domingo, 26 de agosto de 2007

Investigando a Safari en MacOSX

Mientras disfruto de la "iLife" con mi nueva MacBook Negra, me puse a investigar que podía encontrar relacionado al análisis forense en MacOSX y me tope con un toolkit muy interesante llamado SFT.

SFT significa "Safari Forensic Tools" y contiene un set de programas muy interesantes para analizar a Safari en MacOSX. Podemos descargar SFT en dos formatos, uno con los binarios para Linux y otro con el código fuente para ser compilado en OSX o Linux.

Safari en OSX, guarda en el directorio "/Users/(usuario)/Library/Safari" la mayoría de los archivos que utiliza:

- History.plist: historial de las paginas web visitadas.
- Downloads.plist: historial de los archivos descargados.
- Bookmarks.plist: listado de las URL guardadas.
- Icons/: cache con los archivos favicon.ico.

Los archivos binarios "property list" o ".plist" suelen ser usados para guardar la configuración de los usuarios, similar a la Registry en Windows. (Mas info: en.wikipedia.org/wiki/Plist)

Ahora veamos de que forma podemos extraer información de estos archivos:

- History.plist:
KFS$ ./safari_hist /Users/KFS/Library/Safari/History.plist

El comando "safari_hist" extraerá del archivo "History.plist" la URL del website visitado, la fecha y hora de la ultima visita, la cantidad de visitas y el nombre de la pagina.

- Bookmarks.plist:
KFS$ ./safari_bm /Users/KFS/Library/Safari/Bookmarks.plist

El comando "safari_bm" extraerá del archivo "Bookmarks.plist" la URL del website guardado, su titulo y bajo que sección se encontraba.

- Downloads.plist:
KFS$ ./safari_downloads /Users/KFS/Library/Safari/Downloads.plist

El comando "safari_downloads" extraerá del archivo "Downloads.plist" la URL del website desde donde se descargo el archivo, los bytes transmitidos, el lugar donde se guardo el archivo y en que estado finalizo la descarga.

- Icons/:
KFS$ ./safari_icon_osx /Users/KFS/Library/Safari/Icons/00/07/3279106052-3693059452.cache

La versión 2.x de Safari guarda un cache de los archivos "favicon.ico" y metadatos relacionados de cada website en un directorio con este formato:
"/Users/(usuario)/Library/Safari/Icons/XX/XX/xxxxxxxxxx-xxxxxxxxxx.cache".
El comando "safari_icon_osx" extrae del archivo ".cache" la URL del website que contenía el archivo favicon.ico y la fecha y hora en que el cache fue guardado en el disco.

Otro directorio muy importante para nosotros, es en donde Safari guarda las Cookies: "/Users/(usuario)/Library/Cookies", en donde encontraremos el archivo "Cookies.plist" con todas las cookies recibidas por los websites visitados.

KFS$ ./safari_cookies /Users/KFS/Library/Cookies/Cookies.plist

El comando "safari_cookies" extraerá de la Cookie, la fecha de creación y expiración, el dominio y el path del website, y los datos que contiene la Cookie.

SFT fue desarrollado por Jake Cunningham y puede ser descargado en jafat.sourceforge.net.

viernes, 24 de agosto de 2007

Descubriendo qué programas fueron ejecutados en Windows

Se publicó una nueva herramienta llamada UserAssist que nos permite visualizar una lista de los programas que fueron ejecutados en un sistema Windows, junto a la cantidad de veces que cada programa se ejecutó, y la última fecha y hora de utilización.

Windows Explorer suele mostrar esta información en la parte izquierda del Start menu de XP, y la lista de los programas usados frecuentemente es guardada en la Registry de Windows bajo la siguiente key:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist

Cuando UserAssist es ejecutado descifra los datos de la Registry y los visualiza como vemos a continuación:


Sin dudas esta pequeña herramienta puede aportar información muy importante a cualquier examinador forense.

Su autor, Didier Stevens, publicó UserAssist junto al código fuente del programa en su website. Para poder utilizar UserAssist, primero hay que tener instalado el .NET Framework 2.0 runtime.

jueves, 23 de agosto de 2007

Una imagen vale más...

Hace unos días, unos amigos querían hacerle una broma a otro recortando su cara de una fotografía digital para pegarla en el fotomontaje de una gran estrella del cine para adultos. Más allá de lo infantil de esta situación, debo admitir que el fotomontaje quedó muy bien, y prácticamente no se podía detectar a simple vista que era una foto trucada.

