Sistema de Protección de la Integridad (SIP) para OS X (El Capitan) y MacOS Sierra

En una de las anteriores entradas "K0SASP - Pentesting con Mac OS X" se pudo ver como debido a nuevas implementaciones en sus medidas de seguridad, los sistemas operativos de Apple (a partir de la versión de OS X "El Capitan" incluían SIP (System Integrity Protection)) restringen la cuenta root y limitan las acciones que el usuario root puede realizar en las partes protegidas de OS X o MacOS.

En este caso tuvimos que ver como saltar esta medida de protección para poder instalar la suite de herramientas de hacking "K0SASP".

Pero...¿Que es exactamente SIP?

 

Este Sistema de Protección de la Integridad, es diseñado por Apple con la intención de evitar la instalación de malware capaz de modificar archivos y carpetas protegidas. Y es que Apple reconoce no fiarse del usuario o administrador de un equipo, ya que primando por la seguridad de su sistema, admite que muchos de los problemas que surgen a nivel de malware, vienen dados por la forma de actuación de dichos usuarios y la instalación de software no verificado.
Por todo esto, apartir de OS X "El Capitán", Apple con su SIP restringe por primera vez el poder del todo poderoso usuario "root", limitando las acciones que podrá realizar en partes protegidas del sistema. Todo esto según la compañía para alcanzar un alto y óptimo nivel de seguridad.
SIP solo permitirá el acto de modificar partes protegidas a software firmado y certificado por Apple.

Directorios protegidos:

• /System
• /bin
• /sbin
• /usr (a excepción de /usr/local)

Enlaces simbólicos protegidos:

• /etc
• /tmp
• /var
• /private

Como saltarnos System Integrity Protection es fácil, ya que aunque Apple como afirma quiere llevar sus sistemas a un punto de alto nivel de seguridad, es consciente que algunos usuarios de alto nivel, como pueden ser desarrolladores, hackers, etc., necesitarán en algún momento modificar estos directorios a priori protegidos, por lo que deja una ventana abierta.
Esta ventana viene en forma de herramienta y se llama "Csrutil". Con esta herramienta se puede habilitar y deshabilitar SIP (también denominado Rootless) y permitir la modificación de los ficheros protegidos.

Antes de pasar a deshabilitar el sistema de protección, seamos conscientes de su labor.
Si accedemos a una de las carpetas protegidas...

...por ejemplo "System" e intentamos crear un archivo o directorio dentro de ella, al estar protegida nos dirá:

Evidentemente no permite esta operación.

Para poder hacer esto sin restricción hay que hacer uso de "csrutil" y como ya vimos, para que sea efectivo hay que hacerlo a través del terminal pero en el modo "Recovery" del sistema, o lo que es lo mismo el modo de recuperación de sistema tanto para OS X como MacOS Sierra.
A través del modo Recovery pueden realizarse funciones como:

• Restaurar tu Mac a partir de una copia de seguridad de Time Machine.
• Comprobar y reparar unidades conectadas mediante Utilidad de Discos.
• Instalar o reinstalar OS X.

Pero también se puede tener acceso a utilidades como el terminal del sistema.
De este modo, para acceder al modo "Recovery" solo hay que reiniciar el sistema.

Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.







Veremos que el sistema operativo empezará a cargar como de costumbre, pero arrancará en un entorno diferente.

 
Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades en la barra de menú superior).

Dentro del terminal solo hay que lanzar el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).
 
Con Rootless deshabilitado vamos a realizar la misma acción de antes, a ver con que nos encontramos.
Entramos en el terminal y accedemos a "System".

Como se puede ver, el contenido es solo "Library". Después, mediante el comando "mkdir" decimos que queremos crear el directorio PruebaKoox, nos pide la password de administrador y lo crea sin problemas, en el mismo sitio que anteriormente no nos había permitido.

Como ya se ha indicado, para volver a activar SIP solo habría que realizar la misma operación, con la diferencia que en el terminal meteriamos el comando: "csrutil enable".

Auditando con OWASP ZAP en OS X

Dentro del análisis de aplicaciones web, la entrada de hoy está dedicada a OWASP ZAP (Zed Attack Proxy), una de las herramientas más potentes del proyecto OWASP.

