viernes, 29 de junio de 2007

Todos contra Joanna

Joanna Rutkowska es una investigadora Polaca muy conocida por su trabajo sobre rootkits. Hace poco tiempo Joanna presento Blue Pill, una nueva tecnología de rootkits que los convertiría en 100% indetectables.

Cuatro conocidos investigadores, Dino Dai Zovi, Peter Ferrie de Symantec, Nate Lawson de Root Labs y Thomas Ptacek de Matasano, le han presentado un desafío a Joanna en el cual ellos intentarían desmentir que es posible crear un rootkit 100% indetectable.

Las bases del desafío todavía están siendo discutidas, pero consistiría en que Joanna instalaría Blue Pill en una de 5 laptops exactamente iguales y el grupo desafiante debería poder detectar cual es la laptop que tiene el rootkit instalado.

En un principio, se había hablado que si Joanna ganaba se llevaba las laptops, pero ahora la investigadora le solicito al grupo desafiante que busquen un sponsor para pagarle a ella y a su empresa por el tiempo que tardará en programar el rootkit, alrededor de 6 meses. Lo que Joanna ganaría por presentarse al desafío son 416.000 dólares.

No creo que el desafío llegue a realizarse durante la BlackHat USA en Agosto, en la cual estaré presente ;), pero en esta Joanna realizará una presentación llamada IsGameOver() anyone ? en claro desafío, mientras que los otros investigadores harán una presentación llamada Don't Tell Joanna, The Virtualized Rootkit Is Dead.

Al parecer el ambiente se sigue calentando cada vez más...

ACTUALIZADO 30/06/07

En el Blog de Matasano, Thomas Ptacek, dice que no le van a pagar a Joanna para que acepte el desafío porque ellos ya saben que pueden detectar su rootkit. Joanna estaría pidiendo 384.000 dólares.

Por un lado el argumento de Ptacek es bastante razonable, el se pregunta porque deberían pagarle a otra empresa de seguridad para demostrar algo que ellos dicen estar convencidos de poder hacer, y también argumentan que si ellos no piden dinero para demostrar que pueden detectar el rootkit, la otra parte no debería pedir dinero para demostrar que su rootkit no puede ser detectado.

Pero desde el punto de vista de Joanna, esta más que claro que invertir 6 meses de su tiempo y el de su empresa solamente para aceptar un desafío no es de ninguna manera razonable. Hay que tener en cuenta también, que si efectivamente Blue Pill es 100% indetectable en este momento esa tecnología vale mucho dinero, y si aceptara el desafío tendría que hacer su rootkit Open Source sin ganar absolutamente nada.

No es muy probable que el dinero para el desafío vaya a aparecer, por lo que nos quedaremos con las ganas de ver como sigue todo esto. Pero por el momento, parece que las presentaciones que estos darán en la Black Hat van a ser interesantes ;)

domingo, 24 de junio de 2007

Google podría cortarle el servicio a los usuarios de Gmail de Alemania

Google podría cortarle el servicio a los usuarios de Gmail de Alemania, a causa de una nueva ley aprobada por el país europeo que obligaría a Google a mantener registros identificables de todos los usuarios alemanes de Gmail.

Según Google Blogoscoped, la nueva ley aprobada por el Gobierno Alemán obligaría a los servicios de correo electrónico a mantener registros identificables de sus usuarios. Aún no esta claro de que forma afectaría esto a Google, pero se cree que resultaría en Gmail teniendo que solicitar a sus usuarios una cuenta de correo electrónico verificable y hasta enviándoles un email para comprobar que realmente es verdadera.

Peter Fleischer, el Consejero Global de Privacidad de Google, dijo que "Muchos usuarios alrededor del mundo hacen uso de este anonimato para defenderse del spam, o la represión del gobierno sobre la libertad de expresión... Si la comunidad Web deja de creernos sobre el gran cuidado con el que tratamos su información, dejaremos de existir rápidamente."

Muchos países crean este tipo de leyes en nombre de la lucha contra el terrorismo, pero me pregunto hasta que punto esto no es usado como excusa por algunos gobiernos para avanzar sobre la privacidad de las personas.

