No es una... BOMBA!

Hace unos días se armó un gran revuelo a causa de una estudiante del MIT que fue detenida en un aeropuerto por llevar algo que ella consideraba “arte”.

La pieza en cuestión, era una sudadera que al frente tenía pegado un circuito plástico junto a una batería de 9 voltios.

Creo que cualquier persona en el mundo conoce lo paranoicos que son en los aeropuertos de EEUU, no solo los de TSA, sino también los de Migraciones. Por ello es que muchos han comenzado a tomarse este hecho con un poco de gracia ;)

Más info:

• MIT Coed in Alleged Bomb Hoax Known as Free Spirit
• MIT student arrested at Logan in bomb scare
• MIT student arrested for entering Boston airport with "fake bomb"

Opciones de Seguridad en MacOSX

Siempre fui un gran detractor de las Mac, y solía llamarlas MacinTrash o MacinCrap, pero desde que Mac se paso a Intel con las MacBook estoy totalmente enamorado de estas laptops.

Si bien MacOSX esta basado en FreeBSD, todos los días descubro algo nuevo de este SO, y para quienes nos encontramos en el campo forense no esta de más conocer algunos de sus "artifacts".

Este es un screenshot de la configuración de seguridad de mi MacBook "Negra" ;)

Una de las features que más me gusto es FileVault, que automáticamente cifra todo el contenido de tu Home utilizando AES de 128 bits, y permite la creación de un Master Password para descifrar el Home en caso de que un usuario se haya olvidado el password o haya abandonado la empresa.

Otras opciones interesantes son la "Encrypted Virtual Memory", que cifra todo el contenido de la RAM que es utilizado para swap, y "Permanent file deletion", que permite borrar los archivos utilizando un algoritmo de 7 pasadas sobre estos.

Por default Bluetooth esta activado, por lo que es recomendable desactivarlo si no lo vamos a usar, y lo mismo pasa con el control remoto infrarojo que viene con la MacBook.

Si quieren revisar un poco más en detalle las features de seguridad de MacOSX aquí pueden encontrar más información.

La Escena Del Crimen

Imaginen que son llamados como peritos forenses a un allanamiento, y al llegar se encuentran con la siguiente escena del crimen, por donde comenzarían a trabajar ?

El solo tener que pensar en todas las cosas que debemos tener en cuenta es un gran dolor de cabeza, pero una improvisada lista de ítems podría ser esta:

• Lo mas importante es nuestra seguridad, así que imaginemos que los peritos criminalísticos han retirado los fusiles apoyados en la pared y la pistola que esta en la mesa, y han recolectado huellas digitales, restos orgánicos, evidencias, etc.
• Solamente tenemos los equipos informáticos. Un primer paso seria realizar un inventario de todo lo encontrado, fotografiar las pantallas, la disposición de los dispositivos y como estos se encuentran conectados.
• Si estamos seguros de que no vamos a modificar la evidencia podríamos verificar por procesos corriendo, conexiones realizadas, etc.
• Luego desconectaríamos a estos dispositivos de la red, y según el sistema operativo, en este caso puedo ver OSX, Windows y Linux, deberíamos proceder a apagar las computadoras, desenchufar el cable de energía del gabinete, o mandar a hibernar al equipo según cada caso, para poder conservar el estado de la memoria y evitar modificar la evidencia.
• También puedo ver un iPhone, o tal vez sea un iPod, y discos de almacenamiento externo. Todo esto, junto a los otros dispositivos, deberían ser debidamente guardados y etiquetados para ser llevados al laboratorio. Por supuesto asegurándonos de en ningún comprometer la cadena de custodia.
  

Una vez en el laboratorio, allí comienza la verdadera diversión, principalmente cuando descubramos que no tenemos suficiente espacio en disco para realizar las imágenes de todos los dispositivos encontrados, que debemos analizar cientos de Gigas de información en diferentes sistemas operativos, y hasta que tenemos que analizar dispositivos celulares.

Pero eso es solo un detalle, como alivio sabemos que solamente con esta imagen de la escena del crimen podemos demostrar que el sospechoso no se dedicaba al diseño de páginas web.

