/directorios almacenados en disco. Cada una de las entradas tiene habitualmente un tamaño de 1024 bytes y la primera de ellas apunta a la ubicación del fichero $MFT, o sea, apunta a sí misma. Dado que la ubicación del $MFT no siempre necesariamente coincide, como también sucede con el resto de ficheros de metadatos, para localizarla se utiliza la dirección de inicio almacenada en el sector de arranque ($Boot), el cual siempre se ubica en el primer sector del sistema de ficheros.

Es más dificil leerlo que verlo, así que nos pondremos a ello. Siempre que sea posible trataré de utilizar herramientas 'free' y por ello descargaremos FTK Imager de AccessData, el hermano pequeño de Forensic Toolkit, también de la misma casa.

Para las pruebas voy a utilizar un pendrive de 2GB, el cual está formateado como NTFS y contiene un único fichero, prueba.txt, con el contenido "Hola Mundo". Desde FTK Imager puede analizarse directamente la estructura de un disco físico, pero en su lugar utilizaré las capacidades de la herramienta para crear imágenes de disco en diferentes formatos.

Una vez lanzada, menú 'Archivo', 'Crear imagen de disco...' y seleccionamos 'Unidad física' como tipo para la evidencia de origen. En la siguiente pantalla indicaremos el disco de origen:

Ahora, tras pulsar el botón 'Agregar', indicaremos el tipo para la imagen de disco resultante (dd en nuestro caso) así como la información relativa al elemento de evidencia (Núm. caso, Núm. evidencia, etc). Por último indicaremos la ubicación del fichero resultante, nombre del fichero de imagen sin extensión y un 'Tamaño de fragmento de imagen' igual a 0 (no fragmentar).

Si hemos aceptado el resto de parámetros por defecto cuando finalice el proceso de creación de la imagen se realizará una verificación de integridad, mostrando un resumen del resultado del proceso que incluye las sumas de comprobación manejadas (SHA1 y MD5). Toda esta información y alguna más se almacenará en disco, junto al fichero de imagen, en un txt.

Ahora que ya tenemos la imagen vamos a analizar su contenido. De nuevo en FTK Imager accedemos al menú 'Archivo', 'Agregar elemento de evidencia...' y seleccionamos 'Archivo de imagen' como tipo para la evidencia de origen, localizando a continuación el fichero obtenido en el paso anterior.

En el panel superior derecho, 'Lista de archivos', veremos los ficheros de metadatos, precedidos por el caracter $, asi como el fichero de texto que utilizaremos para las pruebas. Si seleccionamos el fichero $MFT en el panel inferior derecho podremos ver su contenido en hexadecimal. Nótese como la primera entrada, al igual que el resto, comienza con un valor de firma igual a FILE. Otro posible valor de firma es BAAD e indicará que la entrada de la MFT no es válida.

Si nos desplazamos 1024 bytes hacia delante (0400 en hexadecimal), encontraremos el valor de firma que marca el inicio de una nueva entrada, y una delgada línea discontínua incluida por FTK para facilitar su análisis.

Ahora ya sabemos identificar los diferentes registros almacenados en la MFT, pero para localizar la entrada correspondiente a nuestro fichero prueba.txt de forma sencilla vamos a utilizar un "truco". Utilizaremos para ello la herramienta Mount Image Pro, la cual podremos descargar en versión trial, válida durante 14 días, desde el sitio oficial.

Una vez instalada y a través de su interfaz pulsaremos el icono 'Mount' seleccionando a continuación el fichero dd que estamos analizando. Aceptaremos los parámetros ofrecidos por defecto y, como resultado, tendremos una nueva unidad de disco que nos permitirá acceder al contenido de la imagen:

Ahora descargaremos las OEM support tools desde la página de Microsoft y extraeremos el binario nfi.exe, el cual nos mostrará información sobre un volumen formateado como NTFS. Bastará con ejecutar:

C:\>nfi.exe F:

En este caso le estoy indicando como parámetro la unidad 'F:', asignada automáticamente por Mount Image Pro para el montaje de la imagen dd. Si analizamos los resultados obtenidos identificaremos las diferentes entradas almacenadas en la MFT, numeradas empezando por 0 y correspondiéndose la última de ellas con el fichero objeto de análisis, prueba.txt:

File 35
\prueba.txt
   $STANDARD_INFORMATION (resident)
   $FILE_NAME (resident)
   $DATA (resident)

El primer dato que encontramos es el número de entrada de la MFT, seguido del nombre de fichero al que referencia. A continuación están los atributos que conforman la entrada, así como si están íntegramente contenidos en ella (resident) o no (nonresident).