Aunque el apunte de "...con OS X" en el título de la entrada realmente es irrelevante, ya que la herramienta a utilizar "OWASP ZAP" es igual en todas las plataformas, va dirigido a todos aquellos puristas y defensores de otras plataformas y en la línea de anteriores entradas, recordando de que con OS X o macOS Sierra (próximamente), se puede hacer exactamente hacking con todas las posibilidades.

OWASP ZAP, está disponible para multiples plataformas en (compatible incluso con Raspberry Pi):
Descarga: https://github.com/zaproxy/zaproxy/wiki/Downloads

Para Mac, se descarga un formato .dmg que gracias a la tecnología Mac ni si quiera hay que pasar un proceso de instalación, ya que tras abrirlo no tendremos más que arrastrar el icono de ZAP a la carpeta Aplicaciones.

 Es una herramienta con unas características y/o funciones muy parecidas a Burpsuite. Algunas de ellas:

• Análisis de peticiones cliente/servidor.
• Localización de recursos.
• Análisis varios (Automáticos, pasivos, de sistemas de autenticación).
• Posibilidad de lanzar varios ataques a la vez.
• Uso de SSL dinámicos.
• Uso de plugins adicionales.
• Soporte de uso de DNI electrónico, certificados digitales, etc.
• Configuración de reglas.

Para empezar con escaneo automático de OWASP ZAP, solo tenemos que introducir la URL objetivo que queramos analizar.
En el caso de este escaneo de ejemplo, voy a utilizar unas direcciones que ya hemos visto en anteriores entradas, que la organización de Acunetix nos facilita como webs vulnerables, para realizar las pruebas, pero que en este caso nos sirven para lo que vamos a realizar.

- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com

Yo en mi caso, voy a utilizar - http://testaspnet.vulnweb.com.

Una vez tengamos la URL, damos a iniciar y el proceso empezará a correr y como suele pasar en todo escaneo, la duración será directamente proporcinal a la densidad y complegidad de la web a analizar.



En esta entrada me limitaré a explicar la herramienta y cada uno de sus apartados, para que el usuario tenga una mayor comprensión de ella y en siguientes entradas, pasaremos a realizar acciones de mayor complegidad.

Comovemos en la parte inferior, podemos ver como el proceso de análisis se divide en varios apartados:

Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos y directorios en busqueda de vulnerabilidades.











En "Escaneo Activo", se pueden ver en proceso directo, todas las peticiones que se van enviando "POST" ...














Si seleccionamos cualquiera de ellas, en la parte superior derecha de la ventana podremos estudiar o analizar, la petición que ha realizado la herramienta y la respuesta recibida por el sistema...




























Algo muy interesante que nos ofrece OWASP ZAP es presenciar en directo el tipo y progreso de ataques que está realizando, dandonos la posibilidad de presenciar pruebas concretas. Esto mediante el "Show scan progress details".

Como vemos en la siguiente captura de pantalla, entre otros:
- Escaneos de directorio transversal.
- Inclusión de archivos.
- XSS.
- Inyecciones.
- Buffer overflow.

Una vez terminado el escaneo vamos a pasar a la parte más importante, ver las vulnerabilidades que se han encontrado en la URL a analizar.
Para ello vamos al botón "Alertas" caracterizado con el icono de una banderita roja o anaranjada.
Aquí vamos a encontrar como en cualquier otro escaner de vulnerabilidades, las encontradas, clasificadas según su gravedad.



En este caso vemos que ZAP ha encontrado dos vulnerabilidades de alto riesgo (caracterizadas en color rojo).  De "Cross-site Scripting" y una de "inyección SQL".
23 de riesgo medio (color naranja) y otras tantas de bajo riesgo (color amarillo).
Si seleccionamos cualquiera de ellas, a la derecha del cuadro podemos ver la descripción completa de la vulnerabilidad, una posible solucción ofrecida por la herramienta y enlaces de referencia por si queremos documentarnos al respecto.

Finalmente, para procesos de auditoría ZAP nos da la posibilidad de guardar un reporte de vulnerabilidades en diferentes formatos.

K0SASP - Pentesting con Mac OS X

Pese a que aún están en minoría frente a otros sistemas, la fuerte introducción de los productos Apple en la última década en nuestro mercado, hace que cada vez más expertos en seguridad se decanten por OS X para realizar su trabajo.

Este hecho, hace que cada vez más herramientas enfocadas a la seguridad y al hacking esten disponibles, preparando al Mac como una herramienta perfecta y tan potente como cualquier otra, para realizar hacking, pentesting, etc.