Esta imagen pertenece a la "oficina" de David Maynor, el mismo que fue echado del X-Force de ISS por presentar en la Black Hat un bug 0-day en los routers Cisco, y cuando le preguntaron "que hacia para vivir ?" ya que tenia tantas computadoras, armas, drogas y efectivo en su oficina, respondió... "I fix problems". :)

Certificaciones de Análisis Forense

Todos los que trabajamos en IT conocemos la importancia de las certificaciones hoy en día, no solo para probar nuestros conocimientos, sino también para conseguir un mejor sueldo.

Para todos los interesados en comenzar a especializarse en el análisis forense, aquí les dejo una lista de las certificaciones más conocidas:

Certificaciones de Fabricantes

• EnCE, "EnCase Certified Examiner"
• ACE, "AccessData Certified Examiner"

Certificaciones Genéricas

• SANS GCFA, "GIAC Certified Forensics Analyst"
• CHFI, "Computer Hacking Forensic Investigator"
• CFCE, "Certified Forensic Computer Examiner"
• CCE, "Certified Computer Examiner"
• CCFT, "Certified Computer Forensic Technician"

Cual es la mejor ? eso depende de los objetivos de cada uno, pero puedo decirles que haciendo una búsqueda de empleos en el campo forense he visto que las más solicitadas son la EnCE, GCFA y ACE. Generalmente se solicita una de estas en conjunto con alguna otra de seguridad como la CISSP.

Bin Laden esta muerto

Esto es lo que Neal Krawetz no duda en sentenciar después de haber visto el ultimo video de Bin Laden del 7 de Septiembre.

Neal Krawetz es un reconocido experto en seguridad y en la ultima Black Hat realizo una presentación sobre como detectar modificaciones en una imagen digital. Después de esta presentación, muchos hackers alrededor del mundo suelen enviarle fotos para que el pueda analizarlas y detectar adulteraciones.

Cada vez que aparece un nuevo video de Al Qaeda, Neal es consultado sobre la veracidad de los mismos, y lo mas interesante es que para la comunidad hacker, Neal tiene mas credibilidad que la propia CIA.

En mi post del 23 de Agosto "Una imagen vale mas..." tienen un poco mas de detalle sobre las técnicas utilizadas por Neal, y si quieren saber más sobre el análisis del video pueden visitar su Blog: http://www.hackerfactor.com/blog/

DRFWS 2007 - Presentaciones Disponibles

La DRFWS (Digital Forensic Research Workshop) es una prestigiosa conferencia en donde se presentan los últimos trabajos realizados por la comunidad forense.

Las presentaciones de este año ya se encuentran disponibles, y es importante destacar los trabajos realizados en el área de memoria volátil.

La DRFWS 2007 presento las siguientes sesiones:

SESSION 1: Physical Devices

• Forensic Memory Analysis: From Stack and Code to Execution History.
• BodySnatcher: Towards Reliable Volatile Memory Acquisition by Software.
• The VAD Tree: A Process-Eye View of Physical Memory.

SESSION 2: Search Techniques

• Multi-Resolution Similarity Hashing.
• Digital Forensic Text String Searching: Improving Information Retrieval Effectiveness by Thematically Clustering Search Results.
• Specifying Digital Forensics: A Forensics Policy Approach.
  

SESSION 3: Log Files

• Introducing the Microsoft Vista Log File Format.
• Automated Windows Event Log Forensics.
• Analyzing Multiple Logs for Forensic Evidence.
  

SESSION 4: Tools

• Capture - A Tool for Behavioral Analysis of Applications and Documents.
• File Marshal: Automatic Extraction of Peer-to-Peer Data.
• A Brief Study of Time.
  

SESSION 5: File Extraction / Carving

• Massive Threading: Using GPUs to Increase the Performance of Digital Forensics Tools.
• Carving Contiguous and Fragmented Files with Object Validation.
  

SESSION 6: Low Level Digital Evidence

• An Efficient Technique for Enhancing Forensic Capabilities of Ext2 File System.
• Issues with Imaging Drives Containing Faulty Sectors.
• Forensic Data Recovery and Examination of Magnetic Swipe Card Cloning Devices.