Por otro lado, si Google efectivamente toma una acción tan dura como dejar sin servicio a los usuarios de Gmail de Alemania, seguirán cumpliendo con una de sus premisas "Don´t be Evil", y sin duda se ganarán un mayor respeto por parte de todos sus usuarios.

sábado, 23 de junio de 2007

Adquisición de un sistema Windows sobre la red utilizando DD y Netcat

Para realizar este trabajo, vamos a utilizar las versiones de DD y Netcat que se encuentran dentro del FAU "Forensic Acquisition Utilities". El FAU, es un kit de herramientas que corren sobre Windows para analistas forenses, con versiones más especializadas de algunos comandos como DD y Netcat, y con otros muy útiles como Wipe, para borrar archivos de forma segura, fmdata, para obtener los metadatos y verificar los hashes de un archivo, y volume_dump, para visualizar información del disco y sus volumenes.

En Microsoft Windows se referencian los discos con la sintaxis "\\.\PhysicalDrive0", donde el 0 corresponde al número de disco, y si tuviéramos más discos serían 1, 2, 3, etc. Cuando usamos DD, le debemos indicar el parámetro de entrada "if=", que en este caso sería el disco "\\.\PhysicalDrive0" que queremos copiar, y el parámetro de salida "of=", que es la imagen hecha por DD de ese disco, y que en el siguiente ejemplo la vamos a guardar en otro disco local de nuestra computadora que posee la unidad "G:\".

dd.exe if=\\.\PhysicalDrive0 of=G:\DiscoLocal0.img

Hay que tener en cuenta que este tipo de imagenes no van a incluir áreas protegidas como HPA o DCO de los discos ATA. Por otro lado, si quisiéramos realizar solamente la imagen de un volumen del disco, como el "C:\", podríamos utilizar la siguiente sintaxis "\\.\C" en DD.

Cuando usamos Netcat, en primer lugar vamos a dejarlo escuchando en un puerto de nuestra computadora, direccionando todo lo que llegue a este a un archivo, como vemos a continuación:

nc.exe -l 9000 > WinXPvolumeC.img

En segundo lugar vamos a reemplazar la salida del comando DD "of=", por un direccionamiento de Netcat hacia la dirección IP y puerto de nuestra computadora en la red:

dd.exe if=\\.\C | nc.exe 10.1.1.22 9000

Otra cosa muy interesante con valor forense es realizar la imagen de la memoria del sistema, que en Windows se referencia con la siguiente sintaxis "if=\\.\PhysicalMemory", y que podríamos copiarla de la misma foma que en el ejemplo anterior:

dd.exe if=\\.\PhysicalMemory | nc.exe 10.1.1.22 9000

Por ultimo, también podríamos usar DD para realizar un hash MD5 de los datos que estamos copiando, esto es muy útil si queremos verificar que los datos no han sido alterados:

dd.exe if=\\.\C: of=G:\volC.img --md5sum --verifymd5 --md5out=G:\volC.md5

jueves, 21 de junio de 2007

SLURP, o cómo robar WiFi profesionalmente

Un grupo de holandeses crearon lo que llaman SLURP, “the mother of all wardrive boxes”. La idea de esta “caja” es poder escuchar hasta seis señales diferentes de Wireless y combinarlas a todas para sumar su ancho de banda.


SLURP solo escucha por señales Wireless desprotegidas, pero estan evaluando la posibilidad de agregar un crackeo automático de WEP o criptografía simple en futuras versiones.


Slurp corre sobre Debian, y ya presenta algunas dudas como ¿qué software esta utilizando para hacer link-aggregation? ¿es necesario que tenga seis antenas en vez de utilizar solo una?


El costo de esta caja es de 1000 euros, sin impuestos y costo de envío. Próximamente es mi cumpleaños, así que… bueno, ya saben… ;)

miércoles, 20 de junio de 2007

Presentaciones de la CEIC 2007

La CEIC 2007 "Computer and Enterprise Investigations Conference" ya terminó, y han aparecido algunas de las presentaciones en esta web: www.badf00d.com/ceic2007/

Se pueden encontrar algunas cosas muy interesantes sobre NTFS y un análisis de BitLocker.

lunes, 18 de junio de 2007

Los Hackers de Perl son Superhéroes Forenses

Como miembro de la comunidad de Perl Mongers de Argentina no podía dejar de postear esto! Sin duda la fama de los Perl REGEX es altamente valorada en todos los ámbitos, pero especialmente en el campo del Análisis Forense donde es muy común tener que buscar por un grupo de caracteres en discos rígidos de cientos de Giga Bytes.

