viernes, 26 de octubre de 2007

ekoparty en Clarín

Hoy en Clarín, el gran diario argentino, salió una mención a la ekoparty security conference que se llevará a cabo el 30 de Noviembre y el 1 de Diciembre en el Hotel Bauen de la Ciudad de Buenos Aires.

En la versión impresa del diario pueden encontrar el articulo en la página 42.


También lo pueden encontrar en la versión online del diario en este link:

http://www.clarin.com/diario/2007/10/26/sociedad/s-04220.htm

Si todavía no tienen su entrada dense prisa porque hay cupos limitados y se están por agotar muy pronto!!

domingo, 21 de octubre de 2007

Hashing con md5deep

Se encuentra disponible la versión 2.0 de md5deep de Jesse Kornblum, una herramienta multi-plataforma que sirve para comprobar la integridad de los archivos utilizando una firma "hash" de los mismos.

md5deep puede realizar el hashing de los archivos utilizando los algoritmos MD5, SHA-1, SHA-256, Tiger o Whirlpool. Funciona bajo Windows, Linux, xBSD, Mac OS X, OpenSolaris y HP/UX, y dentro de sus principales características podemos encontrar:

  • Operación Recursiva: examina recursivamente dentro de un árbol de directorios y realiza un hash de cada archivo encontrado.
  • Comparación: puede aceptar una lista de hashes y compararla con un grupo de archivos.
  • Estimación de Tiempo: puede calcular el tiempo estimado cuando procesa archivos muy grandes.
  • Hashing por Pedazos: puede realizar el hashing de archivos separados en bloques.
  • Tipo de Archivo: realiza el hashing solo a un determinado tipo de archivo como block devices, archivos comunes, etc.

En el siguiente ejemplo, realizamos un hashing recursivo de todos los archivos que se encuentran dentro del directorio "/bin", para ello utilizamos la sintaxis: "md5deep -r /bin"


También podríamos redireccionar la salida a un archivo, para crear un "set de hashes":

md5deep -r /bin > hash-bin.txt

y luego con la opción "-m" podríamos comparar que archivos que se encuentran dentro del directorio "/bin" tienen el mismo hash que alguno de los que se encuentra dentro de "hash-bin.txt":

md5deep -m hash-bin.txt -r /bin/

con la opción "-x" podríamos visualizar solamente los archivos que se encuentran dentro del directorio "/bin" y cuyo hash no es igual a ninguno de los que se encuentra dentro del archivo "hash-bin.txt":

md5deep -x hash-bin.txt -r /bin/

Esto es muy útil para la búsqueda de archivos en un sistema, o para comparar nuestros archivos con una lista de hashes de rootkits o backdoors conocida.

Dentro de las nuevas features de md5deep, podemos encontrar soporte para los hash sets de EnCase (archivos .hash), soporte para archivos que poseen caracteres Unicode en su nombre bajo Windows, y algunos Bugs corregidos.

jueves, 18 de octubre de 2007

ekoparty security conference!

Ya se encuentra abierta la registración para la ekoparty security conference que tendrá lugar en Buenos Aires el 30 de Noviembre y 1 de Diciembre en el Hotel Bauen!


Al ser uno de los Organizadores de la ekoparty, me alegra mucho poder anunciar esto en mi Blog después de taaaanto trabajo. Creo que si todo el grupo de Organización hubieramos sabido de antemano a lo que nos enfrentabamos lo hubieramos pensado dos veces... y todavía no termina :)

En el website de la ekoparty www.ekoparty.com.ar ya se encuentra disponible una lista de los Oradores confirmados, y próximamente confirmaremos algunos más. Muchos de estos Oradores han presentado en conferencias de primer nivel como la Black Hat, HITB y otras.

Yo también realizaré una presentación llamada "Antiforensics 101". Debido a todas las tareas organizativas del evento aun no he tenido tiempo de agregar al website una descripción de la charla y mi bio, pero lo agregaré cuanto antes.

