La Comunidad DragonJAR » 4v4t4r

Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web

4v4t4r — Sun, 14 Aug 2011 07:45:44 +0000

ACTUALIZADO: acaba de salir la versión 0.9.9 de esta excelente herramienta para realizar pentest hacia aplicaciones web, todas las herramientas han sido actualizadas y algunos errores corregidos.

Descarga esta nueva versión haciendo click en este enlace… si no sabes que es Samurai Web Testing Framweork, te digo que…

Samurai Web Testing Framework es un entorno de trabajo basado en GNU/Linux Ubuntu, que ha sido pre-configurado para llevar a cabo test de penetración a aplicativos Web.

Este LiveCD, que además puede ser instalado como sistema operativo por defecto en el disco duro, contiene un repertorio bastante amplio en cuanto a herramientas de libre uso y distribución se refiere. Estas herramientas están destinadas a realizar pen-testing sobre aplicativos Webs.

Al igual que la distribución BackTrack, Samurai Web Testing Framework divide las herramientas por grupos según una metodología.

Comienza por la etapa de reconocimiento, para ello hace uso de las herramientas Fierce domain Scanner y Maltego. Para el mapeo del sistema objetivo incluye la herramienta WebScarab y Ratproxy. Para el descubrimiento de vulnerabilidades incluye w3af y burp, finalmente para el proceso de explotación utiliza BeEF, AJAXShell y otras más.

Como si esto fuera poco, Samurai Framework incluye una wiki preconfigurada y lista para ser usada como bitácora de recolección de la información que vamos generando a medida que avanzamos en el proceso de pen-testing.

Los desarrolladores hacen anuncio oficial de la disponibilidad de esta primera distribución como versión de desarrollo y hacen la invitación a los interesados a participar de este genial proyecto, ofrecen para ello un sitio Web y una lista de correo.

Para finalizar dejo algunas capturas de pantalla de lo que he probado a manera “superficial” sin entrar aún mucho en el detalle de uso y comportamiento del sistema (hasta el momento va muy bien). Quiero además hacer la salvedad que estas mismas herramientas pueden ser instaladas y configuradas en diferentes S.O, por lo tanto una vez más queda comprobado que no importa el S.O que utilicemos, todos pueden servir para las diferentes tareas de nuestro día a día, incluso para estos menesteres de la seguridad

Cargando y reconociendo componentes y hardware

Inicio de sesión (contraseña para root)

Escritorio (Gnome)

Menú Samurai (Herramientas)

Navegador (Add-ons incluídos: Edit cookies, DOM Inspector, Firebug, Greasemonkey, HackBar, Header Spy, SQL Injection, etc)

Herramienta WebScarab

Terminal

Wiki incluida y pre-configurada

Ejecución del instalador a disco duro

Mas Información:
Web oficial del Proyecto Samurai Web Testing Framework
Descargar Samurai Web Testing Framework
Foro de discusión sobre seguridad en aplicativos web (Comunidad DragonJAR)

También puede interesarte...

Los Hackers también son personas

4v4t4r — Thu, 11 Aug 2011 05:41:35 +0000

Hackers Are People Too es un documental que reivindica no solo a los hackers, sino también al hacking como actividad, reclamando los espacios que se han ganado en los adelantos tecnológicos e informáticos de la actualidad. Un documental que intenta luchar contra la ignorancia y el miedo sembrado por los medios, que los ha mostrado sea como seres malvados capaces de violar bebés ciegos o como nerds vírgenes mantenidos por sus madres. Pero los hackers también son personas, y nosotros reflexionamos un poco sobre el tema.

Hackers Are People Too fue inspirado por una “conversación” que Ashley Schwartau, el director del documental, tuvo con uno de sus profesores. Al pedirle permiso para faltar un día para ir a Shmoocon, una conferencia hacker, el “catedrático” se escandalizó. “¿¡HACKERS!? ¿Como en….*suspiro dramático* hacker de ordenadores? ¿Tienen CONFERENCIAS? ¿Y qué hacen ahí? ¿Tratan de hackear los bancos y entrar en redes para robar tarjetas de crédito?” Ashley, en ese momento, se dio cuenta que debía poner su granito de arena para rectificar la cosa. Y así nace su crónica, que puedes ver debajo.

Encontre unos subtitulos de mala calidad en español, pero para quien no tienen mucha idea del ingles, le puede ser util, sirven para este archivo de bittorrent.

Más información>>

También puede interesarte...

¿Hackers en Colombia?

4v4t4r — Wed, 10 Aug 2011 20:27:33 +0000

Si, los hay y muy buenos. Pero primero tengo que partir desde la definición de Hacker para poder acertar en mi afirmación.

