Microsoft publicará siete boletines de seguridad el próximo martes

julio 6, 2013 § Deja un comentario

Como viene siendo habitual, Microsoft ha lanzado un avance de los boletines de seguridad que publicará el próximo martes 9 de julio en su ciclo de actualizaciones. En esta ocasión serán siete boletines que afectan a Internet Explorer, .NET Framework, Visual Studio, Silverlight, Lync, Microsoft Windows, Microsoft Office y Microsoft Security Software con diferentes impactos.

Resulta destacable que 6 de los boletines son calificados como críticos.
Solucionan fallos que podría permitir la ejecución de código remoto y afectan a todos los productos indicados anteriormente salvo Microsoft Security Software. El último boletín, dedicado a dicho producto, ha sido marcado como importante y solventa una elevación de privilegios.

Los boletines primero, segundo, tercero, quinto y sexto tratarán vulnerabilidades en los sistemas operativos Microsoft Windows en las versiones XP, 2003, Vista, 2008 Server, 7, 8, y 2012 Server.

El primer boletín corregirá además vulnerabilidades que afectan a Microsoft Silverlight 5.

El tercer boletín afectará también a la suite ofimática Microsoft Office en sus versiones 2003, 2007 y 2010, a Microsoft Visual Studio .NET 2003, y a Microsoft Lync 2010 y 2013

Por su parte, el navegador Internet Explorer en todas sus versiones desde la 6 a la 10, tendrá dedicado el boletín número cuatro.

Finalmente, como se ha comentado anteriormente, una última actualización tratará vulnerabilidades que podrían desembocar en una elevación de privilegios en el software de seguridad Windows Defender en sus versiones para Windows 7 y Windows 2008 Server.

Junto con estos boletines, Microsoft también actualizará su herramienta “Microsoft Windows Malicious Software Removal Tool”, disponible desde Windows Update, Microsoft Update, Windows Server Update Services y su centro de descargas.

Fuente: Hispasec

Anuncios

Instalación de Volatility y Yara para análisis forense

junio 25, 2013 § Deja un comentario

Voy a iniciar una serie de artículos sobre Análisis Forense Digital usando software libre. Durante la primera fase veremos el proceso de instalación de algunas herramientas para nuestro laboratorio, hoy iniciaremos con Volatility (full installation) y Yara.

Volatility Framework es un conjunto de herramientas libres escritas en python para el análisis forense digital de  Memoria RAM. Con Volatility podemos analizar dumps de memoria de aistemas operativos Windows, Linux y MAC en 32 y 64 bits.

Contenido completo en fuente original HotFixed

Herramientas para análisis forense de dispositivos GPS

junio 22, 2013 § Deja un comentario

En un post anterior trate sobre el análisis forense de un dispositivo GPS de una marca concreta un TomTom, en este post tratare sobre varias herramientas para realizar un análisis forense de dispositivos GPS de varios fabricantes. Aunque muchas de las consideraciones previas escritas en ese post anterior se puede aplicar perfectamente.

Estas herramientas permiten la extracción de datos de diferentes GPS y su interpretación. Se trata de las siguientes:

EasyGPS

EasyGPS s una herramienta para la transferencia de waypoints y rutas entre un ordenador y un dispositivo GPS. Permite realizar copias de seguridad y organizar los datos del GPS e imprimir o cargar nuevos waypoints en los dispositivos. La mejor baza de EasyGPS es que trabaja con cientos de receptores GPS, incluyendo todos los modelos de: Rino, Garmin nüvi, eTrex, Colorado, Dakota, GPSMAP, Edge, Montana, Oregon, Magellan, eXplorist, Meridian SporTra, Lowrance iFinder, Endura, HDS, LCX y LMS.

GPS Utility

GPS Utility es una herramienta fácil de usar que proporciona una gestión y manipulación de la información GPS. Puede ser utilizado para transferir datos de un receptor GPS y almacenar los datos en archivos de texto de varios formatos.

El programa convierte entre diferentes datos de mapas y muchos formatos de coordenadas (Lat / Long, UTM / UPS, etc.) La información puede ser filtrada de diversas maneras y puntos ordenados según los criterios especificados. Permite realizar estadísticas de la ruta y pueden ser transferidos a otros programas de análisis (por ejemplo, hojas de cálculo).

GPS Utility apoya muchos tipos de formatos de archivo para importación / exportación. Esto hace que sea fácil de transferir datos desde y hacia otros GPS y aplicaciones CAD / CAM. Toda la información se guarda en un solo archivo que le permite seleccionar subconjuntos particulares para cargar al GPS o para generar o copiar a otros ficheros.

Proyecto de Hash de GPS

Hash de GPS es un proyecto comunitario que establece la creación de una biblioteca de conjuntos de hash autenticados que se crean fuentes de confianza utilizando técnicas forenses. La idea detrás de esta iniciativa es dar a los forenses un conjunto hash de los archivos del sistema operativo, como mapas de base, iconos, archivos de voz, etc. que se instaló originalmente, cuando se fabricó el dispositivo GPS. Esto permitirá a los examinadores identificar rápidamente cuáles contienen datos únicos, tales como la información del dispositivo y datos específicos del usuario, como direcciones, números de teléfono y Tracklogs.

Los conjuntos de hash se pueden crear para cualquier dispositivo que se puede asociar físicamente. En la mayoría de los casos, estos dispositivos GPS son dispositivos de almacenamiento masivo USB. Los conjuntos de hash se crean a partir de imágenes de un dispositivo antes de que se haya configurado por el usuario, recién salido de fabrica, usando programas de imagen como FTK Imager o EnCase.

