Hace solo unas horas me enteré de un hecho bastante cómico a la vez de controversial relacionado con el aplicativo Autopsy.

Resulta que en el año 2007 un programa de televisión realizó una nota a una persona (Juan Fernando Jaramillo) sobre lo innovadora de su empresa y sobre las herramientas utilizadas en sus procesos.

Esta nota dió a entender que este grupo de empresarios eran los desarrolladores del software Autopsy. Dicha nota además sirvió al autor del blog el Lado Oscuro (no confundir con Un Informático en el Lado del Mal de Chema Alonso) para acercar a sus lectores sobre procesos de informática forense, el software Autopsy y su autor.

El contenido del corto video realmente nos dá a entender esto… el joven empresario manifestó que pensaba desarrollar una solución software de código libre que permitiera administrar y gestionar casos y procesos forenses… y justo en ese momento y por azares del destino veíamos la interfaz web Autopsy y cómo venían implementando en su “invento” el paso a paso en un análisis forense digital.

Lo “cómico” de este asunto (para mi) no es la autoría del Autopsy  (por que todos sabemos que finalmente será propiedad de Microsoft), pues en ningún momento se manifiesta explícitamente que dichos empresarios sean los autores de esta herramienta. No lo expresa ni el joven Juan Fernando Jaramillo ni los autores de la nota en video… El único que generó dicho interrogante fue el autor del blog El Lado Oscuro… Y así lo pensamos todos los que vimos el video y las coincidencias entre las imágenes y el parlamento del joven y los periodistas.

El motivo de este post es debido a las conversaciones y respuestas generadas a raiz de dicha publicación. Es cómico encontrarnos como siempre con las típicas respuestas de que todos los que aparecen en televisión hablando de seguridad informática sean “script-kiddies, lammers, newbies, etc” y que quienes respondan en los post siempre son los H4x0rs 31173 de la super muerte.

Aquí un ejemplo de un experto (Abogado Alexánder Días) hablando sobre legislación en seguridad informática. (Porque no todo es malo lo que se ve en TV)

http://tinyurl.com/yeg6mda

Otro de los puntos que quiero resaltar es sobre las supuestas amenazas de identificación y rastreo por parte del joven Juan Fernando Jaramillo (supuestas por que no podemos dar completa fé de que él sea el autor de éstas.), quién manifestaba que pondría todo su empeño y conocimiento para rastrear a un personaje público en internet.

1 – Aclarar que si es posible publicar video extensos en google video y no solo en este servicio, sino que muchos otros de internet (vimeo, Seven Upload, etc..) Sería bueno ver la totalidad de dicho video. Este espacio está disponible para la publicación del mismo.

2 - Según vemos en el blog, el autor siempre firma como Lado Oscuro al inicio de sus post y como Carlos S. Alvarez al final de los mismos… No entiendo lo del afán de “descubrir” quien se “esconde” detrás de dicho seudónimo.

3 - Supongamos que sólo tenemos el nick Lado Oscuro, sabemos dónde publica y el medio utilizado y queremos obtener más información sobre dicha persona (esto suponiendo que no leímos el final de cada post y no veíamos el nombre del personaje).

Para ello utilizaremos google (una herramienta solo manejable por hackers de alto nivel):

http://www.google.com.co/search?hl=es&q=%22Lado+Oscuro%22+%2BEl+Tiempo+%2BBlogs&btnG=Buscar&meta=&aq=f&oq=

Allí nos encontramos con el blog oficial del personaje y su verdadero nombre (Carlos S. Alvarez)

Esta información es más que suficiente para encontrar otros datos relacionados con una persona. Lo frustrante del “reto” es que en la misma página el autor siempre firmó con su verdadero nombre y nunca escodió su identidad como aseguraba la contraparte.

De todas maneras veamos que información podemos obtener con el nombre Carlos S. Alvarez, y  la herramienta de alto nivel google (solo para h4x0rs) y una que otra utilidad en internet:

http://www.alfa-redi.org/miembro.shtml?x=1145

Con solo leer el primer párrafo podemos darnos cuenta que “este tío es la leche”. Por tanto y si es ésta persona y todo lo que se dice allí es verdad, sólo podemos afirmar que Carlos Alvarez sabe de lo que habla en su blog.

Pero dejemos de lado a google, y veamos otra herramienta más entretenida y más gráfica.

Maltego

Es una herramienta para la obtención de información en internet que le permitirá visualizar las relaciones entre los resultados de las búsquedas. MALTEGO permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos una consulta para el nombre Carlos S. Alvarez :

Según los resultados obtenidos y si la magia no miente podemos completar el nombre a Carlos Santiago Alvarez Cabrera.

Veamos entonces los resultados a una búsqueda para el nombre completo (relaciones entre ambos)

Finalmente veamos la relación entre todos los implicados (Carlos, Juan, ElTiempo y por supuesto Autopsy XD)

Es broma XD

No queda duda de la identidad de Carlos S. Alvarez, y se me hace extraño que Juan Jaramillo no conociera a este reconocido experto en Seguridad Informática de Colombia.