Cada entrada de la MFT está compuesta por una cabecera de un tamaño fijo (48 bytes para Windows 2000 e inferiores o 56 bytes para Windows XP y superiores) y una serie de atributos, almacenados de forma secuencial. A su vez cada atributo está formado por una cabecera de 16 bytes y una serie de datos con estructura variable.

Vamos a verlo "en directo". Desmontaremos la imagen desde Mount Image Pro y volveremos a FTK Imager. Seleccionaremos el fichero $MFT y centraremos nuestra atención en el panel inferior derecho. Si nos encontramos al comienzo del fichero (MFT entry 0) y queremos analizar la entrada número 35, sabiendo que cada entrada de la MFT tiene un tamaño de 1024 bytes:

35 * 1024 = 35840

Y eso que yo y las matemáticas no somos muy buenos amigos.

Para desplazarnos a la dirección deseada botón derecho sobre el panel hexadecimal, 'Ir a desplazamiento...' e indicamos 35840 como el número de bytes en decimal, pulsando el botón 'Finalizar' a continuación.

Vale, ya estamos en la entrada de la MFT asociada a nuestro fichero y hemos descartado los 56 bytes de la cabecera hasta encontrarnos con el primer atributo almacenado. Los primeros 4 bytes de los 16 que componen la cabecera del atributo se corresponden con el identificador de tipo:

10 00 00 00 = 00 00 00 10 = 16

Si tenemos en cuenta que los datos se almacenan en formato litle endian obtendríamos que, en este caso, el valor final se corresponde con el de la $STANDARD_INFORMATION.

Este atributo es siempre residente, existe uno por cada fichero/directorio almacenado y contiene los metadatos asociados al elemento en cuestión. De la cabecera del atributo, cuya estructura es común para todos, también nos interesa el tamaño del mismo, que se almacena en los bytes 5 al 8 y que nos dará el desplazamiento en bytes hasta el comienzo del siguiente atributo:

60 00 00 00 = 00 00 00 60 = 96 bytes

Esto quiere decir que si contamos 96 bytes desde el inicio de la cabecera del atributo nos econtraremos con el comienzo del siguiente atributo:

Volvamos a la $STANDARD_INFORMATION y analicemos las 4 marcas de tiempo ubicadas consecutivamente a partir del byte 25. Cada una de estas marcas de tiempo tiene un tamaño de 8 bytes (64 bits) y en NTFS se almacenan en formato UTC. Para nuestro ejemplo serían:

Fecha de creación
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de modificación
53 23 b8 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de modificación de la entrada MFT
53 23 b8 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de último acceso
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Juntos forman los MACE times del fichero prueba.txt (M=Modified, A=Accessed, C=Created y E=Entry modified). Para la interpretación de los valores de tiempo podemos utilizar DCode o el panel inferior izquierdo de la interfaz de FTK, en concreto la pestaña 'Intérprete de valores hexadecimales':

FTK Imager: Intérprete de valores hexadecimales

El valor de modificación de la entrada MFT se actualizará siempre que se modifique cualquiera de los atributos que ésta contiene. Ya hemos encontrado una cuarta marca de tiempo, pero ahora llegan las malas noticias, este valor también puede ser modificado para seguir dificultando una investigación.

Metasploit Anti-Forensics Project

Allá por el 2005, y de la mano de la gente del proyecto antiforense de Metasploit apareció la herramienta timestomp cuya ultima versión disponible de forma independiente tiene ya unos 5 añitos. Desde la publicacion del Metasploit Framework v3.0 el binario timestomp aparece integrado como una extensión del payload meterpreter.

Surgida como una aplicación anti-forense permite modificar los valores para las 4 marcas de tiempo almacenadas en el atributo $STANDARD_INFORMATION de un fichero. Posee también un flag que permite eliminar por completo estas marcas de tiempo para confundir la interpretación de los datos realizada por Encase, pero desde Windows Vista y utilizando la ultima versión independiente disponible no he conseguido aplicar esta funcionalidad.

Vamos a probarla y para ello utilizaremos nuevamente el pendrive original con cuya imagen de disco estábamos trabajando. Obtendremos primero los valores MACE asignados actualmente al fichero:

C:\>timestomp.exe F:\prueba.txt -v
Modified:                Saturday 8/22/2009 23:9:26
Accessed:                Saturday 8/22/2009 23:9:26
Created:                 Saturday 8/22/2009 23:9:26
Entry Modified:          Saturday 8/22/2009 23:9:26

Y ahora modificaremos todos los atributos MACE, comprobando nuevamente sus valores al terminar:

C:\>timestomp F:\prueba.txt -z "Saturday 8/22/2009 01:00:00 PM"

C:\>timestomp.exe F:\prueba.txt -v
Modified:                Saturday 8/22/2009 13:0:0
Accessed:                Saturday 8/22/2009 13:0:0
Created:                 Saturday 8/22/2009 13:0:0
Entry Modified:          Saturday 8/22/2009 13:0:0

Afortunadamente todavía existe un conjunto de valores MACE asociados a un fichero y que nos servirán para cotejar los resultados obtenidos, permitiendo detectar el uso de herramientas similares a timestomp.

