Extraer passwords de TrueCrypt en memoria

Truecrypt actua como software de cifrado “al vuelo” (en inglés “on the fly” encryption, en adelante OTFE). Esto quiere decir que de una forma transparente se descifran los datos cuando se requieren del disco y se cifran antes de escribirse en el disco. Para ello y a grandes rasgos, una vez que se monta un volumen con Truecrypt, la clave simétrica (contraseña o keyfile) se transfiere al filtro criptográfico que la almacena en memoria y genera claves derivadas (header key y master key) para automatizar este proceso de cifrado/descifrado. Si no lo hiciera, el usuario tendría que escribir manualmente la contraseña cada vez que accediera al volumen cifrado y por lo tanto su uso no sería demasiado versátil.

Sin embargo y dada su naturaleza se dice que el OTFE (incluido Truecrypt) sólo protege los datos cifrados “en descanso”. Es decir, una vez que un volumen cifrado se monta permanecerá accesible a los usuarios del sistema como si de texto plano se tratara hasta que se desmonte dicho volumen o se apague el sistema. El por qué está claro: en definitiva la contraseña para acceder al volumen cifrado se encuentra en la información volátil de la memoria física (RAM) y, si la obtenemos (un técnica forense muy común), nuestro único problema será sólo identificarla.

Contenido completo en fuente original HackPlayers

Contenido completo en www.segu-info.com.ar

Metadatos e información oculta en Apple iWork

El paquete Apple iWork está formado por tres aplicaciones principales, que son Pages, Numbers y Keynote, o lo que es lo mismo, un procesador de textos, una hoja de cálculo y un editor de presentaciones. Es capaz de trabajar con otros formatos de datos para realizar funciones concretas, pero en este artículo se van a tratar solo los formatos principales.

Las extensiones de los ficheros y los buscadores
Los documentos de estas tres aplicaciones tienen unas extensiones muy fácilmente reconocibles. El editor de textos, Pages, utiliza la extensión .pages para sus ficheros. Numbers, que es la hoja de cálculo, trabaja con ficheros con extensión .numbers, mientras que el editor de presentaciones, Keynote, utiliza ficheros terminados en .key.

Para realizar las pruebas era necesario disponer de ficheros públicos creados con diferentes versiones de este paquete, y desde equipos distintos con distintas configuraciones, así que lo más socorrido es tirar de los buscadores. Encontrar estos ficheros a través de los buscadores no es fácil del todo, ya que la extensión .pages se utiliza en muchas páginas web en Internet y, por ejemplo, la extensión .key es muy utilizada en la distribución de claves públicas PGP, por lo que es difícil reconocerlos a a la primera a través de los buscadores.

Los documentos de Apple iWork, además de todos los metadatos que tienen, cuentan con la posibilidad de proteger el documento con una contraseña. Para que el usuario pueda recordar qué contraseña estableció es posible añadir una pista, que le haga recordar cuál fue la clave elegida para proteger ese documento en concreto. En la nueva versión de Forensic FOCA se ha añadido todos los metadatos de documentos Apple iWork y se ha añadido la extracción de las pistas de las contraseñas.

• Metadatos e información oculta en documentos Apple iWork (1 de 4)
• Metadatos e información oculta en documentos Apple iWork (2 de 4)
• Metadatos e información oculta en documentos Apple iWork (3 de 4)
• Metadatos e información oculta en documentos Apple iWork (4 de 4)
• Forensic FOCA y las pistas de passwords en Apple iWork

Fuente: Un informático en el lado del mal

Contenido completo en www.segu-info.com.ar

Presentación sobre herramientas forenses

Pedro Sánchez Cordero del blog Conexión Inversa impartió un curso sobre análisis forense organizado por la Asociación de Tasadores y Peritos Judiciales Informáticos y en ella se ven muchas herramientas para realizar toma de evidencia y armado de un laboratorio.

Además como regalo ha dejado una serie de herramientas gratuitas y Cheat Sheet sobre anális forense. Y, si ha eso sumamos las 101 utilidades forenses, tenemos para divertirnos un buen tiempo.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Recuperación forense de Android al congelarlo

Investigadores alemanes mostraron cómo es posible conseguir las claves criptográficas almacenadas en un dispositivo con sistema operativo Android, al congelarlo durante una hora.

Este método que permite sobrepasar el sistema de encriptación de Google que posee el Android 4.0 Ice Cream Sandwich para revelar los datos ocultos del teléfono.

Al sacar el smartphone del congelador, una vez que la temperatura se encuentra por debajo de -10 grados Celsius, revela datos previamente codificados, incluidos lista de contactos, historial de navegación y fotos.