Ahora desde otros servicios en internet

http://www.spock.com/q/%5ECarlos-Santiago-Alvarez-Cabrera%5E

http://www.123people.com/s/carlos+santiago+alvarez+cabrera/world

http://pipl.com/search/?FirstName=carlos+santiago&LastName=alvarez+cabrera&City=&State=&Country=CO&CategoryID=2&Interface=1

Como conclusión a este “mi post Flame” XD sólo queda hacer un llamado a la mesura cuando nos manifestemos y nos expresemos en internet, muy poco de este contenido podrá ser eliminado y sólo quedará el sin sabor y arrepentimiento de lo dicho.

Como segunda y última conclusión vemos que tan sencillo puede ser el rastreo de una persona en internet y todo el abanico de herramientas disponibles para ello…

Muy pronto estaremos publicando un artículo en conjunto con un experto en el tema de rastreos/ubicación avanzados de personas en internet.

Además si estás interesado en profundizar sobre temáticas relacionadas con el Análisis Forense Digital te invito a que desarrolles los laboratorios planteados en la sección Labs.

Labs Informática Forense

También puede interesarte...

• Nuestros Retos Forenses
• Información para Reto Forense Campus party 2011
• CAINE – Distribución Live CD para Análisis Forense
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Tercer Reto Forense de La Comunidad DragonJAR
• Segundo Reto Forense de La Comunidad DragonJAR
• Resultado del Primer Reto Forense de La Comunidad DragonJAR
• Primer Reto de Análisis Forense de la Comunidad DragonJAR

Los fallos son bastante graves permitiendo a un atacante la ejecución de código remoto o realizar un ataque de denegación de servicios en el pc que corra una de las aplicaciones vulnerables, les dejo un listado con los fallos de seguridad y el software afectado para que puedan determinar si tienen software vulnerable e instalen los parches:

• Boletin de Seguridad MS09-063 – Critico
  Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565)
• Boletin de Seguridad MS09-064 – Critico
  Vulnerability in License Logging Server Could Allow Remote Code Execution (974783)
• Boletin de Seguridad MS09-065 – Critico
  Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947)
• Boletin de Seguridad MS09-066 – Importante
  Vulnerability in Active Directory Could Allow Denial of Service (973309)
• Boletin de Seguridad MS09-067 – Importante
  Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)
• Boletin de Seguridad MS09-068 – Importante
  Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307)

Es muy recomendable que actualices tu sistema operativo y tu suite ofimática para evitar la oleada de gusanos y malware que no demoran en explotar estos fallos para propagarse por toda la red.

Actualizar tu Windows desde la pagina de Microsoft Windows Update

Fuente:
Microsoft Security Bulletin

También puede interesarte...

• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Vulnerabilidad 0-day en todas las versiones de Windows
• Denegacion de Servicio desde el WordPad
• Detección de WebDAV, verificación de la vulnerabilidad y explotación
• Actualiza tu equipo con Windows
• Video Tutorial de Nessus y Baseline Security Analyzer
• La Mejor Defensa es la Información
• Microsoft publica 8 Nuevas Actualizaciones de seguridad

Casi todas las actualizaciones están etiquetadas como “criticas” y corrigen fallos que podrían utilizarse para ejecutar código malicioso. En el caso de Microsoft Office, las correcciones afectan a los usuarios de Word, Excel y SharePoint, este último propenso a una vulnerabilidad importante de elevación de privilegios.

Críticas:

• Boletín de seguridad de Microsoft MS08-071: Vulnerabilidades en GDI podrían permitir la ejecución remota de código (956802).

• Boletín de seguridad de Microsoft MS08-075: Vulnerabilidades en Búsqueda de Windows podrían permitir la ejecución remota de código (959349).

• Boletín de seguridad de Microsoft MS08-073: Actualización de seguridad acumulativa para Internet Explorer (958215).

• Boletín de seguridad de Microsoft MS08-070: Vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) podrían permitir la ejecución remota de código (932349).

• Boletín de seguridad de Microsoft MS08-072: Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código (957173).

• Boletín de seguridad de Microsoft MS08-074: Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (959070).

Importante:

• Boletín de seguridad de Microsoft MS08-077: Una vulnerabilidad en Microsoft Office SharePoint Server podría provocar la elevación de privilegios (957175)

• Boletín de seguridad de Microsoft MS08-076: Vulnerabilidades en los componentes de Windows Media podrían permitir la ejecución remota de código (959807)

Descarga las 8 Actualizaciones desde Windows Update o el sistema de actualizaciones automáticas de Windows.

También puede interesarte...

• Parches para Windows que corrigen Vulnerabilidades Criticas
• Video Tutorial de Nessus y Baseline Security Analyzer
• Cómo funcionan y se crackean las claves en sistemas Windows
• Actualiza tu software con Secunia Personal Software Inspector
• DLL Hijacking con Metasploit
• Vulnerabilidad 0-day en todas las versiones de Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Como quemar un archivo DMG en Windows y GNU Linux