Esta entrada fue escrita originalmente por 4v4t4r el 2 septiembre 2008 para dejar claro a los medios de comunicación la diferencia entre un Hacker y un Delincuente informático, aunque en la comunidad muchas veces se ha intentado aclarar las cosas con textos como “Hacker”, la palabra de moda, De independencia, Medios de Comunicación, Twitter y Facebook, publicando documentales como Los Hackers también son personas, en entrevistas y cualquier espacio que tenemos con periodistas para hacerles caer en cuenta que HACKERS != DELINCUENTES.
Pero poco o nada ha cambiado desde que se escribió originalmente esta nota hace casi 3 años y su contenido sigue siendo totalmente vigente, solo que ahora hay grupos de personas que intentan llamar la atención por medios informáticos, a los cuales se les atribuye “el termino de moda hacker”, haciendo que grandes iconos de esta cultura prefieran ser referenciados como profesionales de la seguridad informática que como hackers.

Hacker según la Wikipedia

Hacker es el neologismo utilizado para referirse a un EXPERTO en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.
El término “hacker” trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.

Hacker según Richard Stallman

Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente. Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.

¿Claro?

Parece que no, y menos en Colombia donde llamamos Hackers a criminales comunes dedicados a robar y clonar tarjetas de crédito de restaurantes y almacenes.

Cayó Red De ‘Hackers’ Más Grande Del País

Encontrarse con titulares de este tipo genera malestar cerebral, aún más cuando una semana después nos encontramos con titulares como este:

Rey de los hackers, Kevin Mitnick, estará en Foro Internacional de Seguridad Informática Empresarial (Bueno… ¿o es el “diablo” en persona o el salvador/rey de los hackers?¿Buenos, Malos?, ¿Traen con honores a un delincuente? o a un Experto en Seguridad Informática)

y no es para menos, pues no me imagino a 25 supuestos “hackers” trabajando como meseros en un restaurante dejando caer intencionalmente una tarjeta de crédito para luego pasarla por un escáner atado a su pierna. Mucho menos a un Hacker experto, minimizado únicamente a realizar transferencias electrónicas desde/hacia diferentes cuentas en el país. Estas son obras de algunos delincuentes más en Colombia, delincuentes que hacen uso de herramientas informáticas para realizar sus actos criminales.

¿Deberíamos entonces llamar soldados a los terroristas de las FARC? ¡Las cosas por su nombre!, Hackers a los expertos en construir, investigar y mejorar el mundo, la seguridad informática, programación, redes, bicicletas, etc. Delincuentes informáticos, a los ladrones que instalan keyloggers en los café internet, los que envían exploits de falsificación de correos para obtener una contraseña, a los que clonan tarjetas de crédito, a los que extorsionan por medio de e-mails, a los que se dedican al phishing para robar dinero, etc.

¿Culpables?

Los culpables de esta desinformación seriamos casi todos, solo bastan algunos minutos en internet para encontrarse con todo tipo de contenido referente a Hacker/Hacking.
Veamos algunos desastres de información en Internet:

Desmantelan en Colombia banda de hackers que logró robar USD 3,4 millones
Hackers colombianos atacaron la página de Rafael Correa
Hackean su página web y le borran todo (Página web de la senadora Piedad Córdoba)

Según estas “joyitas” de titulares un Hacker se dedica a realizar Defacing a páginas web. Pero, ¿cómo culpar a los medios, si en internet es posible encontrar páginas web de supuestos “hackers” que ofrecen servicios desde 10 dólares para “hackear” cuentas de Hotmail, Hi5, facebook y cualquier servidor de internet? ¡¡¡Pero venga!!! Que no hay que ser un experto para enviar un keylogger por internet, un exploit que imita la interface de un servidor de correo, o un enlace a un servidor preparado para imitar a tu banco en línea. Solo basta navegar en este tipo de servicios “mágicos-elites de la súper muerte” para echarse a reír, con sus fondos negros, con publicidad de un servidor gratuito, un subdominio gratuito y lleno de java script alertando del peligro de navegar en esas aguas de “profesionalismo”.

La desinformación y la ignorancia están por todos lados

Es que ahora ningún medio se salva de desinformar, lo hacen los periódicos tradicionales, los noticieros, las universidades, etc. Nuestro mundo está tan contaminado de desinformación que ahora podemos encontrar anuncios como estos:

necesito un “hackers” para sacarme de datacredito en Colombia

Ojalá todo parará allí, pero es común encontrar en la bandeja de entrada correos como “plis ayuda!!! Necesito saber la contraseña de correo de mi novio/a, me pone los cachos”, “no es con fines maliciosos, solo es para saber la verdad de si me engaña o no”, y un largo etcétera. Foros donde se pasan la vida debatiendo sobre quien en más súper H4x00r-Elite-Hacker-Gurú-Lammer-phreaker-Cracker de la hyper muerte.

Este tipo de discusiones son más comunes en internet. Foros hay y muchos, algunos buenos otros no, pero los “buenos” le restan credibilidad a su contenido cuando se dedican a limitar sus mentes a hablar mal de las personas que tratan de hacer lo mismo “una Colombia con cultura informática”.

Pero que podemos hacer si la red es una extensión más de nuestra cultura, donde hay diversidad de pensamientos y acciones. Simplemente nos queda respetar las diferencias y tratar de comprender sus diminutos cerebros.

No todo está perdido

Cito “Si, los hay y muy buenos”, muchos “hackers” trabajan sin parar, para lograr de nuestra Colombia un país mejor. Crean, investigan, desarrollan, proponen y unen esfuerzos.

