¿ EnCase fue Hackeado ?

Esa es la información que fue publicada en ComputerWorld sobre una de las ponencias que se realizará en la BlackHat llamada "Breaking Forensics Software: Weaknesses in Critical Evidence Collection".

Los autores pertenecen a la empresa iSec Partners Inc, y hasta hace unos días no habían incluido ninguna descripción en el cronograma de la BlackHat, mientras que ahora podemos encontrar lo siguiente:

"In this talk, we will present our findings from applying several software exploitation techniques to leading commercial and open-source forensics packages. We will release several new file and file system fuzzing tools that were created in support of this research, as well as demonstrate how to use the tools to create your own malicious hard drives and files."

Según el artículo de ComputerWorld, iSec Partners descubrió fallas de seguridad en EnCase y The Sleuth Kit, que harían que estas dos reconocidas soluciones de análisis forense dejen de funcionar. No esta claro si sería posible ejecutar código arbitrario en el sistema del examinador, o si sería posible contaminar la evidencia que esta bajo investigación.

En cualquier caso, hay muchos ojos que estarán puestos sobre esta presentación, y principalmente de abogados de la defensa a los que les encantaría tener un buen argumento para desestimar análisis realizados con EnCase en la corte.

Lo que podemos dar por seguro, es que los autores de esta presentación deben encontrarse bajo una gran presión si tenemos en cuenta que Guidance Software esta estrechamente ligado al gobierno, y a fuerzas militares y de seguridad de los USA.

Ya sea que esta presentación tenga algo de cierto o no, yo estaré presente en la BlackHat para darles mis comentarios, así que me despido por dos semanas en la que intentaré seguir blogueando! ;)

---> ACTUALIZADO Horas más tarde....

Las vulnerabilidades en cuestión serían las siguientes:

1. [Logical] Disk Image Cannot be Acquired With Certain Corrupted MBR Partition Table.
2. Corrupted NTFS file system crashed EnCase during acquisition.
3. Corrupted Microsoft Exchange database crashes EnCase during multi-threaded search/analysis concurrent to acquisition.
4. Corrupted NTFS file systems Causes Memory Error.
5. EnCase Had Difficulty Reading Intentionally Corrupted NTFS File System Directory.
6. EnCase Crashes When Viewing Certain Deeply Nested Directories.

Guidance Software ha emitido un comunicado respondiendo a cada una de estas vulnerabilidades. Pueden encontrar esta respuesta en los archivos de Bugtraq en Security Focus.

Después de Las Vegas comentaré más sobre esto...

Análisis Forense de Celulares con Neutrino

En mi post del 31 de Mayo "Guidance presenta Neutrino" realice una introducción con algunos detalles técnicos sobre el nuevo producto de Guidance Software para análisis forense de celulares llamado Neutrino. Ahora veamos cómo trabaja...

Una de las cosas más interesantes que podemos encontrar dentro del kit de Neutrino es la bolsa bloqueadora de señales llamada "WaveShield".

WaveShield esta diseñada para bloquear toda comunicación entre nuestro dispositivo y la torre de telefonía celular, lo cual es particularmente importante si dentro de nuestra investigación necesitamos conocer el último paradero del sospechoso.

La caja de Neutrino se conecta con WaveShield a través de un cable RJ45 y un cable USB. Entre estos dos cables podemos ver conectado a un puerto USB de la caja el lector de tarjetas SIM.

A través de una ventana especialmente diseñada en WaveShield podemos visualizar la pantalla del celular y manipularlo sin problemas, ya que el material con el cual fue construida la bolsa protectora es lo suficientemente flexible para hacerlo sin problemas.

Si para nosotros no es importante que el celular tenga comunicación con la torre o con otros dispositivos, también podemos conectarlo directamente a la caja de Neutrino con un cable USB.

Finalmente desde EnCase podemos elegir dentro de una larga lista el celular que tenemos que analizar, y luego de realizar la adquisición de los datos del mismo, por ejemplo podríamos correlacionar toda esta información con datos que hayamos adquirido del disco rígido de una computadora.

Neutrino es un producto realmente innovador, al igual que lo fue EnCase cuando salió al mercado por primera vez. Yo quiero uno! ;)

Metodologías sobre Análisis Forense

Aunque parezca mentira, es muy difícil encontrar en Internet material sobre metodologías y procedimientos de análisis forense.

Sin duda lo podríamos atribuir a que es una ciencia nueva, pero creo que también hay mucha falta de colaboración entre los profesionales del área, y tal vez una cuota de secretismo con todo lo relacionado al tema.

Hace unas semanas, este problema fue tratado en el podcast de CyberSpeak, y a causa de ello algunas organizaciones comenzaron a compartir los documentos que habían desarrollado.

La siguiente es la metodología que utiliza el Departamento de Justicia de los EEUU:

Otros que han publicado sus metodologías fue ACPO "Association of Chief Police Officers" de Inglaterra e Irlanda, pueden encontrar el documento en este link.

Si encuentran algún recurso interesante por favor no duden en enviármelo y yo lo distribuiré desde este Blog.

Aprobé el EnCE (EnCase Certified Examiner)

Sí! después de mucho esfuerzo, especialmente con la Phase II del examen, ayer recibí la noticia de que aprobé el EnCE :)

La Phase I del EnCE, es un examen teórico que se rinde a través de Prometric, mientras que la Phase II es un análisis forense real para el cual te dan 2 meses de tiempo para terminarlo. Para los que no lo saben, Guidance ya no asigna un Tutor a los candidatos de la Phase II del EnCE, por lo que es recomendable tener experiencia con EnCase antes de tomar el examen.

Mas allá de la Phase I y II, el EnCE también tiene otros requisitos que complican su obtención como poseer 18 meses de experiencia como analista forense, 64 horas oficiales de training, y por supuesto el valor del examen que ronda los 850 dólares.

Censuran presentación sobre TPM y BitLocker en la Black Hat

Una de las presentaciones que se encontraba en el Calendario de la Black Hat USA misteriosamente desapareció sin ninguna explicación.

La presentación se llamaba "TPMkit: Breaking the Legend of [Trusted Computing Group's Trusted Platform Module] and Vista (BitLocker)", y prometía demostrar en vivo cómo acceder a los datos de un Windows Vista que posee TPM y BitLocker habilitado.

BitLocker es una tecnología de cifrado de disco de Windows Vista que basa su funcionamiento en guardar unas llaves dentro del chip de hardware TPM.

Los hermanos Kumar, autores de la presentación, no dieron demasiadas explicaciones de porqué debieron retirar su presentación de la Black Hat y solo dijeron que por el momento no iban a hablar más sobre TPM y BitLocker. Mientras que el vocero de la Black Hat dijo que lo único que sabía era que a pedido de los hermanos Kumar se retiro la presentación.

Vía (NetworkWorld).