MUS CTF DFIR – Activity (Nivel 3)

1. ¿Cuántos ficheros fueron descargados del Sharepoint de magnet4nsics?

Esta parece fácil: cargamos con BrowsingHistoryView de Nirsoft (a este gente habría que comprarles un jamón por la maravilla de utilidades que tienen para nuestro uso y disfrute) el historial de los usuarios y lo revisamos, obteniendo un listado de los accesos a Sharepoint:

Si contamos los ficheros que parecen almacenados en el OneDrive nos salen 7 … que resulta ser un precioso Fail. Si nos fijamos un poco, solo tenemos dos descargas reales de ficheros: at-5000-s1.jpg y high4.jpg (el resto entiendo que será navegación por carpetas o algo similar).

* Respuesta: 2

¡EXTRA BONUS! Al responder esta pregunta nos aparece otra (y tiene pinta de repetirse unas cuantas veces más, así que vamos a recolocar un poco el orden de las preguntas).
[Read more…]

MUS CTF DFIR – Secret Project (Nivel 2)

En la entrada anterior habíamos encontrado un .zip altamente jugoso, así que vamos a empezar a apalearlo para que cante todas las flags de este nivel…

1. ¿Qué lenguaje ha sido empleado para crear el ejecutable del proyecto secreto?

Esta la vamos a responder con la información de la última pregunta de la parte anterior. Dentro de ese estupendo .zip podemos encontrar un ejecutable cuyo icono es bastante delator:

* Respuesta: Python

!Extra Bonus! Cuando respondemos esta pregunta se abren 5 preguntas más. Esto parece que va para largo…

[Read more…]

MUS CTF DFIR – MOBILE (Nivel 1)

Este fin de semana se pronosticaba un tiempo de perros en Madrid, y todavía estaba arrastrando un malware elegante que no terminaba de curar, así que tocaba casa y manta. Y el mismo viernes por la tarde me entero que la gente de Magnet había abierto al público el reto forense que habían jugado en el MUS (Magnet User Summit), junto con una licencia de prueba de Magnet Axiom para poder probarlo y cacharrear al gusto.

Un poco de AC/DC, leche con miel y whisky (ambos son buenos para currar el catarro, o eso dicen) y un buen reto forense no son un mal plan para el finde ;-)

Enlaces de interés:

[Read more…]

La certificación CISSP – II. Experiencia personal

En la entrada de ayer vimos algunos aspectos generales de la certificación CISSP, que se pueden ampliar en la página oficial de (ISC)2. En esta entrada es donde voy a entrar en detalle en los aspectos no formales, como materiales, consejos y opiniones personales. Empecemos.

¿Es difícil el examen?

Su buscamos en Google, las principales comunidades de usuario relacionadas con (ISC)2 se encuentran en reddit y  y en los foros de (ISC)2 . En ambos hay múltiples entradas relatando opiniones, experiencia con el examen, solicitando y dando consejos, revisando materiales de estudio y otros temas. Sin embargo, mi impresión es que el tono tiende a ser negativo y algo atemorizador, terrorífico incluso en ocasiones. Muchas personas que han hecho el examen lo describen como muy difícil, redactado de forma intencionadamente compleja (tricky wording) y muy oscuro. A eso se suma que no hay preguntas «ejemplo» en Internet, y que las personas que elaboran el material de formación (incluyendo el libro oficial de preguntas) u ofrecen los cursos de formación (bootcamps) no son nunca las mismas que escriben las preguntas del examen. Por tanto, un elemento crítico al gestionar durante la preparación del examen es la incertidumbre.

[Read more…]

La certificación CISSP – I

Hace ya unos cuantos años (2011), nuestro compañero José Luis Villalón nos hablaba de la certificación CISSP, de (ISC)2. Como las cosas han cambiado algo desde entonces, y aprovechando que aprobé recientemente el examen, vamos a echar un vistazo a esta certificación, a los cambios que ha sufrido y (en el siguiente post) a algunos consejos que personalmente me han servido para superar el examen.

Introducción

La certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 es en la actualidad una de las principales certificaciones (básica para mí, aunque eso depende de la experiencia y recorrido profesional de cada persona) en materia de seguridad de la información, aunque tiene una mayor difusión en EEUU que en el resto de países, si echamos un vistazo al número de certificados por país. Mientras que a 31 de diciembre de 2018 EEUU contaba con cerca de 84500 certificados, entre Alemania (2100), Francia (1000), Italia (400) y España (650) sumaban poco más de 3000. Esto es probablemente debido a que muchos departamentos de Recursos Humanos en EEUU lo consideran un prerrequisito básico en el ámbito de la ciberseguridad, además de la significativa mayor aceptación que los certificados de (ISC)2 tienen en el mercado estadounidense.

[Read more…]

Military Financing Maldoc: análisis

Recientemente, desde Lab52 de S2 Grupo hemos detectado una campaña de infección a través de un documento malicioso que nos ha llamado especialmente la atención debido a su contenido y título.

El documento en cuestión, llamado “Military Financing.xlsm” y con hash “efe51c2453821310c7a34dca3054021d0f6d453b7133c381d75e3140901efd12”, destaca principalmente por su nombre y la imagen que contiene, que hace referencia a un documento con información secreta del departamento de estado de EEUU.