El equipo de investigadores desarrolló el software de FROST: Forensic Recovery Of Scrambled Telephones que les permite copiar la información del dispositivo para analizarla en una computadora.

“Presentamos FROST, un conjunto de herramientas que soporta la recuperación forense de teléfonos perturbados. Para ello llevamos a cabo ataques de arranque en frío contra smartphones Android y así recuperar las claves de cifrado del disco RAM”, escribió el grupo.

Este tipo de ataques contra smartphones con el sistema operativo de Google, generalmente son posibles la primera vez, de acuerdo con los investigadores que trabajaron con un Galaxy Nexus de Samsung.

Descubrieron que conectar y desconectar rápidamente la batería de un celular congelado lo deja en un modo vulnerable. Esto permite prenderlo con el software a la medida, FROST, en lugar de la tarjeta de sistema operativo Android.

“Para romper el cifrado del disco, el gestor de arranque debe estar desbloqueado antes del ataque porque las particiones de usuario se limpian durante el desbloqueo. Sin embargo, mostramos que los ataques en frío son más genéricos y permiten recuperar información sensible, tales como lista de contactos, sitios Web visitados y fotos, directamente desde la RAM”, concluyó el grupo.

Fuente: bSecure

Contenido completo en www.segu-info.com.ar

Y el mejor keylogger es… la memoria

Hace unos días mientras leía el recomendable post sobre “Ataques de arranque en frío“, me vino a la mente una situación que seguro a más de uno se le ha pasado por la cabeza, o lo ha vivido en primera persona sin llegar a pensar en las posibles consecuencias.

Una tarde cualquiera, estamos frente a nuestro portátil y nos llega el compañero de turno pidiéndonos que necesita acceder a nuestro ordenador, para poder descargar desde su correo personal, el documento que debe de imprimir de manera urgente, a lo que antes de proseguir lanza la típica pregunta de compañero desconfiado:
“Pero desactiva el keylogger del portátil eh?” A lo que le respondemos con un: “claro estate tranquilo…”

Pero ya sabemos o vamos a ver, que esto en seguridad es un error, no se puede detener el keylogger más exacto y preciso que tenemos en nuestro sistema, el propio sistema operativo a través de las distintas memoria volátil con las que trabaja.

Ya sabemos que cualquier información que estamos manejando y concretamente nuestras “keys/claves/passwords/etc” se encuentran almacenadas en la memoria del proceso que la utiliza, la RAM, Pagefile, entre otras memorias volátiles del sistema.

Como parte de esto, y tomando como ejemplo el caso anteriormente citado, el proceso de obtención de credenciales de nuestro compañero, será muy sencillo a través del volcado del proceso del navegador y un simple string para identificar las credenciales. Con el fin de que se vea más claro, vamos a proceder a mostrar el proceso paso a paso.

1.- Acceso / autenticación en el website por parte del usuario. Una vez se ha logueado y realizado las acciones que quería, pasamos a la parte de análisis.

2- Identificar el PID del proceso del navegador con pslist (SysInternals)
pslist

3- Volcado del proceso del navegador con procdump (SysInternals)
procdump -ma 3292 -o dump_iexplorer.dmp

4.- Strings (SysInternals) sobre el volcado del iExplorer
strings dump_iexplorer.dmp > dump_iexplorer.txt

5.- Buscar en el fichero generado de strings dump_iexplorer.txtlas credenciales. En este caso se encuentra en la línea de login=****

Con esto espero, que seamos un poco más conscientes a la hora de ingresar nuestras credenciales en el sistema de algún compañero.

Fuente: Mitrein

Contenido completo en www.segu-info.com.ar

Tendencias forenses móviles para 2013

BYOD, datos almacenados en aplicaciones y un cifrado de dispositivos más sólida entre las tendencias que determinan la ciencia forense móvil en 2013 Mientras nos adentramos en 2013, Cellebrite, el proveedor líder de soluciones forenses móviles y de transferencia de datos móviles, ha anunciado una lista de importantes tendencias en la ciencia forense móvil que determinarán el año.

Para reunir esta lista, Cellebrite entrevistó a una serie de expertos prominentes de cumplimiento de la ley, corporaciones y universidades, así como analistas de la industria, familiarizados con la ciencia forense móvil, seguridad de la información y e-discovery y los productos forenses móviles más avanzados a disposición hoy. Destacaron las siguientes nueve tendencias como las más críticas para los profesionales investigadores y legales para prepararse para el próximo año
Leer parte I y II del informe publicado en LaInformación.com.

Contenido completo en www.segu-info.com.ar

Cold Boot Attack: el peligro de la persistencia en memoria RAM

Hoy os dejamos con un artículo de nuestro amigo Iván Flores, sobre el peligro de la persistencia en memoria RAM.

