En el inicio de las charlas, nos “asustaron”, dando a conocer las principales amenazas y ataques que se pueden sufrir en un entorno de trabajo remoto así como las contramedidas a implementar para evitarlas.

Después de acabar con la presentación del evento le tocó el turno al “maestre” a Chema Alonso de Informática 64, que nos mostró las ventajas de trabajar desde casa y explicó, por que es importante el uso de las VPN’s cuando realizamos este tipo de trabajos.

Las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• PPP,PPTP, L2TP/IP, L2TP/IPSec
• Sistemas de autenticación
• Demo: Ataque MITM a una conexión PPTP
• Conexiones SSTP

Cuando terminó su explicación, le dió paso a un compañero que se encargo de explicar la tecnología Forefront Threat Management Gateway con la cual creamos entornos seguros para compartir información.

Las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• Demo: Montaje de una conexión SSTP con Forefront TMG
• Redes VPN de cuarentena
• Demo: Montaje de una red de cuarentena
• Forefront Unified Application Gateway
• PN-SS
• Publicación de aplicaciones
• End-point security
• Demo: Montaje de una conexión VPN-SSL compliant
• Direct Access
• Seguridad y privacidad en IPv6
• Demo: Montaje de Direct Access con Windows 7/ Windows Server 2008 R2

Después de este último apartado hicimos un descanso para desayunar del cual ni hay fotos, estaba ocupado intentado coger algún Croisant!.

Cuando volvimos del periodo descanso, tocó una charla que me gusta mucho, ya que, ya la había visto y me parecía muy interesante.

El turno ahora era el Maligno, Chema Alonso (de nuevo), nos explico por que es el correo electrónico puede ser un foco de problemas de seguridad y las razones por las cuales debemos protegerlo.

Las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• Firma digital S/Mime
• Identidad y Spam
• Soluciones “Short Temp”
• Sender ID y SPF
• Demo: Enviando correos falsos
• MS Forefront Threat Management Gateway
• Protección de los servicios de correo
• Anti-spam en el perímetro
• Filtrado de conexiones
• Filtros de reputación
• Filtros Sender ID

Cuando acabó su turno, otro compañero que se encargó de dar la charla sobre Anti-malware en el perímetro y los peligros de este a la hora de compartir y gestionar documentos.

Las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• Demo: Filtrado de correo con troyanos bancarios en MS Forefront TMG
• MS Forefront Protection for Exchange 2010
• Motores Anti-malware
• Filtrado de spam, malware & gusanos
• Política de comunicaciones
• Demo: Filtrando el malware en el correo electrónico
• MS Forefront Protection Manager Console 2010
• Demo: Configurando alertas de seguridad globales
• Correo seguro con MS Forefront para la nube
• Microsoft Forefront Online Protection for Exchange

Cuando otro de los maestros como es Juan Luís terminó de dar su parte de charla pasamos a otra de las charlas interesantes como es:

Las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• Malware en ficheros ofimáticos
• Evolución
• Demo: Un troyano en un memorándum //Esta le tocó otra vez a Chema he hizo una demo combinando el Netcat y un troyano en el PDF
• Gestión corporativa
• Antimalware & Antispyware
• Demo: Filtrado de troyanos
• Demo: Gestión de alertas
• Demo: Informes de seguridad

Y ya para la última charla la implementación de MS Forefront Protection para SharePoint 2010 donde las temáticas, tecnologías y demos que se mostraron en la charla fueron:

• Detección de malware en repositorios documentales
• Demo: Scaneo multimotor de documentos ofimáticos
• Forzado de medidas de seguridad en el cliente
• MS Forefront Unified Access Gateway 2010
• Demo: Políticas de acceso a la red

Con esto damos por finalizado el TechNet del Security Day en Barcelona.

Merece la pena ir a estos eventos ya que además de ser gratuitos, en medio de las charlas técnicas tienes oportunidades de echar unas risas con cosas como esta:

Esta foto es debida a un vídeo que Chema Alonso puso en el que explicaba que en una comunicación es bueno conocer a la otra persona.. No queráis saber como acaba el vídeo por que NO os lo imagináis.

AH! Y se me olvidaba, antes de irme pude recibir como regalo este libro

Las diapositivas nos las quedaron debiendo, tan pronto las envíen las publicamos en la comunidad.

