Forensic CTF Writeup: Baud, James Baud (II)

En el primer artículo abrimos boca con algunas cuestiones del forense, así que ahora toca continuar con el primer plato.

4. What makes this email service difficult to analyze?

ProtonMail es un servicio de correo web diseñado teniendo en cuenta la seguridad. Cuando un usuario se crea una cuenta, debe generar a su vez unas claves que cifran todos sus correos. De esta forma ProtonMail (si nos fiamos de ellos, por supuesto) nunca va a tener acceso a los datos del usuario al estar cifrados de forma segura.
[Read more…]

Forensic CTF Writeup: Baud, James Baud (I)

La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.
Aquí tenéis los últimos que han llegado a mis manos:

Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad :D
[Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (III)

En el artículo anterior se vieron las medidas de seguridad aplicables a nivel de servidor. Una vez el correo es entregado y llega al buzón, es como cuando un delantero se planta solo delante del portero: la única línea de defensa que nos queda es el usuario.

Afortunadamente no estamos jugando al fútbol, así que podemos aplicar una serie de medidas de seguridad para que el atacante falle el tiro (nadie dijo que no podamos hacer la portería más pequeña, o directamente que la portería no exista).

Se da por supuesto que el equipo del usuario tiene un antivirus actualizado y que está actualizado de forma correcta hasta la última versión no vulnerable, y que el usuario tiene una formación básica sobre cómo reconocer y actuar frente a posibles correos maliciosos. Llegados a este punto, podemos desplegar dos barreras de seguridad adicionales.

[Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (II)

En el artículo anterior se planteaban una serie de medidas a aplicar en el servidor de correo para protegernos de correos maliciosos. Continuamos con más medidas aplicables.

DKIM (DomainKeys Identified Mail)

DKIM es otra medida de seguridad que se puede aplicar de forma totalmente transparente en nuestros correos electrónicos (es decir, que podemos activarla y si el destinatario de los correos elige no verificarla no afecta en absoluto a su entrega).

El funcionamiento de DKIM es a grandes rasgos el siguiente: [Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (I)

Aunque gurús varios llevan años vaticinando su muerte, el correo electrónico sigue manteniendo a día de hoy una salud de hierro, siendo parte fundamental de la operativa de muchas empresas. Y dado el uso omnipresente del mismo, es prácticamente imposible imponer cambio global alguno al funcionamiento del protocolo SMTP (diseñado hace décadas para que fuera robusto, no seguro).

Es por ello por lo que los atacantes siguen viendo el correo electrónico como un camino perfecto para penetrar en una empresa, ya que es un vector de ataque sencillo, dirigido y muy efectivo. En muchas empresas existen unos controles de seguridad básicos con respecto al servidor de correo electrónico, pero a día de hoy esos controles son insuficientes para detener ataques sofisticados.
[Read more…]

GOTO XII: Certificaciones de seguridad

Hay pocos temas capaces de generar tanto debate dentro del campo de la seguridad informática como el de las certificaciones: son geniales, no sirven para nada, generalistas, de producto, con cebolla, sin cebolla… Defensores y detractores esgrimen argumentos bastante válidos a la hora de defender y cuestionar el valor real de las certificaciones de seguridad. ... Leer Más

El misterioso caso de las manzanas podridas (VI)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)... Leer Más

El misterioso caso de las manzanas podridas (V)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)... Leer Más

El misterioso caso de las manzanas podridas (IV)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

Según lo visto en la entrada anterior (ver parte I, parte II y parte III), teníamos a nuestra disposición las siguientes evidencias digitales:

  • Volcado lógico de un iPhone5.
  • Volcado físico de un Samsung Galaxy S5.
  • Imagen forense de un Apple MacBook Pro.

La situación es casi la misma que en el caso de R.G, solo que con un portátil de Apple en lugar de uno de HP. El tratamiento de los móviles va a ser exactamente el mismo, así que nos ponemos rápidamente al lío.

[Read more…]

El misterioso caso de las manzanas podridas (III)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

Como ya habíamos comentado en entradas anteriores (ver parte I y parte II), la investigación estaba siendo bastante complicada: por ahora no habíamos sacado prácticamente nada en claro, y únicamente nos quedaba por analizar la imagen forense del ultrabook de R.G.

En muchas ocasiones el análisis forense tiene unos objetivos dirigidos: comprobar la existencia de unos ficheros, verificar por qué páginas ha navegado un usuario, detectar si se ha enviado un correo electrónico, etc… En este caso el análisis es el clásico generalista, el “tú mira y si encuentras algo raro nos lo dices”. La mejor forma de atacar estos análisis es mediante 3 pasos:

1. Recuperación de ficheros borrados: Recordemos que, cuando borramos la papelera, los datos no se borran realmente sino que se quedan marcados como disponibles para su uso. En muchos casos podemos recuperar información de ese espacio disponible.

2. Creación de una línea temporal: Una vez tenemos todos los ficheros podemos crear una línea temporal, un cronograma de lo que ha sucedido en el equipo.

3. Análisis de la información: Una vez tenemos toda la información espacio temporal llamamos al Dr Wh… digo cruzamos datos y realizamos un análisis mucho más completo.

[Read more…]