El Cold Boot Attack (ataque de arranque en frió) se basa en aprovechar la persistencia en la memoria ram mediante el enfriamiento de la memoria.

¿Que es la persistencia? Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.

La persistencia en la memoria ram es ocasionada por el material con las que están fabricadas, esta persistencia después de apagar la computadora puede tardar hasta 1 o 2 minutos en borrar por completo la información de la memoria.

El Cold boot attack se realiza enfriando la memoria para extender el tiempo de la persistencia de la información hasta 5 a 10 minutos. Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/

Antes los investigadores forenses se llevaban el equipo informático apagado, ahora realizan puentes eléctricos para poderse llevar los equipos al laboratorio sin a pagarlo.

En esta ocasión mostrare un poco de la investigación hecha por Princeston en la cual se basan en obtener las credenciales de los cifrados como de Bitlocker o Truecrypt, el problema es que la clave de cifrado tambien se guarda en la memoria RAM, y es posible extraerla.

Para realizar un dumpeo de una memoria RAM con un Cold Boot Attack se puede hacer la siguiente forma.

1.- Destapar las tapas de la memoria RAM, y sin apagar usar un bote casero de Aire comprimido. Estos tiene una particularidad en que si los usas en una posicion que queden al revez, sueltan un liquido muy frio que se puede aplicar en la memoria directamente para enfriarla. En un caso mucho mas profesional se usa el nitrógeno

2.- Enfriamos la memoria, y cortamos la energía de la computadora o la apagamos bruscamente.

3.- Al volver a encenderla tenemos se tiene que bootear desde una usb o por PXE, podemos usar estas herramientas que brinda la universidad de princeston https://citp.princeton.edu/research/memory/code/

4.- Con la herramienta ya booteada podremos realizar una copia bit stream de la memoria, para poder analizarla. También como parte de la investigación de la universidad de princeston publicaron herramientas para la localización de las Claves (AES o RSA).

Veamos el video de la prueba de concepto hecha por alumnos del Princeton. Las contra medidas son aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.

Fuente: Flu-Project

Contenido completo en www.segu-info.com.ar

Forensics de XBOX 360

En la última conferencia que di en la Universidad Politécnica de Valencia en el curso de Forense Judicial informático hable de un caso de robo de propiedad intelectual. Lo curioso del tema es que el dispositivo fue una XBOX 360 de Microsoft y como hay muy poco escrito sobre ello creo conveniente compartirlo.

El caso (de forma resumida) es que una empresa dedicada a los videojuegos, sospecha que un empleado descontento ha copiado de forma no autorizada el código fuente del próximo juego que tenía a punto de sacar al mercado.

Después de indagar y realizar diversos análisis forenses de su portátil y móvil nos encontramos con la XBOX la cual resulto determinante como evidencia de que se uso el dispositivo fuera de la empresa para usos ilícitos.

En este post voy a reflejar la problemática de hacer un análisis a este tipo de dispositivo sin pretender ser una guía o manual al uso, ya que depende de la versión de XBOX y actualizaciones que este tenga.

Contenido completo en fuente original Conexion Inversa

Contenido completo en www.segu-info.com.ar

Oxygen Forensics: Análisis Forense iOS 6 en iPhone 4S/5

Hace poco se publicamos un post comentando las opciones posibles para realizar jailbreak a dispositivos iOS con la última versión del sistema operativo iOS 6. Y tal como se comentaba, hasta ahora no se puede realizar el Jailbreak a los dispositivos iOS basados en el chip A5 - iPhone 4S, iPhone 5, iPad 2…), con la versión de iOS6. Este tipo de información se puede encontrar en todas las webs dedicadas al mundo del jailbreak, como http://jailbrea.kr/.

Evidentemente esto es un problema grave a la hora de realizar un análisis forense de un terminal iOS con herramientas no comerciales ya que no se puede hacer la clásica conexión por SSH, y realizar el volcado con dd. Además, hasta ahora existían otras opciones conocidas, como scripts en Python para descifrar datos almacenados en el backup, pero tampoco funcionan sino se consigue la shell en el dispositivo. Otra opción es utilizar iPhone Data Protection pero, hasta ahora, tampoco funciona con terminales que vengan con el chip A5.

Contenido completo en fuente original Seguridad Apple

Contenido completo en www.segu-info.com.ar

Norma UNE197001:2011 para pericias informáticas

En general, en la práctica totalidad de las áreas de conocimiento técnicas, creamos estándares en base la experiencia adquirida y se van formando “de facto” las buenas prácticas que finalmente, cuando se generalizan, pasan a formar estándares y normativas.