También puede interesarte...

• Instalando Varios Sistemas Operativos en un Acer One – Parte I
• Actualiza tu equipo con Windows
• Descargar Gratis Internet Explorer 8 Final
• Webcast de Microsoft sobre Seguridad Informática
• Guía de Seguridad de Windows Vista
• Guia de Seguridad de Windows Server 2003
• Memorias del DISI 2009
• El Atacante Informático – Capítulo 2

Lo que no conocía era esta nueva linea de productos realizados por Microsoft, los cuales se ven bastante interesantes y gracias a esta nueva campaña de Microsoft tenemos la oportunidad de ganar uno de ellos.

Para participar solo debemos visitar este enlace y hacer click donde dice:

Y compartir esta informacion con todos tus amigos.

También puede interesarte...

• Así fué el Technet Security Day de Microsoft en Barcelona
• Vulnerabilidad 0-day en todas las versiones de Windows
• Herramienta Anti Forense para Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Entrevista a Cristian Borghello para La Comunidad DragonJAR
• Como quemar un archivo DMG en Windows y GNU Linux

Este fallo descubierto por el investigador Tavis Ormandy (miembro del equipo de seguridad de google), se aprovecha del soporte heredado de aplicaciones de 16 bits que Windows viene heredando desde su versión “NT” y permite a un atacante obtener privilegios de SYSTEM (máximo privilegio en el sistema) en un sistema vulnerable.

Aunque todavía no existe un parche para este fallo de seguridad,  solo tendremos que deshabilitar el soporte para aplicaciones de 16 bits para proteger nuestro sistema, a continuación les dejo una serie de pasos a seguir para desactivarlo:

1. Inicio/Ejecutar gpedit.msc
2. Abrir “Configuración de equipo”/ “Plantillas administrativas”/ “Componentes de Windows”/”Compatibilidad de aplicación”
3. Y habilitar “Impedir el acceso a aplicaciones de 16 bits”

O puedes seguir los pasos de los siguientes vídeos según tu sistema operativo

Windows Server 2003:

Windows Server 2008

Para Windows XP:

Ya existe un exploit publicado para este bug que funciona correctamente incluso en Windows 7, puedes encontrar el código fuente en este enlace, o el exploit compilado aquí, por lo tanto es MAS QUE RECOMENDADO que desactives el soporte para 16 bits de tu sistema y actualices el mismo con Windows Update tan pronto salga el parche que corrija este problema.

Mas Información:
Grave vulnerabilidad en Windows permite elevar privilegios
Vulnerabilidad muy crítica en todas las versiones de Windows

También puede interesarte...

• Actualiza tu equipo con Windows
• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Recuperar Contraseñas de Windows Vista y Anteriores
• Dentro del corazón de Windows Server 2008
• Guia de Seguridad de Windows Server 2003
• Video: Explotando WM Downloader
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Denegacion de Servicio desde el WordPad

Esta nueva versión de DECAF incluye la posibilidad de añadir nuestras propias firmas, por lo que podemos detectar cualquier software antiforense en nuestra maquina y realizar una acción especifica.

Aqui les dejo el enlace de descarga a modo de mirror, por si la herramienta vuelve a desaparece, aunque la pagina oficial sigue siendo www.decafme.org

Hace poco les comentaba en la comunidad sobre el COFEE (Computer Online Forensic Evidence Extractor), la herramienta forense que Microsoft le regaló a varias entidades policiales en diferentes países, para realizar fácilmente el levantamiento de pruebas digitales en equipos de computo, también comentábamos que se había filtrado por la redutilizaba este Kit de Herramientas Forenses.

Ahora me entero de la existencia de DECAF (Detect and Eliminate Computer Assisted Forensics) una herramienta anti forense, que monitores en tiempo real el PC y tan pronto detecta la presencia del Microsoft COFEE, realiza una serie de tareas pre establecidas, que pueden ir desde borrar los registros del COFEE, expulsar la Memoria USB desde donde se ejecuto y bloquear el computador para que no puedan trabajar mas en el.

DECAF es totalmente configurable y personalizable, permitiendo al usuario definir que quiere hacer cuando se detecte la presencia del Microsoft COFEE, podria borrar archivos específicos, desactivar casi cualquier parte de hardware del PC, matar procesos, contaminar la Mac del equipo, entre otras opciones, DECAF permite simular el COFEE para poner a prueba las configuraciones que pusiste y ver que todo funciona correctamente.