Aunque bien es cierto, como ya he dicho, podemos instalar casi cualquier herramienta de seguridad en nuestro Mac, también lo es que a veces puede resultar tedioso, el instalarlas de una en una según las vayamos necesitando, muchas de ellas teniendo que compilar, instalar paquetes, etc.
En solucción a esto surge K0SASP, un paquete de instalación para sistemas Mac OS X, que consta de una gran gama de herramientas específicas para realizar auditorías de seguridad.
K0SASP ayuda a instalar los programas adecuados a nuestras necesidades, o instalarlos todos en un solo clic, ahorrandonos de esta manera tiempo y complicaciones. Todo gracias a que viene con su propio instalador .pkg.

 K0SASP además nos ofrece mucha facilidad de uso al ser muy intuitivo y darnos la oportunidad de utilizarlo desde un entorno gráfico, o desde el terminal.

 

La versión actual K0SASPv1.3, consta de las siguientes herramientas:

Instalación:

Podemos descargar K0SASP (K0SASPv1.3.pkg) gratuitamente desde:
https://mega.nz/#!ykZXxY6D!2hZv8YDAwwBzRm5bmAfoE4yrNSsbtzbQxB6AHh_Ooa4

Una vez descargado y previamente a la instalación, tendremos que proceder a la parte más técnica, pero no por ella sencilla.
Aunque K0SASP a priori es muy fácil de instalar, ya que lo que descargamos es un simple .pkg, la última actualización de OS X (10.11 El Capitán) nos ha pasado a complicar un poco las cosas. Esto es debido a que esta versión a sido reforzada en seguridad por lo que Apple a llamado "System Integrity Protection". Esto impide que aplicaciones no firmadas, pueda ser instaladas en el sistema a priori, o que archivos del sistema puedan ser modificados, ni si quiera por el usuario Root.
Esto choca totalmente con programas como K0SASP, que en el proceso de instalación algunos de sus scripts intentan ser guardados en estas rutas que para Apple son prohibidas:

/System
/sbin
/usr (A excepción de /usr/local)

La solucción: Hasta que salga la nueva versión de K0SASP, tendremos que reconfigurar nuestro equipo.
Aunque Apple implanta esta política restrictiva, es consciente de que en algunas ocasiones algún archivo del sistema tiene que ser modificado. Para estas ocasiones "excepcionales", ha creado la herramienta "csrutil", que será nuestra aliada a la hora de desactivar esta seguridad.
Antes de proceder debemos llevar al equipo al modo "Recovery".

Elija el menú Apple> Reiniciar.
Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.








Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades) y lanzamos el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).

Una vez hecho esto, ya podemos instalar K0SASP.  

Para evitar errores, nos curamos en salud y antes de proceder a la instalación, abrimos el terminal e introducimos el siguiente código: xcodebuild -license
Con esto aceptamos los terminos y condiciones de Xcode
 



Ya podemos pasar al proceso de instalación de K0SASP que es facil e intuitivo.
 (IMPORTANTE!!) Al iniciar la instalación, en la selección de aplicaciones, desmarcar las casillas de "Slowhttptest" y "THC-SSL-DOS" para que no se instalen, ya que hasta la próxima actualización de K0SASP son inestables y la instalación puede fallar.

Por defecto se instalarán todos los programas incluidos, pero se puede seleccionar cual queremos instalar y cual no. Después todo el proceso correrá automáticamente.
Tras la instalación se mostrará una carpeta en Aplicaciones con el nombre de Kontrol0-Security Auditor Software Pack. Ahí se encuentra todo el contenido instalado categorizado.

Nessus - Escaneo de vulnerabilidades

Hace unas semanas ya estuvimos desgranando a grosso modo el escaner de vulnerabilidades Acunetix.
Hoy le ha tocado el turno a otro de los punteros en el ámbito de la seguridad: "Nessus".

Nessus es un escaner desarrollado por Tenable Network Security (posiblemente el más conocido del mundo de su tipo).
En la web de Tenable podrás descargarte varias versiones de "Nessus", desde la "Home" que es totalmente gratuita (pero con bastantes limitaciones), a versiones de prueba de "Professional", "Manager" y "Cloud".

En esta entrada yo utilizaré la versión "Home".

 Una vez descargada Nessus te pedirá un usuario y contraseña, para ello solo tienes que registrarte gratuitamente en la web y ellos te enviarán tus claves al mail.