Ahora me pregunto, ¿ porque algunos softwares comerciales de análisis forense todavía siguen usando el limitado GNU GREP ?


Esta historieta pertenece al blog de Alexander Geschonneck. Les recomiendo que lo visiten ya que van a encontrar cosas muy interesantes.

viernes, 15 de junio de 2007

Nuevo DOC sobre Análisis Forense de Celulares

Un nuevo documento llamado “Guidelines on Cell Phone Forensics” ha sido publicado por el NIST. Este documento no intenta ser un estándar para la práctica del análisis forense en celulares, pero sin duda es un importante aporte para desarrollar metodologías en esta área.

A continuación les presento un breve comentario sobre los capítulos más interesantes:

Capítulo 3: discute las herramientas forenses para celulares que podemos encontrar en la actualidad y los tipos de dispositivos con los que estas trabajan.

Capítulo 5: consideraciones a tener en cuenta para preservar la evidencia digital asociada a los celulares, algo muy importante en un análisis forense.

Capítulo 6: examina el proceso de adquisición de evidencia de celulares y de los equipos periféricos relacionados. Muy interesante.

Capítulo 7: describe algunos lugares en donde se puede encontrar evidencia para un caso, y las capacidades que cada herramienta posee para examinar datos.

domingo, 10 de junio de 2007

Analizando archivos de Link

Para un análisis forense en el que me encuentro trabajando, tenía que probar que el sospechoso había utilizado un disquete que se encontró tirado cerca de la escena del crimen. Afortunadamente, esto resulto muy sencillo de hacer gracias a los metadatos que se encuentran en los archivos Link de Windows.

Los archivos Link no solo tienen el path completo del archivo destino, por ejemplo “A:\documentos\info.doc”, sino también el tamaño en bytes del documento y los tiempos de creación, modificación y último acceso de este.

Uno de los metadatos más interesantes es el “Volume Serial Number”, que es el código del volumen en donde un archivo o directorio ha sido guardado. Esto por ejemplo, nos permitiría identificar unívocamente que un archivo ha sido guardado en un disquete o pen-drive en particular.

Si a todo esto le sumamos que cada vez que abrimos un documento en Windows, un Link se crea en la carpeta “Recent”, podemos encontrar en los archivos Link una importante fuente probatoria para un análisis forense.

EnCase trae módulos para buscar y parsear archivos LNK automáticamente dentro de un caso, pero sino también pueden utilizar este programa que decodifica la información de estos archivos como se muestra a continuación:

sábado, 2 de junio de 2007

Forensics & Anti-Forensics en la BlackHat

En Agosto voy a estar en Las Vegas para la BlackHat USA. Sin dudas, me encuentro muy pendiente del Schedule de este año, pero especialmente con lo que respecta a Forensics.

Aun falta terminar el Schedule en algunos tópicos, pero el de Forensics & Anti-Forensics está listo y es el siguiente:

  • "A Picture's Worth..." by Dr. Neal Krawetz: Esta charla cubre algunos métodos forenses que permitirían identificar si una imagen es real, o si ha sido modificada o generada por computadora.
  • "Database Forensics" by David Litchfield: No hay una descripción sobre el contenido de esta charla, pero hay que tener en cuenta que ultimamente Litchfield ha estado trabajando mucho sobre análisis forenses en Oracle.
  • "Blackout: What Really Happened..." by Jamie Butler & Kris Kendall: Esta charla aborda los ataques de code injection, ejemplos reales de malware que utiliza estas técnicas y una discusión sobre nuevas técnicas forenses para analizar la memoria.

Todas muy interesantes, y sin dudas el análisis forense sobre base de datos es lo más novedoso de este año, pero las que me parecen que son imperdibles son Blackout y Breaking Forensics Software ;)

LinkWithin