Su autor promete en futuras versiones, la posibilidad de enviar por correo electrónico un mensaje notificando que se ha detectado la presencia del COFEE, bloqueo remoto de la maquina y la posibilidad de ejecutar el DECAF como un servicio de Windows.

Descargar DECAF

Mas Información:
Pagina Oficial de DECAF

También puede interesarte...

• Process Hacker, Mata Procesos en Windows
• Memoria USB Booteable con Varias Distribuciones de Seguridad Informática
• Como detectar y prevenir escalada de privilegios en GNU/Linux
• CAINE – Distribución Live CD para Análisis Forense
• Recogiendo Evidencias para Análisis Forense en Windows
• Instalación, Configuración y Uso del Microsoft Cofee
• Nueva versión de Cain & Abel
• Denegacion de Servicio desde el WordPad

Indice

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

• Datos volátiles.
• Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

• Análisis forense de memoria RAM en entornos Windows
• Webcast de Microsoft sobre Seguridad Informática
• Vulnerabilidad 0-day en todas las versiones de Windows
• Herramienta Anti Forense para Windows
• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Como quemar un archivo DMG en Windows y GNU Linux

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.
Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

¿Has utilizado Microsoft Cofee?, que opinas de el… cuéntalo en los comentarios.

También puede interesarte...

• CAINE – Distribución Live CD para Análisis Forense
• Nueva Versión del CAINE, LiveCD para Informática Forense
• Herramienta Anti Forense para Windows
• Recogiendo Evidencias para Análisis Forense en Windows
• Nueva versión de Cain & Abel
• Curso gratuito de Análisis Forense Basico
• Metodología Básica de Análisis Forense – Parte 4 de 4
• Metodología Básica de Análisis Forense – Parte 3 de 4

Los fallos son bastante graves permitiendo a un atacante la ejecución de código remoto o realizar un ataque de denegación de servicios en el pc que corra una de las aplicaciones vulnerables, les dejo un listado con los fallos de seguridad y el software afectado para que puedan determinar si tienen software vulnerable e instalen los parches:

• Boletin de Seguridad MS09-063 – Critico
  Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565)
• Boletin de Seguridad MS09-064 – Critico
  Vulnerability in License Logging Server Could Allow Remote Code Execution (974783)
• Boletin de Seguridad MS09-065 – Critico
  Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947)
• Boletin de Seguridad MS09-066 – Importante
  Vulnerability in Active Directory Could Allow Denial of Service (973309)
• Boletin de Seguridad MS09-067 – Importante
  Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)
• Boletin de Seguridad MS09-068 – Importante
  Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307)

Es muy recomendable que actualices tu sistema operativo y tu suite ofimática para evitar la oleada de gusanos y malware que no demoran en explotar estos fallos para propagarse por toda la red.

Actualizar tu Windows desde la pagina de Microsoft Windows Update

Fuente:
Microsoft Security Bulletin

También puede interesarte...

• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Vulnerabilidad 0-day en todas las versiones de Windows
• Denegacion de Servicio desde el WordPad
• Detección de WebDAV, verificación de la vulnerabilidad y explotación
• Actualiza tu equipo con Windows
• Video Tutorial de Nessus y Baseline Security Analyzer
• La Mejor Defensa es la Información
• Microsoft publica 8 Nuevas Actualizaciones de seguridad

En este caso vamos a resolver el problema al que nos afrontamos muchos usuarios a la hora de querer quemar los archivos .DMG (archivo de imagen de disco), comúnmente utilizados en los sistemas Mac OS desde otro sistema operativo como Microsoft Windows o una distribución GNU Linux.

Existen varias herramientas que permiten solucionar este problema, algunas son libres, otras de pago, pero todas nos ayudan a quemar archivos .dmg en sistemas diferentes al Mac OS, la que trataremos mas a fondo en este articulo se llama dmg2iso y nos permite convertir cualquier archivo .dmg a .iso con lo que podremos grabarlo sin problema con cualquier software de quemado.

El funcionamiento de dmg2iso es muy simple, lo primero que debemos hacer es descargarnos el software dependiendo de nuestro sistema operativo siendo[win32 binary] para Microsoft Windows y  [source code] para las distribuciones GNU Linux.