Trataré de mencionar algunos grupos relacionados con la seguridad informática que se destacan en Colombia, donde tal vez o no, se reúnen algunos hackers reales, o simplemente algunos entusiastas del conocimiento compartido y la investigación :

Y por supuesto nuestra querida Comunidad DragonJAR

Acercándonos a ese “extraño” mundo

Ahora algunos salen del montón y dejan atrás a los demás en su ignorancia y desinformación, ahora podemos gracias a ellos acercarnos a este mundo de “Hackers”. Constantemente algunas instituciones académicas realizan diferentes eventos relacionados con la seguridad de la información, donde se explica el modo de actuar de algunos delincuentes informáticos, se explica diferentes métodos de prevención para este tipo de ataques y las diferentes investigaciones y soluciones desarrolladas por nuestros Colombianos.

Algunos ejemplos son:

Solo queda concluir con la invitación a comentar sobre el punto de vista que consideres sobre la realidad o no de “¿Hackers en Colombia?”.

4v4t4r - Labs.DragonJAR.org

También puede interesarte...

Sexto Festival Latinoamericano de Instalación de Software Libre en Medellín – FLISOL 2010

4v4t4r — Thu, 01 Apr 2010 16:49:35 +0000

En abril regresa a Medellín el Festival de difusión de Software Libre más grande de Latinoamérica. Esta vez se realizará el día sábado 24 de abril en la nueva sede del Museo de Arte Moderno (MAMM) en Sede Ciudad del Río entre las 9 a.m. y las 5 p.m. Este espacio estará abierto de manera gratuita para que estudiantes, profesores, expertos, gomosos, escépticos y curiosos de la tecnología; se enteren de las opciones y herramientas que el software libre tiene para ofrecerles, no sólo a los conocedores sino al público general.

¿De qué se trata el FLISOL?
Este evento, organizado por la Comunidad de Software y el Museo de Arte Moderno de Medellín, llega a su sexta edición consecutiva, con el objetivo de promover el uso del software libre en todos los ámbitos de la sociedad.

Como en años anteriores este Festival de carácter internacional no sólo se realizará en nuestro país sino que se realiza de manera simultánea en otros países como Argentina, Bolivia, Brasil, Chile, Costa Rica, Cuba, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Uruguay, Venezuela, entre otros.

Durante el día 24 de abril los participantes disfrutarán de:

Instalación de sistemas operativos libres como GNU/Linux y *BSD
Soporte especializado con problemas de software libre
Conferencias
Talleres
Asesoría para empresas
Demos, juegos y concursos

Este post estará en constante actualización a medida que nos hagan llegar las invitaciones y comunicados por parte de los organizadores en otras ciudades y/o paises.

Es muy posible que este año también esté presente la comunidad DragonJAR en cada uno de estos eventos, tanto como asistentes como ponentes.

Para más información sobre este evento (registros, ponencias, conferencias, talleres) consulta en su página web oficial >>

Información general
Fecha: Sábado 24 de abril de 2010
Hora: 9 a.m. a 5 p.m.
Lugar: Museo de Arte Moderno. Sede Ciudad del Río Carrera 44 No. 19A100, Medellín
Ingreso: Entrada libre

También puede interesarte...

Resultado del Primer Reto Forense de La Comunidad DragonJAR

4v4t4r — Sat, 27 Feb 2010 21:37:39 +0000

Con más de 1000 descargas de la imagen correspondiente al Primer Reto de Análisis Forense Digital de la Comunidad DragonJAR y luego de realizar la evaluación de los reportes entregados por los participantes, haremos público el resultado de estas evaluaciones.

Antes de comenzar queremos agradecer a todos los participantes de este primer reto y a todas las personas que realizaron la descarga del entorno virtualizado, esperamos que a “pesar” de que publiquemos los reportes entregados por los participantes, las demás personas se animen a desarrollar las actividades propuestas.

Es necesario aclarar y realizar un resumen de lo que fue esta primera experiencia como desarrolladores/participantes de este primer reto forense de la comunidad. Pues de esta actividad depende la comprensión de los resultados presentados.

El escenario que se planteó fue el siguiente:

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Los objetivos y reglas del reto son los siguientes:

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

Antecedentes del Sistema/Escenario
Recolección de datos
Descripción de la evidencia
Entorno del análisis/Descripción de las herramientas
Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
Metodología
Descripción de los hallazgos
Huellas del comportamiento y de las actividades del sospechoso
Cronología de las actividades del sospechoso
Posibles víctimas del sospechoso
Rastros del sospechoso
Conclusiones
Recomendaciones a los padres
Referencias

Como se observa, las reglas y objetivos de este reto pueden resultar algo exigentes para tratarse de un primer reto y acercamiento a estas temáticas (aunque ya habían sido tratadas en profundidad en varios laboratorios de la comunidad), por lo tanto tratamos de no ser tan rigurosos en el proceso de evaluación, aunque esto no debería ser así, pues de ello depende la calidad de los analistas forenses y de la validez de la evidencia presentada por estos ante un Juez.