Ilustración 1 Captura de la imagen que contiene del documento

[Read more…]

Cómo escribir informes de incidentes de seguridad

Los incidentes de seguridad son un caso muy interesante de informe técnico, ya que tienen unas características particulares que debemos tener en cuenta a la hora de plasmarlas en un informe.

Os mostramos a continuación unos consejos (adicionales a los ya vistos en artículos anteriores) para que vuestros informes de incidentes de seguridad salgan “niquelados”.

Conoce tus tipos de informe

Los incidentes de seguridad tienen varias fases, existiendo varios tipos de informe en función de la audiencia y el objeto del mismo. Conocer qué es lo que esperan recibir en su informe es la mitad del éxito. [Read more…]

OPSEC básico para viajeros

Este post es, si no nos fallan las cuentas, el quinto (ver el primero, segundo, tercero y cuarto) del colaborador David Marugán Rodríguez. Agradecer una vez más su colaboración con Security Art Work con estos artículos tan interesantes. Si quieres saber más sobre David, aquí te dejamos su perfil en twitter. @radiohacking.

En esta ocasión me gustaría dar algunos consejos sobre seguridad operacional u OPSEC durante los viajes. Debo advertir que no soy ningún gurú de nada, y estos pequeños consejos o advertencias son fruto de la experiencia personal, de mi trabajo y de amigos profesionales de la seguridad que me han asesorado en muchas ocasiones cuando he ido a algún destino. Seguro que tú conoces otros y puede que más adecuados a tu situación personal o profesión. Toma por tanto esta pequeña guía con precaución.

Por mi actividad, he tenido que viajar a algunos países donde he observado riesgos que pueden ser fácilmente evitados o reducidos. Otros, por desgracia, son imposibles de evitar, sobre todo si hablamos de amenazas con actores gubernamentales implicados o países donde la vigilancia es total. No hay nada 100% seguro, pero a veces vale la pena gastar un poco de tiempo y dinero en estudiar nuestras amenazas en viaje. Incluso en algunos casos muy especiales, deberías contratar alguna empresa o perfil especializado que valore las medidas o te proporcione un producto de inteligencia real del sitio que vas a visitar y su contexto.

La idea de este pequeño artículo surge de las preguntas que me han hecho sobre las medidas que se pueden tomar en viajes a congresos de seguridad y hacking en otros países, pero estas medidas pueden aplicarse también a cualquier evento o viaje de trabajo; también en tus viajes de ocio, por supuesto. Debemos recordar que el OPSEC siempre es preventivo, si ha fallado no se puede volver a la situación anterior, no hay “back-up” en estos temas. [Read more…]

Cómo escribir informes técnicos y no morir en el intento (IV)

Consejos “espirituales”

Segundas y terceras lecturas nunca fueron malas

Cuando se está redactando un informe hay dos situaciones que se presentan con cierta frecuencia: las interrupciones (estás un día entero con un informe, pero te llaman o interrumpen cada 10 minutos) y el “entrar en zona” (te puedes pegar 2-3h escribiendo sin parar y te marcas 40 páginas de un tirón).

Ambas situaciones tienen su peligro: en el primero de los casos es fácil perder el hilo de lo que estabas contando, dando por supuesto cosas u obviando datos importantes. Y en el segundo puedes “engorilarte” sin problemas, yéndote de excursión por los cerros de Úbeda, Mordor y el chino de la esquina, e introduciendo un montón de paja en tu documento.

Releer tu informe una vez terminado es algo muy importante, porque en ese momento estás centrado en leerlo, no en escribirlo. Una segunda lectura te muestra las frases que no tienen del todo sentido, puntos que puedes reescribir para que se entiendan mejor, aspectos del análisis que no han quedado reflejados… vamos, que una segunda lectura SIEMPRE va a hacer que tu informe quede mejor.
[Read more…]

Intimidad del trabajador vs Control empresarial

Seguro que todos hemos oído hablar en alguna ocasión o, conocemos algún caso en el que un trabajador ha sido monitorizado, se ha accedido a su correo electrónico corporativo o, se ha ejercido cualquier tipo de fiscalización por parte del empresario sobre los dispositivos que éste pone a disposición del empleado mientras exista relación laboral.

Desde el punto de vista del empleado, podríamos pensar que el empresario no puede utilizar medios que atenten contra tu privacidad porque, por el mero hecho de firmar un contrato no pierdes o renuncias a los derechos que te son inherentes. Y, por otro lado, desde el prisma del empresario, éste podría pensar que el trabajador desde el momento en el que comienza a formar parte de la entidad, todo lo que hace es propiedad de la empresa y, por ende, tiene derecho a acceder por cualquier medio a la información que contienen los dispositivos.

Como sería de imaginar, no todo es blanco o negro sino que existen escalas de grises. Aunque si bien es cierto que el empresario podrá ejercer su poder de control en base al interés legítimo y la relación laboral que une al trabajador con éste, no podrá ejecutarlo como él quiera pues siempre tendrá que tener en consideración diferentes principios como son:
[Read more…]