Una  vez dentro del menu, vemos que hay un botón que nos indica "New Scan", a través de él accedemos a los "Scanner templates" donde vemos todas las posibilidades que Nessus nos ofrece.
Veremos que algunos de ellos son inaccesibles a nosotros debido a que lo hacemos desde la versión "Home" (está limitada).


Como vemos Nessus permite exploraciones de diferentes ámbitos y para diferentes tipos de vulnerabilidades:
-Vulnerabilidades de acceso y control, de configuración de sistema, contraseñas, denegación de servicio, etc.

Para realizar una prueba de escaneo avanzado "Advanced Scan", voy a utilizar alguna de las utilidades que he ido necesitando en otras entradas.
Como necesitamos algo que escanear y para ver algo que sea interesante lo suyo es que sea medianamente vulnerable, voy a utilizar "Metasploitable 2", un sistema de servicios vulnerables los cuales pueden ser explotados usando metasploit, pero que en este caso nos va a ser muy útil.

(Para saber de lo que hablo, leer Metasploit 3ªParte).

Una vez instalada y arrancada "Metasploitable 2" como ya hemos visto en otras ocasiones, con el comando "ifconfig" conseguimos la Ip de esta máquina virtual, que va a ser la IP que voy a usar en Nessus.

 
 Volviendo a Nessus....en los diferentes tipos de escaneo elijo el de escaneo avanzado.

 Relleno los parámetros mínimos requeridos, nombre, descripción y el objetivo.
 En mi caso el Target u objetivo, es la IP de la máquina virtual de Metasploitable (192.168.1.38).
Guardamos.



Si vamos al menu principal vemos que ya se ha guardado nuestro proyecto, así que solo tenemos que dar "play" y el escaneo comenzará.

 Te recomiendo que te armes de paciencia, ya que depende del espectro de actuación de análisis que hayas elegido puede tardar bastante.

Nessus comienza escaneando los puertos buscando los que están abiertos y después utiliza exploits para atacarlo.
Cuando el proceso haya acabado, si accedemos a los informes de nuestro escaneo encontraremos algo parecido a la siguiente imagen, que variará dependiendo del caso, de las vulnerabilidades encontradas y la gravedad de las mismas.

Nessus clasifica las vulnerabilidades dependiendo de su gravedad por colores:

- Rojo = Critica

- Naranja = Alta

- Amarillo = Media

- Verde = Baja

- Azul = Info

Vienen muy bien identificadas y explicadas, ya que las vulnerabilidades encontradas se muestran por filas, pero vienen también colocadas acorde a las columnas que especifican información, mandando en su orden como ya he indicado de mayor a menor criticidad. Nos señala también el "plugin name" al que afecta dicha vulnerabilidad, la familia a la que pertenece, etc.

Si seleccionamos cualquiera de las vulnerabilidades clicando sobre ella, accederemos a toda la información pormenorizada de esta.

Nessus nos muestra una descripción de la vulnerabilidad, que está pasando y como puede afectarnos.
Seguidamente más abajo nos sugiere una posible solucción al problema y acceso a más info complementaria.

Muy interesante es lo que nos ofrece la columna a la derecha del todo, con los datos más importantes de dicha vulnerabilidad y sobre todo el detalle de indicarnos si existe algún parche para la vulnerabilidad y su nombre, facilitando mucho nuestro trabajo.

Dejo algún pantallazo más para ver resultados de vulnerabilidades encontradas en este análisis de prueba.

Ingeniería Social - La amenaza invisible / Entrevista a Ismael González Durán

He decidido que a lo largo de su andadura, en este blog dedicaré bastantes entradas a hablar de lo que yo considero una de las mayores amenazas de nuestro tiempo "La Ingeniería social".
Y es que nos encontramos en una era, en la que fuerza física, armas o dinero han pasado a un segundo plano, dando todo el foco de importancia a la información. Quien posea más información tendrá el dominio absoluto sobre muchas cuestiones.

Con estas afirmaciones no estoy diciendo nada nuevo, de hecho si no tuvieramos claro esto, ni si quiera existiría la seguridad informática. Pero actualmente damos importancia y sobre todo en el mercado, tanto a productos como a servicios orientados a un tipo de seguridad más "visible" por definirlo de alguna manera, más física. Antivirus, firewalls, hardware de seguridad, Sistemas de detección de intrusos (IDS), test de intrusión... Pero estamos en la mayoría de los casos (no quiero generalizar) descuidando un aspecto muy importante, "el componente humano" y ahí es donde entra en juego la ingenieria social.