Después de tener los archivos en binario (hay que compilarlos en el caso de GNU Linux) pasamos a ejecutarlo con las siguientes opciones dmg2iso.exe -i archivo.dmg -o archivo.iso

Donde archivo.dmg es el nombre del archivo de imagen a convertir y archivo.iso el nombre del archivo convertido en .ISO, después de tener nuestra imagen en .iso no tendremos ningún problema en quemarla con un software para este fin como el Nero, K3B o Brasero.

También  existen otras soluciones de pago como UltraISO para windows, que permite quemar directamente el archivo DMG sin realizar conversiones, o TransMac que ademas de permitir grabar directamente los archivos dmg de Mac OS, nos da la posibilidad de añadir, eliminar o modificar archivos que se encuentran dentro de la imagen.

También puedes transformar los archivos DMG a ISO desde Mac OS utilizando esta herramienta.

También puede interesarte...

• Aircrack NG v1.0 Final
• Gestionando las impresiones en MAC, Windows y GNU Linux
• Instalando Varios Sistemas Operativos en un Acer One – Parte I
• Adeona – Rastrea tu Portatil Robado
• Linux Unified Kernel – Soporte para GNU Linux y Windows desde el mismo Kernel
• Tipos de Novias según los SO
• Steve Jobs y Bill Gates en D All Things Digital
• Vulnerabilidad 0-day en todas las versiones de Windows

Microsoft Security Essentials se descarga de manera gratuita de Microsoft, es simple de instalar y usar, yo lo he instalado en mi pc y la verdad es que me sorprendió gratamente la velocidad con la que hace los escaneo en el sistema y la poca carga que genera en el sistema operativo, todavía no hago pruebas profundas pero estos 2 puntos saltaron a la vista rápidamente.

Microsoft Security Essentials es otra alternativa mas de antivirus para Windows, no pierdes nada con instalarlo y probar como te va con el, asi que … ¿que esperas para ensayar este antivirus gratuito y dejarnos tu comentario?

Descargar antivirus gratuito, Microsoft Security Essentials

También puede interesarte...

• Licencia para Avira AntiVir Premium en Español Gratis
• Avira Premium Security Suite Gratis
• La Mejor Defensa es la Información
• Descargar Windows 7 Beta 1 Oficial
• Así fué el Technet Security Day de Microsoft en Barcelona
• Antivirus Gratuito con Poco Consumo
• Microsoft esta Regalando Hardware
• Video: Explotando WM Downloader

Existen muchos programas de este tipo, uno de los mas populares es el Process Explorer de la empresa sysinternals que fue comprada por Microsoft, precisamente por esa compra process explorer ha perdido adeptos (aunque no calidad) y muchos han optado por alternativas totalmente libres como Process Hacker.

A diferencia de otros administradores de tareas, Process Hacker cuenta con su propio drivers para manejar los procesos del sistema, lo que le permite matar procesos incluso si estos están siendo utilizados por el sistema operativo u otras aplicaciones, esta funcionalidad también le permite ver procesos que pueden estar ocultos al “administrador de tareas” de windows, pero no solo podemos ver y eliminar procesos, también podemos realizar las mismas tareas con los servicios del sistema, podemos ver que aplicaciones están haciendo uso de nuestra conexión y con quien se están comunicando.

Sólo funciona en Windows XP o superior de 32 bits y requiere del .NET Framework 2.0. En las versiones de 64 bits su funcionalidad se ve enormemente reducida a causa de que sólo son permitidos drivers firmados con un certificado digital válido emitido por una entidad de confianza, por lo que si deseamos poder cargar el driver de Process Hacker deberemos deshabilitar esta característica que viene por defecto en los sistemas de 64 bits.

Descargar Process Hacker, excelente administrador de Procesos en Microsoft Windows

Para Mas Información:
Pagina Oficial del Process Hacker
Pagina Oficial del Process Explorer

También puede interesarte...

• Herramienta Anti Forense para Windows
• Denegacion de Servicio desde el WordPad
• WUDE 3.0
• Actualiza tu equipo con Windows
• Actualiza tu software con Secunia Personal Software Inspector
• ¿Cómo tomar control de un Dominio en Windows?
• Como realizar un borrado seguro usando BleachBit
• Vulnerabilidad 0-day en todas las versiones de Windows