El número total de personas oficialmente registradas a participar en el reto fue 71, de los cuales solo 7 personas presentaron los reportes solicitados.

Como bien se explica en los objetivos del reto. Se libera un Snapshot (instantánea) de un sistema virtualizado en VMWare.

El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>)

Aunque no se especificó claramente la idea inicial es personificar el papel de un análisista forense, el cual y como primera medida obligatoria debe velar por la conservación de la evidencia. Por esto y aunque hayamos distribuido la imagen descargable y comprimida del entorno era obligatorio responder correctamente frente al proceso de cadena de custodia, en la cual se debe realizar los procedimientos científicos necesarios para generar mínimo tres copias de seguridad del sistema implicado, entre otras prácticas. (Más información >>)

Vulevo y repito, esta parte no fue especificada de la mejor manera por nosotros, pues damos por entendido que es el primer objetivo en todo análisis forense.

La idea es que en conjunto mejoremos todos, tanto nosotros como desarrolladores de los retos, como ustedes los participantes, por ello se ignoró en gran medida este primer objetivo de conservación de la evidencia. Aunque claro está, para el próximo reto sera indispensable presentar el registro de como fue llevado a cabo este proceso de tanta importancia en las tareas de análisis forense digital.

A excepcion de dos participantes, todos los demás reportes mostraron que contaban ya, como copia de seguridad, la imagen publicada por nosotros. Aunque el reto pretendía meter a los participantes en la escena donde llegaban a modo de allanamiento a la casa del implicado y debían realizar las copias necesarias del sistema.

Por lo tanto solo se evaluó la profundidad y exactitud del análisis demostrativo de las actividades que realizaba el implicado desde dicho computador.

Consideramos que una gran fuente de referencias y de ayuda fue el enlace a los resultados del 3 reto de informática forense de la UNAM, los cuales ofrecen unos perfectos ejemplos a seguir en materia de realización de análisis y reportes. Observamos como entonces solo unos pocos se apoyaron en estos invaluables recursos. Pues dichos reportes presentan de manera muy profesional lo que debería ser un reporte ejecutivo (gerencial) y un reporte técnico (académico).

Los resultados de las evaluaciones quedaron así:

Primer puesto: Javi G. (descargar informes)
Segundo puesto: Mario Alfonso Riaño (descargar informes)

Vuelvo y repito, para este primer resultado intentamos no ser completamente rigurosos en el proceso de calificación, pues tratamos simplemente de resaltar las buenas prácticas o técnicas presentadas por los concursantes.

No todos los informes pueden estar en el podio ganador, pero en reconocimiento a su trabajo y tiempo realizando el reto forense, vamos a hablar un poco de cada uno de los informes, comentando sus puntos a favor y en contra, para que en nuevas ediciones de nuestro reto forense corrigan sus errores y fortalezcan sus talentos (En orden de resultados -Pudium).

1 – Javier G.

PRO’s: Correcto uso del reporte ejecutivo para el objetivo del mismo. Muy detallado y acertado el proceso de análisis y resultados obtenidos.
CONTRA’s: Se hecha de menos el detalle técnico del proceso de preservación de la evidencia.

2 – Mario Alfonso Riaño Rojas

PRO’s: Buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. Correcto análisis cronológico de las actividades delictivas del implicado. Muy buenos resultados para tratarse de un primer análisis forense digital. Correcto y acertado procedimiento de preservación de la evidencia. Buen nivel de detalle descriptivo del sistema objetivo.
CONTRA’s: Se hecha de menos un poco más de detalle y acierto en el proceso de análisis de la evidencia.

3 – Manuel Antonio Meléndez Andrade

PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. El reporte técnico refleja muy buenos hallazgos, pero carece de los procedimientos utilizados para llegar a estos.
CONTRA’s: Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Aunque las conclusiones son buenas, no se detallan los procedimientos técnicos realizados para llegar a estos. (preservación de la evidencia, montaje del entorno de análisis, copia y análisis de datos volátiles, memoria ram, etc)

4 – Julián Sotos Sepúlveda

PRO´s: Se percibe que hubo buena documentación para la realización del análisis. El reporte ejecutivo reflejan unas buenas conclusiones del análisis. Correcto el uso descriptivo de como debería realizarse de adquisición de la evidencia. Buenas conclusiones. Buenas recomendaciones y compromisos a los padres y a los menores de edad/jóvenes.
CONTRA´s: No se detalla técnicamente el proceso de preservación de la evidencia. No se realizó análisis de memoria. El uso de la herramienta COFEE es de uso restrictivo a organismos policiales de algunos países. No se detallan las técnicas utilizadas para obtener la mayoría de resultados

5 – Seifreed:

PRO’s: Fue quien más información adjunta envío y documento cada instrucción con que obtuvo esta información. Se percibe que hubo buena documentación para la realización del análisis.
CONTRA’s: No realizó ningún tipo de análisis, se limitó a sacar información sin buscar realacion alguna entre ella y sin analizar en detalle los resultados obtenidos por estas. La mayor parte del reporte técnico se enfocó a verificar la integridad del archivo descargado (4 páginas), proceso que podría ser realizado de manera más óptima con el objetivo de documentar actividades más relevantes. No detalló el procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Tan solo se limita a mostrar como sería el proceso de generación de una imagen del sistema en GNU/Linux (Asumo que booteo el sistema desde un LiveCD GNU/Linux para realizar dicha copia). Muchas aplicaciones software pueden automatizar ese proceso de extracción de datos, generación de logs del sistema, etc… Pero el sentido de un análisis forense es verificar, análizar, detallar, organizar, y presentar estos resultados. No se realizó análisis de memoria.