Hace unos días leí en una publicación una cita que define esto a la perfección:
"El componente más débil de los sistemas de la información, es el componente humano".

En las entradas posteriores me pondré más técnico tratando herramientas de apoyo de la ingeniería social, como ya lo he hecho anteriormente con por ejemplo una de las principales herramientas de recopilación de información (MALTEGO - Recopilación de datos básica) , pero este artículo será más bien introductorio y de presentación al término.

 ¿Que es la Ingeniería Social?
Muchas son las formas en las que se ha definido y muchas son de las que se puede definir, pero a fín de cuentas, en una definición para todos los públicos, es una seríe de técnicas y/o tácticas de actuación, que mediante el uso de psicología (forma de hablar, ganarse la confianza de la víctima, apoyarse en descuidos del objetivo, engañarle mediante la facilitación de datos confidenciales,...) conseguiremos el acceso a datos confidenciales de terceros.
En el caso de la seguridad informática, dichas prácticas tendrán el objetivo de conseguir dicha información relevante, para acceder a sistemas, robar datos, modificarlos o destruirlos, realizar acciones fraudulentas, etc.

Cuando al principio del artículo, incluso en el título, hablo de amenaza invisible, me refiero a que otros aspectos a los que considero se les da más importancia los cual ya he nombrado, se pueden monitorear y vigilar en algún sentido (un intruso o un virus pueden ser detectados por un IDS o un antivirus), pero la Ingeniería social puede causar daños incluso mayores sin ser detectada, ya que contra las vulnerabilidades que atenta son las de un individuo, un ser humano, contra lo que no hay posible defensa.

Para el que todavía no lo haya visto claro, un ejemplo de Ingeniería social, el más simple:
Un individuo coge una carta de telefónica de un buzón de su edificio.
En la carta tenemos nombre y apellidos, dirección, (algunos datos más que nadie puede saber), cuota que se a cobrado ese mes, teléfono, etc.
Una simple llamada al número de telefono:
-Buenos días, estamos haciendo reajustes de línea. ¿Hablo con José Angel Rodríguez Martín? ¿Calle Cuba, 26? Me facilita su Dni si es tan amable...
Este més le hemos cobrado 96,54 ¿Es cierto? Sí. .......A partír de aquí le hemos facilitado datos que nadie más sabría.
-Le voy a reconfigurar el Router, ¿me puede facilitar su clave?
Ya tenemos Wifi gratis en el edificio.

ESTO ES INGENIERÍA SOCIAL

La solucción: Un buen entrenamiento del equipo humano y unas buenas políticas de seguridad de actuación en una empresa u organización y una concienciación generalizada a la gente de la calle.

El ejemplo a simulado una de las formas más simple y sencillas, pero hablando de alguna manera, podemos decir que hay verdaderas obras de arte en el desarrollo de las técnicas de engaño y manipulación.

Encontramos multitud de ataques dirigidos y todo tipo de técnicas, físicas y lógicas y por desgracia muy de actualidad. Muchos de ellos los trataré en próximas entradas:
Phising, Vishing, obtención de información a través de fuentes abiertas (OSINT), Smishing, Personificación, programación neurolingüística (PNL), lockpicking y un largo etc.

Si quieres estár actualizado sobre posibles estafas por ejemplo en twitter @GDTGuardiaCivil cada día encontramos avisos de estafas nuevas que circulan por la red.















En internet podemos encontrar diversa y extensa información sobre la Ingeniería social, pero en este caso he preferido ponerme en contacto con el analista de seguridad y experto en la materia y coautor del libro:
"Hacking con Ingeniería Social. Técnicas para hackear humanos" del editorial RA-MA:

Ismael González Durán

D.H.: ¿Como ves la I.Social en la actualidad? ¿Crees que se le da menos importancia de la que se merece?

Ismael González D.:  Efectivamente, creo que en la actualidad no se le da la importancia que se debería a la Ingeniería Social. En lo años 80s cuando Kevin Mitnick hizo de las suyas y la tecnología estaba menos avanzada uno de los principales riesgos que tenian las empresas eran los temidos ataques de ingenieria social por suplantación. Y en aquella época las empresas si tomaron más conciencia.