Esto me recordó una de las presentaciones de la Black Hat llamada "A Picture's Worth..." por Neal Krawetz de Hacker Factor Solutions, en donde se expusieron nuevas técnicas para el análisis forense de imágenes digitales.


Básicamente, Neal expuso el poder que tienen hoy en día las imágenes, planteo cuales son los problemas para detectar la manipulación de imágenes y describió las técnicas que se podrían usar para detectar una imagen modificada.

Las técnicas presentadas fueron las siguientes:
  • Observation
  • Basic Image Enhancements
  1. Color Tweaking
  • Image Format Analysis
  1. Meta Data Analysis
  2. Quantization Table Fingerprinting
  3. Estimated Compression Level
  • Advanced Image Level
  1. Error Level Analysis
  2. Principle Component Analysis
  3. Wavelet Transformations


Neal publicó en su website el código fuente de JpegQuality, una de las herramientas que presento en la Black Hat para visualizar las "quantization tables" y estimar la calidad de una imagen con formato JPEG. Todavía no se encuentran disponibles la presentación y el whitepaper pero me imagino que solo será cuestión de tiempo.

martes, 21 de agosto de 2007

Artículo de la Revista Prensario TI

Para todos los que me consultaron por el artículo que escribí para la Revista Prensario "TI Empresas", finalmente aquí lo tienen... disculpen la calidad de la imagen pero como no tenía un scanner a mano decidí sacarle una foto.

Este es un artículo no-técnico sobre análisis forense que se publicó en la edición número 73 (Julio 2007) de la revista, y el artículo se encuentra en la Página 90.

sábado, 18 de agosto de 2007

¿ Qué se dijo sobre The Sleuth Kit y EnCase en la Black Hat ?

Con mucha expectativa por parte del público, iSec Partners presento las vulnerabilidades descubiertas en The Sleuth Kit y EnCase.


Básicamente eran las que ya se habían hecho públicas unas semanas antes, que incluían ocultamiento de información, denegación de servicio e infinitos loops que causaban la no respuesta de ambos programas. Pero quedo claro que en ningún caso se pudo realizar una ejecución de código arbitrario en la computadora del Examinador, ni tampoco un compromiso de la evidencia adquirida, algo que había generado una preocupación importante.

Una novedad se produjo en el caso particular de EnCase Enterprise Edition v6, donde se presento una debilidad en el método criptográfico con el cual el SAFE verifica la identidad de una computadora a ser adquirida. Esto crearía la oportunidad para un atacante de realizar un hijacking de un sistema que recibió un pedido de adquisición, y donde el atacante podría enviarle al Examinador/SAFE otra imagen de disco alternativa. Este ataque en particular es solo para la versión Enterprise de EnCase que trabaja sobre la red, y no afecta a adquisiciones de datos que se hayan hecho en forma directa o a través del disco físico.

En mi opinión, las vulnerabilidades que podemos llegar a encontrar en el campo son las que provocan una denegación de servicio, ya que son generadas con el simple malformamiento de archivos, directorios, links y sistemas de archivos, pero hay que tener en cuenta que si bien solo se habló de TSK y EnCase, estas vulnerabilidades seguramente afectan a todos los programas conocidos de análisis forense.

Esperemos que todos los desarrolladores comiencen a focalizar aun más su atención en los estándares de seguridad con los que hacen sus productos.

A modo de anécdota, se realizó en la Black Hat la primera edición de los Pwnie Awards (ver caballito dorado), y EnCase quedo en cuarto lugar después de BMC, OpenBSD Y Norman Antivirus, en la categoría "Pwnie for Lamest Vendor Response".

martes, 14 de agosto de 2007

Todo llega a su fin...

Y sí... todo llega a su fin, después de dos días de Black Hat en Las Vegas y un par de semanas en New York, ayer a las 5 AM regresé de un verano espectacular al crudo invierno de Buenos Aires que todavía no termina.

La Black Hat estuvo muy buena, en los próximos días postearé algunos comentarios sobre las presentaciones en las que estuve, pero mientras tanto les dejó algunas fotos…

Johnny Long cerrando el primer día de la Black Hat, con su presentación No-Tech Hacking.


El Caesars Palace de Las Vegas al atardecer, este es el hotel donde tuvo lugar la Black Hat.


El Apple Store de New York, que lo visité casi diariamente (también por el aire acondicionado y porque tenía Wireless Free).


Aquí me encuentro jugando con un iPhone, una pena que estén tan caros (500 dólares) porque están muy pero muy buenos.


Pero debo admitir que no resistí la tentación y me compré una MacBook negra que ya tendrá un capítulo aparte en este Blog ;)

LinkWithin