6 – Víctor J.

PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Buena la iniciativa de realización del copiado del sistema, pero esta se debe detallar más (herramientas, horario, firmas, copias de seguridad, etc.). Muy bueno el análisis con X-Ways Forensics, aunque solo se limitó a analizar para ADS.
CONTRA’s: Solo se entregó un reporte técnico y otro documento que no refleja los objetivos de un reporte ejecutivo. Se mencionan intentos fallidos de actividades. No detalló el procedimiento de preservación de la evidencia. No se realizó análisis de memoria.

7 – Henry Fernando Montalvan Celi:

PRO’s: Buena iniciativa y decisión de abordar un reto forense sin ningún tipo de experiencia en este campo. Se percibe que hubo buena documentación para la realización del análisis, pero no es recomendable copiar esa misma información en los reportes.
CONTRA’s: Solo envió un reporte ejecutivo, que a la vez parece más un reporte técnico incompleto, pues enumera las actividades relizadas a nivel técnico pero no en el detalle requerido. No detalló ningún procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Cuando enumera hallazgos de actividades realizadas en el equipo implicado, no se detallan como se consiguió obtener dichos hallazgos. El reporte refleja que los análisis se realizaron en el sistema en ¨caliente¨ y como se mencionó anteriormente no se realizó copias de seguridad de la evidencia, por lo tanto se está alterando la evidencia. No es recomendado instalar software de terceros en el sistema objetivo. No se realizó análisis de memoria.

Listaremos algunas recomendaciones generales a raíz de todos los reportes presentados para este concurso, las cuales deben ser tenidas en cuenta para la realización de los análisis y reportes de futuros concursos. Enumeraremos también los aciertos presentados por todos los reportes de los participantes de este primer concurso, los cuales servirán de guía a todos los interesados en estas temáticas y a futuros participantes de los próximos retos de análisis forense digital que se publicarán en el portal.

La presentación de los informes debe realizarse con buena ortografía y dejando de lado bromas o chistes que nada tienen que ver con la finalidad del reporte.
No se deben enumerar intentos fallidos de una u otra acción o actividad común para un analista forense. El objetivo es presentar en el informe ejecutivo los resultados finales de los procedimientos científicos realizados.
Es necesario siempre realizar la cronología de las actividades realizadas en el sistema.
Informar en detalle las características / antecedentes del sistema analizado.
Cuando se realizan análisis con herramientas de pago, estas deben estar debidamente licenciadas y adquiridas a sus proveedores.
Todo análisis forense está sujeto a unos objetivos planteados por los interesados, como pueden ser, demostrar el robo de información, el desprestigio por medio de internet, rastreo de correos electrónicos, recuperación de información, etc. Para este caso el objetivo era demostrar con pruebas contundentes que la persona que operaba dicho sistema realizaba actos criminales relacionados con la pedofilia. Por ende estos informes deben presentar dichas pruebas de lo contrario serán inefectivos pues no cumplen con el objetivo del reto.

Aunque no habíamos anunciado nada acerca de premiación a los dos mejores informes en el momento de plantear el reto, siempre teniamos presente recompensar de alguna manera a las personas que cumplieron con los objetivos del reto, por su esfuerzo y dedicación y por compartir su conocimiento con los demás.

Por ello decidimos entregar un premio a cada uno de ellos.

Javi G. - Libro: Análisis Forense Digital en Entornos Windows de Juan Garrido

Mario Alfonso Riaño - Libro: Computer Forensics JumpStart de la editorial sybex

Nuevamente muchas gracias a todos los participantes de este primer reto forense de nuestra comunidad. Esperamos que los próximos tengan aún más acogida por parte de nuestros visitantes, pues esperamos publicar muchos otros retos con diferentes grados de dificultad.

Los ganadores pueden ponerse en contacto con nosotros con los mismos emails con los que se registraron, para acordar el proceso de envío de los premios.

Quienes estén interesados en realizar o continuar con el análisis de este reto puede hacerlo por medio del proyecto colaborativo de entrenamiento en seguridad Sec-Track, el cual viene publicando de manera colaborativa el paso a paso para realizar de la mejor manera el análisis.

También puede interesarte...

Pentoo versión final 2009, GNU/Linux para Test de Penetración

4v4t4r — Mon, 21 Dec 2009 21:44:12 +0000

Hace algún tiempo hablamos de un Live DVD que recopilaba varias Live CD enfocadas a la seguridad informática y los Test de Penetración. Este Live DVD contiene una distribución poco conocida para muchos, llamada Pentoo.