Hasta el 31 de Octubre tienen la entrada con descuento, asi que registrense YA!!

lunes, 15 de octubre de 2007

IMF 2007 - Presentaciones Disponibles

Se encuentran disponibles las presentaciones de la IMF 2007 - International Conference on IT-Incident Management & IT-Forensics que tuvo lugar en Stuttgart, Alemania.

La IMF 2007 presento las siguientes sesiones:

  • Key Note About the Role of IT Security in The Information Society
  • A Common Process Model for Incident Response and Computer Forensics
  • IT Incident Management and Structured Documentation
  • Proposal Of A System For Computer-Based Case And Evidence Management
  • Information-Sharing System for Vulnerability Information Dissemination in Large-Scale Organization
  • IT based crime: Evidence Collection & Legal Restrictions in Investigation Cases
  • A Case Study on Constructing a Security Event Management System
  • Taxonomy of Anti-Computer Forensics Threats
  • Testing Forensic Hash Tools onSparse Files
  • Towards Reliable Rootkit Detection in Live Response
  • The Security Landscape in a Converged IP World
  • WS 1 “Computer Forensics: High-tech tools for a high-tech problem”
  • WS 2 "Octave - Operationally Critical Threat, Asset, and Vulnerability EvaluationSM"
  • WS 3 "Memory Analysis on the Microsoft Windows Platform"
  • WS 4 "Workshop on X.805 Security architecture for systems providing end-to-end communications"
  • WS 5 "Virtualisation of forensic Images"

Tambien les dejo un documento llamado "Windows Memory Analysis Cheat Sheet" que sumariza los comandos y herramientas utilizados por Osterberg y Schuster para su Work Shop de analisis de memoria llamado "Memory Analysis on the Microsoft Windows Platform".

jueves, 11 de octubre de 2007

Clonando SIM Cards y Desmantelando Tu Celular

Para los cellphone freakies les presento un documento muy ilustrativo sobre como clonar tarjetas SIM, y un website que te muestra paso por paso como desmantelar diferentes modelos de celulares.

Esta guía de clonado de tarjetas SIM fue escrita en el 2002 y fue una de las primeras en presentar a la telefonía móvil como evidencia digital en la comunidad forense. Si bien esta guía ya tiene unos años, no hay mucha información sobre este tema y todo lo expuesto es 100% aplicable en la actualidad.


Hace unos días estaba Webeando y encontré un site llamado "The Home Of Dismantle Instructions For Mobile Phones", en donde como su nombre lo indica, se muestra paso por paso como desmantelar diferentes modelos de celulares.

Algunas fotos del desmantelamiento de un Motorola V3...



domingo, 7 de octubre de 2007

Recuperando Archivos Borrados con Scalpel

Scalpel es un programa Open Source para recuperar archivos borrados basado originalmente en foremost pero mucho mas rápido y eficiente.

Scalpel utiliza una técnica llamada In-Place File Carving. El File Carving es una conocida técnica para recuperar archivos borrados que consiste en identificar una secuencia de caracteres que algunos archivos utilizan en su comienzo y en su final. Por ejemplo, un archivo JPEG utiliza la secuencia "\xff\xd8\xff\xe0\x00\x10" en su comienzo, y la secuencia "\xff\xd9" en su final.

El File Carving es efectivo pero consume mucho espacio y tiempo, ya que copia todos los datos desde la secuencia de comienzo al final en un nuevo archivo, mientras que el In-Place File Carving simplemente loguea las posiciones de comienzo y final de los archivos, también lleva cuenta de los sectores que ya han sido asignados a un archivo, y permite acceder los archivos encontrados a través de un sistema de archivos virtual.

Scalpel puede ser compilado en Linux, Windows o Mac OS X de una forma muy sencilla. Para utilizarlo debemos indicarle cual es el archivo de configuración, en donde guarda las firmas de comienzo y final de los archivos, y cual es la imagen del disco que vamos a utilizar.


Hay que tener en cuenta que debemos quitar los comentarios de las firmas que queremos buscar en el archivo de configuración, y previamente debemos de haber realizado la imagen de un disco o una partición.

Para realizar la imagen de un disco pueden ver mi post "Adquisición de un sistema Windows sobre la red utilizando DD y Netcat".

LinkWithin