Sin embargo pienso que en la actualidad se ha descuidado el pensar en los riesgos que supone un ataque de IS. Las empresas pusieron ciertas medidas de seguridad en su momento y ciertas barreras para impedir estos ataques, pero al igual que avanza la tecnología avanza también el desarrollo de nuevos ataques y eso si que no lo están teniendo presente las empresas.

Por eso pienso que en la actualidad se debería de hacer un poco más de enfoco en el pricipal riesgo de seguridad en una empresa, el factor humano.

D.H.: A nivel del usuario normal de la calle, vemos cada día cientos de intentos de engaño, vía phising por ejemplo, y muchos de ellos no se quedan en intento si no que consiguen su objetivo.
A nivel empresa y organizaciones ¿Como ves el panorama actual? ¿Las ves preparadas? ¿Como deberían intentar soluccionar estas carencias?

Ismael González D.:  Bueno más o menos la respuesta a esta pregunta está ligada con la anterior.
Lo mas importante para lidiar la situación de engaños, suplantación o cualquier otro tipo de ataque, es la propia concienciación del usuario o empresa.

Mientras empresas y organizaciones no estén concienciadas de los riesgos que suponen los ataques de ingeniería social, siempre seguirán siendo vulnerables
D.H.: ¿Cual consideras los ataques más peligrosos y que se podría a llegar a conseguír con ellos?

Ismael González D.: Desde mi experiencia profesional podría decir que los ataques más peligrosos son los de suplantación de identidad de cualquier tipo, ya sea una llamada telefónica, un mail, un simple mensaje de texto.
 El riesgo que puede suponer esto, además de la obtención de datos sensible de los empleados, directivos, etc, es la obtención de credenciales que puedan suponer un acceso a los servidores y sistemas críticos de la empresa. Bases de datos, CRMs, controladores de dominio, etc.

D.H.:  Por último. Yo en mi opinión propia, creo que a la gente se le está yendo de las manos el derroche de información desde hace unos años, el facilitar datos personales a cada momento del día, donde están, con quien, que hacen, como viven, ... ¿Las redes sociales se nos han ido de las manos? ¿Son un peligro o están mal enfocadas en su uso? ¿Tú que recomiendas al usuario normal?

Ismael González D.:  En el mundo de las redes sociales existen dos problemas potenciales en los usuarios, por una parte existe el mal uso que se les da y por otra la poca concienciación que se tiene sobre los riesgos que supone exponer todos esos datos.

Facebook, twitter, Instagram, o cualquier otra red social no son en sí el problema.
Éstas como tal fueron creadas para compartir, y además tiene medidas de seguridad y privacidad que el usuario puede configurar de una forma muy granular si lo desea para evitar posibles fugas de información, el problema radica en la experiencia del usuario, y en el no conocer que riesgos supone hacer publica toda esta información.

Aquí no podría dar una sola recomendación como solución, sino que se trata de algo que el usuario tiene que ir aprendiendo y conocer y saber cuales son los riesgos de toda esa información expuesta.

Aunque en este punto, si que se puede apreciar que hay dos tipos de sector bien diferenciados por su edad, donde unos están más concienciados que otros.
Las personas comprendidas entre los 30 y los 55 años, están mucho menos conienciadas que los usuarios con edades comprendidas entre los 18 y los 30. Al final solo es una cuestión de educación, hábitos, costumbres y concienciación como decía.



Podemos seguir a Ismael en su blog:
http://www.kontrol0.com/

"Autopsy Forensic Browser" - Analizando evidencias digitales (2ªPARTE)

.... creada una dirección de Host para la prueba que se va a realizar "Prueba.koox" y ya con esto configurado, el siguiente paso es añadir la imagen que vamos a analizar.

Pulsamos "Add image".

"Add image file" Le vamos a indicar donde está la imagen que queremos analizar.

En mi caso, como ya indique al principio de la (1ªParte) he guardado la imagen de disco que quiero analizar en una carpeta en mi escritorio con el nombre "autopsy".

 Por tanto yo le diré que va a encontrar mi objetivo en: /root/Escritorio/autopsy/flash_drive.img

En "type" le indicamos si la imagen es de un disco o una partición.
De todas formas como se puede ver en las imagenes todo es muy intuitivo y vienen muy bien especificados los pasos a seguír.

A no ser que queramos algo más específico lo dejamos por defecto, "Add".