Pues ahora Pentoo ha publicado su versión final 2009, en la cual incluye nuevas herramientas y corrige fallas de versiones anteriores. Pentoo es un Live CD/USB desarrollado para llevar a cabo procesos de Test de Penetración y/o Ethical Hacking. Esta distribución está basada en Gentoo Linux (kernel 2.6.31.6), gestor de ventanas Enlightenment e incluye una amplia colección de herramientas debidamente organizadas por categorías.

Algunas de estas categorías y herramientas son:

Analyzer: Aimsniff, Medusa, Ntop, Paratrace, Socat, Tcptraceroute
Blueetooth: Btscanner, Bluemaho
Cracker / Bruter: Authforce, John The Ripper, Ophcrack, Cuda-multiforcer
Database: SQLNinja, Mssqlscan, Sqlmap, MetaCoretex-NG, Minimysqlator
Exploit: Fast-Track, Inguma, MSF, W3AF, Yersinia
Footprint: Fierce, P0f, Xprobe2, Amap, Smtpmap, Geoedge, Wfuzz, Metagoofil
Forging: Fragroute, Hping, Nemesis, Rain
Fuzzers: Fusil, Bed, Taof, Peach
Misc: Curl, Honeyd, Macchanger, Snort, Vncviewer
MITM: Dsniff, Ehhercap, Sslstrip
Proxy: 3proxy, Burpsuite, Pivoxy, Proxystrike
RCE & Forensics: Autopsy, Edb, Galleta, Gdb, Pasco, Radare
Scanner: Nikto, Wapiti, AutoScan, Firewalk, Nessus, Nmap, Scanrad
SIP / VoIP: Sipvicious, Sipp, Videojak, Voipong
Wireless: Aircrack-ng, Airoscript, Cowpatty, Wepattack

Veamos también un pequeño review en imágenes:

Boot:

Shell:

Desktop:

Menú Pentoo:

Tools:

Ver el listado completo de herramientas y aplicaciones instaladas

Más información sobre la distribución Pentoo (Página oficial del proyecto)

Descargar Pentoo Live CD/USB (+/- 680 Mb)

Documentos y Videos de Pentoo

También puede interesarte...

Análisis del caso “Autopsy hecho en Medellín”

4v4t4r — Sun, 20 Dec 2009 05:20:07 +0000

Aparte de lo sensacionalista y confuso de este título quiero tratarlo de una manera técnica y entretenida que nos aporte algo a pesar de lo imposible que parezca.

Hace solo unas horas me enteré de un hecho bastante cómico a la vez de controversial relacionado con el aplicativo Autopsy.

Resulta que en el año 2007 un programa de televisión realizó una nota a una persona (Juan Fernando Jaramillo) sobre lo innovadora de su empresa y sobre las herramientas utilizadas en sus procesos.

Esta nota dió a entender que este grupo de empresarios eran los desarrolladores del software Autopsy. Dicha nota además sirvió al autor del blog el Lado Oscuro (no confundir con Un Informático en el Lado del Mal de Chema Alonso) para acercar a sus lectores sobre procesos de informática forense, el software Autopsy y su autor.

El contenido del corto video realmente nos dá a entender esto… el joven empresario manifestó que pensaba desarrollar una solución software de código libre que permitiera administrar y gestionar casos y procesos forenses… y justo en ese momento y por azares del destino veíamos la interfaz web Autopsy y cómo venían implementando en su “invento” el paso a paso en un análisis forense digital.

Lo “cómico” de este asunto (para mi) no es la autoría del Autopsy (por que todos sabemos que finalmente será propiedad de Microsoft), pues en ningún momento se manifiesta explícitamente que dichos empresarios sean los autores de esta herramienta. No lo expresa ni el joven Juan Fernando Jaramillo ni los autores de la nota en video… El único que generó dicho interrogante fue el autor del blog El Lado Oscuro… Y así lo pensamos todos los que vimos el video y las coincidencias entre las imágenes y el parlamento del joven y los periodistas.

El motivo de este post es debido a las conversaciones y respuestas generadas a raiz de dicha publicación. Es cómico encontrarnos como siempre con las típicas respuestas de que todos los que aparecen en televisión hablando de seguridad informática sean “script-kiddies, lammers, newbies, etc” y que quienes respondan en los post siempre son los H4x0rs 31173 de la super muerte.

Aquí un ejemplo de un experto (Abogado Alexánder Días) hablando sobre legislación en seguridad informática. (Porque no todo es malo lo que se ve en TV)

http://tinyurl.com/yeg6mda

Otro de los puntos que quiero resaltar es sobre las supuestas amenazas de identificación y rastreo por parte del joven Juan Fernando Jaramillo (supuestas por que no podemos dar completa fé de que él sea el autor de éstas.), quién manifestaba que pondría todo su empeño y conocimiento para rastrear a un personaje público en internet.

1 – Aclarar que si es posible publicar video extensos en google video y no solo en este servicio, sino que muchos otros de internet (vimeo, Seven Upload, etc..) Sería bueno ver la totalidad de dicho video. Este espacio está disponible para la publicación del mismo.