Si nos centramos en el mundo de las periciales informáticas, desde que ejerzo como perito judicial he añorado siempre un estándar que conduzca a aportar formalidad y calidad en los informes periciales que entregamos generalmente a abogados y jueces.
La norma UNE 197001:2011 publicado en Marzo de 2011 tiene por objeto el establecimiento de las consideraciones generales que permitan precisar los requisitos formales que deben tener los informes y dictámenes periciales, sin determinar los métodos y procesos específicos para la elaboración de los mismos. Es decir, las normas que el documento final que concebimos para reflejar nuestra investigación.

Desde mi punto de vista el documento permite:

• Dar una estructura común para todas las periciales informáticas.
• Diferencias, de una u otra forma, a profesionales cualificados y que se preocupan por estar al dia en la difícil tarea de ser perito informático.

La norma marca que nuestro documento pericial contemple las siguientes generalidades:

• Título: Identificando al documento de forma clara e inequívoca.
• Documento:
• Identificación y código numérico único, es decir, que un mismo perito no pueda repetir ese número para otra pericial.
• Índice.
• Cuerpo del informe.
• Anexo (si se necesita)
• Todas las páginas del documento deben de estar numeradas.

Respecto de la identificación se define expresamente que:

• Es el elemento que contiene los datos para identificar el informe o dictamen pericial.
• Su contenido debe de incluir:
• Incluir el título y código único de referencia.
• Identificar el destinatario del documento y número de expediente o procedimiento si lo hubiera.
• Identificación del perito, incluyendo nombre y apellidos, DNI, colegio y/o asociación pericial a la que pertenece, dirección, etc.
• Datos de la entidad o personas que han solicitado la pericial.
• Dirección a donde va dirigido.
• Si procede nombre y apellidos del letrado o procurador.
• Fecha de emisión.

Respecto de las tachas o imparcialidad:

• Hacer constar la imparcialidad del perito o bien si está aplicando el sistema de tachas.

El siguiente punto habla del clásico juramento promesa:

• Reflejando claramente que el perito está procediendo bajo juramento o promesa de decir la verdad, actuando con veracidad y con la mayor objetividad posible, básicamente.
• Del mismo deberemos de incluir que estamos en conocimiento de las sanciones penales de no actuar de ese modo.

Respecto del índice general:

• Se explica que su objetivo es facilitar la búsqueda y localización de la información.
• Incluiremos títulos y numeración de los puntos más relevantes de nuestra pericial.

Sobre el tema más importante, el cuerpo de la pericial, se indica que:

• Se asume que es la parte más relevante de la pericial.
• Incluye los resultados de nuestro estudio.
• Debe de ser claramente comprensible. Desde mi punto de vista quiere decir que el juez, abogados y otros profanos en informática deben de entenderlo, por tanto una parte de nuestro esfuerzo debe de ser el hacer comprensible nuestros tecnicismos.
• Contenido, por fin entramos en materia:
• Objeto. Es decir, finalidad de nuestra pericial.
• Alcance. Cuestiones que nos plantea el solicitante y son la base de nuestro estudio.
• Antecedentes. Hechos desarrollados con anterioridad a nuestra pericial y que sirven de base para su realización.
• Consideraciones preliminares. Todo lo que consideremos básico para explicar cómo hemos desarrollado nuestro estudio, bases teóricas de la tecnología utilizada, procedimientos etc. que dan la base para entender como hemos extraído las evidencias y llegado a nuestras conclusiones.
• Documentos de referencia. Todos los documentos que citemos que sirvan de base para justificar nuestra pericial, normas de obligado cumplimiento, buenas prácticas profesionales, etc.
• Terminología y abreviaturas. Incluiremos definiciones, términos y abreviaturas que se usen posteriormente en el documento para explicar nuestro estudio.
• Análisis. Es decir, información que nos permite llegar a las conclusiones:
• Legislación, reglamentación y normativa.
• Investigación realizada.
• Referencias, documentos y muestras de evidencias.
• Razonamientos y justificaciones.
• Conclusiones. Es decir, la finalidad máxima para la que se nos contrata.
• Interpretación técnica y experta sobre los puntos incluidos en el apartado Alcance.
• Anexos.
• Deben de formar parte de la pericial como cualquier otro punto, incluidos en el índice.
• Cualquier documento, nota, fotográfica, etc. que ayude a entender o reforzar el contenido de la pericial.

Espero que los abogados, jueces, etc. comiencen a pensar que probablemente esta norma, aunque escueta en su contenido, debe de ser la base de toda pericial informática y se exija como tal. Desde mi punto de vista solo las periciales que cumplan este estándar deberían de ser admitidas a un perito pues refleja, de uno u otro modo, que el perito está capacitado o por lo menos sigue las normas marcadas para la realización de periciales.

Fuente: Blog Luis Vilanova

Contenido completo en www.segu-info.com.ar