Como vemos ya está todo configurado y nos da la opción de pasar a analizar, o si queremos añadir alguna imagen más a estudiar.

En este caso pasaremos directamente al análisis de la imagen que tenemos ya cargada y seleccionada.
Pulsamos "Analyze".

Ya estamos dentro.

Como se puede ver "Autopsy Forensic Browser" nos ofrece varias opciones.
No voy a meterme en profundidad con ninguna de ellas. Yo aquí ya te recomiendo que vayas probando todas las posibilidades y los resultados que nos ofrecen.

Podemos: Analizar el interior del disco navegando por sus archivos y documentos, realizar busquedas concretas (muy útil en caso de estar buscando algo muy concreto, una palabra específica, etc.), metadatos de documentos (algo muy interesante que ya trataremos en otro artículo),...

La verdad que Autopsy es una herramienta muy sencilla y que nos puede ofrecer bastante dentro de lo que es.

Por ejemplo vamos a ver un par de pestañas.
Si seleccionamos "Image Details" nos devolverá la información general del sistema.

Si seleccionamos "File analysis".

Vemos como nos ofrece un análisis muy completo de el interior del disco. 

Podemos ir analizando archivo por archivo, abrir todo tipo de documentos y estudiarlos.

Autopsy genera completos reportes sobre el todas las características de las evidencias encontradas.
Permiten visualizar el estado de MD5 y SHDA1, con el fin de comprobar que las evidencias examinadas desde una copia no han sido modificadas o alteradas con respecto a las evidencias originales, lo cual supone un punto más a favor de esta buena herramienta de análisis forense.

"Autopsy Forensic Browser" - Analizando evidencias digitales (1ªPARTE)

Ayer navegando y poniendome al día en las novedades dentro del análisis forense digital, me di cuenta de los pocos resultados que encontraba en Castellano y sobre artículos de herramientas muy útiles y realmente interesantes. Por eso que voy a dedicar esta entrada a "Autopsy".

¿Qué es Autopsy?
Sin duda una de las mejores herramientas de software libre para el análisis de evidencias digitales.

Aunque podemos encontrarla para diferentes sistemas operativos, voy a hacer una muestra en esta entrada con Autopsy para Linux.
Si estás trabajando en la plataforma Kali Linux lo encontrarás en el apartado de herramientas de análisis forense.

Para los que no os gusta trabajar a través del terminal tranquilos, porque pese a tener que arrancarlo desde él, rápidamente nos indica que ya podemos abrir su interfáz gráfica en el navegador a través de:
localhost:9999/autopsy







Autopsy soporta sistemas de ficheros NTFS, FAT, UFS1/2, Ext2/3, y puede hacer análisis tanto en sistemas que se encuentran en funcionamiento de los cuales tengamos algún tipo de sospecha y queramos investigar, como en sistemas muertos en los que analizaremos por ejemplo su estructura, integridad de archivos, documentos, incluso datos que han sido suprimidos con anterioridad.

En esta entrada y como lo que quiero mostrar es simplemente su funcionamiento y potencial, me voy a limitar a investigar un imagen de disco con lo que podremos ver que cosas podemos conseguir.
Una vez estemos utilizando Autopsy nos daremos cuenta que es muy fácil e intuitivo, así que basaré este artículo en una serie de pantallazos en los que iremos siguiendo el proceso de puesta en marcha de un análisis.

Si alguien quiere seguir la práctica, como he dicho partimos del hecho de que tenemos en nuestro poder una imagen de disco la cual vamos a análizar, así que os recomiendo que os hagáis una para pruebas como esta.

Yo he guardado la mía en /root/Escritorio/autopsy/flash_drive.img

Bien...Una vez arrancado en el navegador como vemos en la anterior imagen, seleccionamos "New case".

Ponemos un nombre al análisis para posteriormente poder seguirlo, ya que se guardará en nuestro sistema.

"New Case"

Seleccionamos la que acabamos de crear y "OK".

Nos informa que debemos de crear un Host, así que añadímos uno.

Rellenamos todos los datos que creamos necesario (no son obligatorios). Yo dejo el de defecto "host1".

Como vemos se ha creado una dirección de Host para la prueba que se va a realizar "Prueba.koox".

Con esto ya configurado, el siguiente paso es añadir la imagen que vamos a analizar.
Pulsamos "Add image".


SIGUE EN "Autopsy Forensic Browser" SEGUNDA PARTE ....