2 - Según vemos en el blog, el autor siempre firma como Lado Oscuro al inicio de sus post y como Carlos S. Alvarez al final de los mismos… No entiendo lo del afán de “descubrir” quien se “esconde” detrás de dicho seudónimo.

3 - Supongamos que sólo tenemos el nick Lado Oscuro, sabemos dónde publica y el medio utilizado y queremos obtener más información sobre dicha persona (esto suponiendo que no leímos el final de cada post y no veíamos el nombre del personaje).

Para ello utilizaremos google (una herramienta solo manejable por hackers de alto nivel):

http://www.google.com.co/search?hl=es&q=%22Lado+Oscuro%22+%2BEl+Tiempo+%2BBlogs&btnG=Buscar&meta=&aq=f&oq=

Allí nos encontramos con el blog oficial del personaje y su verdadero nombre (Carlos S. Alvarez)

Esta información es más que suficiente para encontrar otros datos relacionados con una persona. Lo frustrante del “reto” es que en la misma página el autor siempre firmó con su verdadero nombre y nunca escodió su identidad como aseguraba la contraparte.

De todas maneras veamos que información podemos obtener con el nombre Carlos S. Alvarez, y la herramienta de alto nivel google (solo para h4x0rs) y una que otra utilidad en internet:

http://www.alfa-redi.org/miembro.shtml?x=1145

Con solo leer el primer párrafo podemos darnos cuenta que “este tío es la leche”. Por tanto y si es ésta persona y todo lo que se dice allí es verdad, sólo podemos afirmar que Carlos Alvarez sabe de lo que habla en su blog.

Pero dejemos de lado a google, y veamos otra herramienta más entretenida y más gráfica.

Maltego

Es una herramienta para la obtención de información en internet que le permitirá visualizar las relaciones entre los resultados de las búsquedas. MALTEGO permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

Nombres de dominio
Información WHOIS
Nombres DNS
Bloques de red
Direcciones IP
Dirección de correo electrónico asociada con un nombre de persona
Sitios web asociados con un nombre de persona
Números telefónicos asociados con un nombre de persona
Grupos sociales que están asociados con un nombre de persona
Compañías y organizaciones asociadas con un nombre de persona
Hacer una verificación simple de las direcciones de correo electrónico
Búsqueda de blogs y referencias por frases
Identificar vínculos entrantes para sitios web
Extraer metadatos desde archivos y fuentes de dominios

Veamos una consulta para el nombre Carlos S. Alvarez :

Según los resultados obtenidos y si la magia no miente podemos completar el nombre a Carlos Santiago Alvarez Cabrera.

Veamos entonces los resultados a una búsqueda para el nombre completo (relaciones entre ambos)

Finalmente veamos la relación entre todos los implicados (Carlos, Juan, ElTiempo y por supuesto Autopsy XD)

Es broma XD

No queda duda de la identidad de Carlos S. Alvarez, y se me hace extraño que Juan Jaramillo no conociera a este reconocido experto en Seguridad Informática de Colombia.

Ahora desde otros servicios en internet

http://www.spock.com/q/%5ECarlos-Santiago-Alvarez-Cabrera%5E

http://www.123people.com/s/carlos+santiago+alvarez+cabrera/world

http://pipl.com/search/?FirstName=carlos+santiago&LastName=alvarez+cabrera&City=&State=&Country=CO&CategoryID=2&Interface=1

Como conclusión a este “mi post Flame” XD sólo queda hacer un llamado a la mesura cuando nos manifestemos y nos expresemos en internet, muy poco de este contenido podrá ser eliminado y sólo quedará el sin sabor y arrepentimiento de lo dicho.

Como segunda y última conclusión vemos que tan sencillo puede ser el rastreo de una persona en internet y todo el abanico de herramientas disponibles para ello…

Muy pronto estaremos publicando un artículo en conjunto con un experto en el tema de rastreos/ubicación avanzados de personas en internet.

Además si estás interesado en profundizar sobre temáticas relacionadas con el Análisis Forense Digital te invito a que desarrolles los laboratorios planteados en la sección Labs.

Labs Informática Forense

También puede interesarte...

Matriux, GNU/Linux live CD para Test de Penetración

4v4t4r — Sat, 19 Dec 2009 15:26:17 +0000

Matriux es un distribución GNU/Linux enfocada a diferentes temáticas relacionadas con la seguridad informática.

Ofrece una recopilación de apartados específicos con varias herramientas involucradas en procesos de Hacking Etico, Test de Penetración, Análisis de Vulnerabilidades, Investigaciones Forenses y Administración de Redes entre otros.

Estos apartados se dividen así:

Reconocimiento, en el cual podemos encontrar herramientas tales como Dig, DNSWalk, Httcrack, Dmitry, Dsniff, Etherape, TCPDump, Wiresharek, entre otras.

Escaneo, con herramientas como Angry IP, Cryptcat, Ettercap GUI, Httprint, Nmap, Zenmap, entre otras.