El atributo $FILENAME

Antes de continuar repetiremos el proceso de generación de un fichero de imagen de la unidad física analizada, en este caso mi pendrive. No voy a indicar nuevamente los pasos a dar, basta con volver algunos párrafos atras para encontrarlos.

Una vez abierta nuevamente la imagen mediante FTK nos desplazaremos a la entrada número 35 de la MFT (offset 35840), descartaremos la cabecera y, teniendo en cuenta que el desplazamiento desde el primer atributo, $STANDARD_INFORMATION, hasta el siguiente son 96 bytes avanzaremos hasta el comienzo del mismo.

Consultaremos antes los valores MACE de la $STANDARD_INFORMATION una vez modificados mediante timestomp:

Fecha de creación
00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

Fecha de modificación
00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

Fecha de modificación de la entrada MFT
00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

Fecha de último acceso
00 78 57 b1 17 23 ca 01 = sáb, 22 agosto 2009 13:00:00 UTC+0200

Seguimos donde estábamos, los primeros 4 bytes de los 16 que componen la cabecera del atributo se corresponden con el identificador de tipo para $FILENAME:

30 00 00 00 = 00 00 00 30 = 48

Este atributo, al igual que el anterior, es siempre residente y existe uno por cada fichero/directorio almacenado. Dentro de una entrada MFT este atributo se utiliza para contener el nombre del elemento así como una referencia a su directorio padre.

Si contamos 32 bytes desde el comienzo del atributo encontraremos los 4 valores de 8 bytes conteniendo otro conjunto de marcas de tiempo:

Fecha de creación
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de modificación
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de modificación de la entrada MFT
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Fecha de último acceso
ab c1 b7 d4 6c 23 ca 01 = sáb, 22 agosto 2009 23:09:26 UTC+0200

Si tenemos en cuenta que estos valores únicamente se modifican cuando se crea o mueve un fichero, por lógica deberían ser anteriores a los valores del atributo $STANDARD_INFORMATION; por lo tanto, en nuestro caso, encontramos una evidencia de que las marcas de tiempo pueden haber sido alteradas deliberadamente.

La interpretación de los valores de tiempo dependerá de las características del caso; como decía Einstein "el tiempo es relativo".

Enlaces relacionados

Timeline Analysis Bibliography

The Linux-NTFS Wiki

Wikipedia: NTFS (en, es)

Taller Forensic II. NTFS (Iniciado.....)

Analysis of hidden data in the NTFS file system

Windows Vista Forensic Artifacts

Time and Timestamps

Beating the Daylight Savings Time bug and getting correct file modification times

Anti-Forensics

Metasploit Anti-Forensics Project

Forensic Wiki: Timestomp

Detecting timestamp changing utilities

NTFS Time Stamps --file created in 1601, modified in 1801 and accessed in 2008!!

Conclusión, al menos sabemos más que ayer, pero esperemos que un poco menos que mañana.

FUENTE:http://neosysforensics.blogspot.com/2009/08/ensayo-acerca-del-tiempo.html

Pages

futuro robot? futuro inerte?

Banner 1

Paginas en las que participo

¡¡¡ SE FUNDIÓ UN BOMBILLO!!! QUÉ HACEMOS?

Feliz navidad y Prospero año 2010

Analizando Skype

Analizando Tráfico de Red

cifra todo tu ordenador

instalar nagios en fedora 11(parte 1 de 2)

Analisis a un sistema vivo con DEFT-EXTRA

Acelerando Firefox 3.5

Documentacion sobre criptografia

Personalizando ubuntu 2

Encase V6 (iso) + certificacion(ence)

Presentando a nuestro nuevo escritor BLACKUBAY

Personalizando ubuntu

carta al niño dios

Microsoft Cofee

chiste o realidad colombiana?

forense en windows live msn

He perdido mi usb!

BUSCANDO NÚMEROS DE CUENTA EN DISCOS DUROS

EJECUTANDO CÓDIGO PHP DESDE UN ARCHIVO GIF

PenTest sobre aplicativos web- metodologia owasp(II de X)

Recuperando archivos borrados en windows

UNIVERSIDADES PUBLICAS EN RIESGO

como buscar exploits

Cain & Abel estrena nueva version

convertidor de String a ASCIIC

lineas de tiempo(timeline)forense

Buscar este blog

Herramientas online

Followers

Blog Archive

Paginas Recomendadas

Colaboradores

chat

Entradas populares

Labels