Fuente: Vtroger
 

Análisis forense en dispositivos Android y Apple (iOS)

junio 16, 2013 § 2 comentarios

Análisis forense para dispositivos Android

En la pasada ekoparty se realizaron varios workshops o talleres en paralelo con las conferencias, uno de ellos abordó el análisis forense en dispositivos Android y estuvo a cargo del analista de seguridad Julián Zarate (@JulianZarate).

Pues bien, en YouTube me encontré con su charla completa dividida en 6 partes y con muy buena calidad [1, 2, 3, 4, 5, 6]. No se trata de un video oficial de la ekoparty, sino de una grabación realizada por uno de los presentes y subida por el usuario kamusiento (gracias por subirla!).

En las casi 2 horas de duración no sólo aprenderás los pasos que se deben seguir durante un análisis, sino que también conocerás más a fondo la arquitectura de Android para poder acceder y extraer información del dispositivo (mensajes, lista de contactos, contraseñas, etc).

Las diapositivas de la presentación las puedes ver o descargar desde aquí.

Análisis forense para dispositivos iOS

Si lo que te interesa es el mundo de Apple entonces te recomiendo ver la siguiente charla presentada por Jaime Restrepo (@DragonJAR) en el eDays 2011 de Colombia. Jaime realizó una charla parecida ese mismo año en la ekoparty y les puedo asegurar que es muy buena.

Como en la de Android aprenderás a encontrar y extraer información de los rincones más lejanos de iOS. El video dura aproximadamente una hora, las diapositivas las puedes ver aquí y además en su blog encontrarás herramientas y más información para cada una de las fases del análisis forense.

Fuente: SpamLoco

Extraer passwords de TrueCrypt en memoria

mayo 11, 2013 § Deja un comentario

Truecrypt actua como software de cifrado “al vuelo” (en inglés “on the fly” encryption, en adelante OTFE). Esto quiere decir que de una forma transparente se descifran los datos cuando se requieren del disco y se cifran antes de escribirse en el disco. Para ello y a grandes rasgos, una vez que se monta un volumen con Truecrypt, la clave simétrica (contraseña o keyfile) se transfiere al filtro criptográfico que la almacena en memoria y genera claves derivadas (header key y master key) para automatizar este proceso de cifrado/descifrado. Si no lo hiciera, el usuario tendría que escribir manualmente la contraseña cada vez que accediera al volumen cifrado y por lo tanto su uso no sería demasiado versátil.

Sin embargo y dada su naturaleza se dice que el OTFE (incluido Truecrypt) sólo protege los datos cifrados “en descanso”. Es decir, una vez que un volumen cifrado se monta permanecerá accesible a los usuarios del sistema como si de texto plano se tratara hasta que se desmonte dicho volumen o se apague el sistema. El por qué está claro: en definitiva la contraseña para acceder al volumen cifrado se encuentra en la información volátil de la memoria física (RAM) y, si la obtenemos (un técnica forense muy común), nuestro único problema será sólo identificarla.

Contenido completo en fuente original HackPlayers

Metadatos e información oculta en Apple iWork

mayo 2, 2013 § Deja un comentario

El paquete Apple iWork está formado por tres aplicaciones principales, que son Pages, Numbers y Keynote, o lo que es lo mismo, un procesador de textos, una hoja de cálculo y un editor de presentaciones. Es capaz de trabajar con otros formatos de datos para realizar funciones concretas, pero en este artículo se van a tratar solo los formatos principales.

Las extensiones de los ficheros y los buscadores
Los documentos de estas tres aplicaciones tienen unas extensiones muy fácilmente reconocibles. El editor de textos, Pages, utiliza la extensión .pages para sus ficheros. Numbers, que es la hoja de cálculo, trabaja con ficheros con extensión .numbers, mientras que el editor de presentaciones, Keynote, utiliza ficheros terminados en .key.

Para realizar las pruebas era necesario disponer de ficheros públicos creados con diferentes versiones de este paquete, y desde equipos distintos con distintas configuraciones, así que lo más socorrido es tirar de los buscadores. Encontrar estos ficheros a través de los buscadores no es fácil del todo, ya que la extensión .pages se utiliza en muchas páginas web en Internet y, por ejemplo, la extensión .key es muy utilizada en la distribución de claves públicas PGP, por lo que es difícil reconocerlos a a la primera a través de los buscadores.

Los documentos de Apple iWork, además de todos los metadatos que tienen, cuentan con la posibilidad de proteger el documento con una contraseña. Para que el usuario pueda recordar qué contraseña estableció es posible añadir una pista, que le haga recordar cuál fue la clave elegida para proteger ese documento en concreto. En la nueva versión de Forensic FOCA se ha añadido todos los metadatos de documentos Apple iWork y se ha añadido la extracción de las pistas de las contraseñas.

Fuente: Un informático en el lado del mal

Presentación sobre herramientas forenses

marzo 22, 2013 § 1 comentario

Pedro Sánchez Cordero del blog Conexión Inversa impartió un curso sobre análisis forense organizado por la Asociación de Tasadores y Peritos Judiciales Informáticos y en ella se ven muchas herramientas para realizar toma de evidencia y armado de un laboratorio.

Además como regalo ha dejado una serie de herramientas gratuitas y Cheat Sheet sobre anális forense. Y, si ha eso sumamos las 101 utilidades forenses, tenemos para divertirnos un buen tiempo.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría análisis forense en Seguridad Informática.