Herramientas de ataque, con herramientas como BruteSSH, md5 utils, mac changer.

Frameworks, en el cual nos encontramos con Fast-Track, Grendel-Scan, Inguma, Metasploit Framework.

Wireless, con la suite de aircrack.

Forense Digital, con herramientas tan útiles como AIR (Automated Image and Restore), Guymager, Autopsy, Pasco, Vinetto, WarVOX.

Listado completo de herramientas (Más de 300).

Matriux también puede ser instalada como sistema operativo base en nuestro equipo, ya que al estar basada en Debian/Ubuntu utiliza su magnífico sistema de actualización e instalación de aplicaciones.

Veamos ahora un pequeño review en imágenes sobre Matriux GNU/Live CD.

Pantalla de login ( Username: tiger / Password: toor ):

Carga de dispositivos, aplicaciones, y escritorio:

Escritorio de Matriux:

Menús de Matriux:

Ejecutando algunas aplicaciones en Matriux (Fast-Track, AIR, Nmap)

Más información sobre Matriux (Página Oficial del proyecto)
Foro de Matriux
Descargar Matriux GNU/Live CD (+/- 780 Mb)

También puede interesarte...

VirusTotal Uploader

4v4t4r — Wed, 16 Dec 2009 00:50:19 +0000

VirusTotal Uploader es un servicio que te permite enviar muestras de malware a los analizadores de VirusTotal por medio del menú contextual de Windows.

Para quienes no conocen las bondades de VirusTotal les cuento que es un servicio desarrollado por Hispasec Sistemas de análisis de archivos sospechosos en línea, el cual los analiza en busca de virus, gusanos y malware en general. El servicio es gratuito y utiliza más de 30 motores Antivirus, entre los cuales se destacan:

Avira (mi preferido)
ESET NOD32
Kaspersky
Panda, entre otros.

Para más información sobre VirusTotal visita la página oficial sobre sus servicios.

Volviendo al objetivo de este post que es la utilidad VirusTotal Uploader, personalmente no lo conocía y me enteré de la existencia de éste por medio de otra página que anunciaba la versión número 2 de esta utilidad (evidencia de lo poco que leemos en detalle algunas páginas/servicios y solo usamos el botón más grande XD).

El modo de uso es bastante simple, sólo basta entonces que descarguemos el instalador del Uploader y procedamos a su instalación.

Ahora tendremos una nueva opción disponible en nuestro menú contextual:

Proceso de carga:

Finalmente y de manera automática nos abrirá el reporte de resultados del análisis:

Además de esto podemos utilizar desde los enlaces directos creados en la instalación, la opción de Upload de los procesos en ejecución del sistema. Esto con la finalidad de analizar procesos sospechosos en una máquina de laboratorio o producción.

Como vemos la utilidad es bastante sencilla de utilizar y muy efectiva para agilizar los procesos de Análisis de Malware.

También puede interesarte...

Sec-Track.com Proyecto Colaborativo de Entrenamiento en Seguridad Informática

4v4t4r — Fri, 23 Oct 2009 07:16:22 +0000

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Sec-Track ofrece también un amplio repertorio de instrucciones para la implementación de entornos de virtualización, con la finalidad de que cada interesado en implementar uno de los laboratorios y/o entornos disponibles pueda hacerlo simplemente siguiendo dichas instrucciones.
Sec-Track pone a disposición la documentación base para el desarrollo de entornos virtualizados por parte de los usuarios inscritos. Estos serán publicados en Sec-Track y cualquier persona, organización o entidad podrá descargarlos y tratar de cumplir con los objetivos propuestos por sus desarrolladores o proponer nuevas metas.

Otro de los objetivos de Sec-Track es ofrecer un espacio colaborativo en el cual, las diferentes comunidades, grupos de investigación, empresas y usuarios puedan publicar sus propios entornos de entrenamiento, retos y pruebas, wargames, CTF, Crackmes en cualquiera de las diferentes temáticas, con la finalidad de que las demás comunidades puedan descargarlos e implementarlos para buscar una solución al mismo, pero aun más importante generar la respectiva documentación de dicho proceso.

¿Cómo puedo participar en Sec-Track?

Todos son bienvenidos a Sec-Track (Y).

Sec-Track pone a disposición una serie de recursos para la implementación de laboratorios de entrenamiento en seguridad (entornos, retos, wargames, pruebas, CTF, documentación, etc) cada usuario puede descargar y poner a prueba sus conocimientos o adquirirlos siguiendo los video tutoriales y documentación publicada.

Los usuarios más avanzados pueden proponer nuevas formas de cumplir dichos objetivos, nuevos retos o mejorar los ya existentes.

¿Cuáles son las temáticas que abarca Sec-Track?

Sec-Track tratará de cubrir cada una de las temáticas relacionadas con la seguridad informática. Por ahora ofrece los siguientes campos de acción:

Test de Penetración
Análisis de Malware
Criptografía
Aseguramiento (Hardening)
Ingeniería Inversa
Informática Forense
Gobierno IT

Video introductorio al proyecto >>

Más información >>

Web Oficial del Proyecto Colaborativo Sec-Track