Forensic FOCA
Hola!
Muy buenas a todos/as!
Si, otra herramienta llamada FOCA! Si seguís este blog o el de Chema os sonará el nombre de la herramienta.
FOCA es una de las herramientas mas útiles en la parte de fingerprinting. Te ayuda en el tema de metadatos, vulnerabilidades, la parte de descubrir roles, servidores etc…
Desde hacía tiempo barajaban ideas de poder hacer una versión para analistas forenses.
Esta versión al igual que la FOCA Pro será de pago, aunque no es cara ni mucho menos. No hay excusa para no comprar si os gusta.
Para descargar la versión de prueba de la FOCA podemos encontrarla aquí.
Una vez descargada la herramienta, solo tenemos que instalarla, una vez hecho iniciamos la herramienta.
La interfaz está muy cuidada como pasaba con la versión de la FOCA.
EL siguiente paso,
En un análisis forense no haremos la parte de recolección de documentos dado un dominio web como teníamos con FOCA, así que le indicamos el Source desde donde Forensics FOCA emepzará la recolección de documentos.
En la versión trial sólo nos deja documentos word, ejecutables e imágenes. En mi caso he hecho la prueba con un único Word.
En el proceso del análisis forense será necesario tener una integridad de los ficheros es por eso que Forensic FOCA nos permite realizar el MD5 SHA-1 etc..
Eso si es una opción que sea recursiva así puedes añadir la carpeta padre! 
Aquí tenemos un perfecto resumen del documento, tenemos un resumen de los datos mas importantes, para una vista previa del análisis es perfecto.
Esta parte sin duda es la mas buscada por la herramienta que sea capaz de hacer un timeline de sucesos es una de las partes mas buscadas ya que la faena del analista es mucho mas sencilla para saber que ha pasado.
Y por último
Igual que estábamos acostumbrados con FOCA, tenemos un listados de la información que ha podido extraer, como por ejemplo suaurios, carpetas, contraseñas etc….
Sin duda una herramienta muy interesante y lo mas importante, para los amantes de una GUI gráfica es hacer varios clicks para extraer mucha información útil.
Saludos
Marmita – Detectando ataques man in the middle
Hola!
Muy buenas a todos/as!
Los ataques man in the middle dan mucho juego a la hora de poder realizar muchos ataques. Desde simplemente hacer un man in the middle para ver que peticiones realiza un cliente. Además otras técnicas se basan en la idea de un man in the middle, por ejemplo cuando ciertos troyanos realizan los ataques MITB, es decir, cuando infectan la máquina son capaces de modificar las páginas webs que recibe el navegador de la víctima.
En este esquema podemos ver como actúa un ataque man in the middle:
En el primer esquema, tenemos una red LAN, en la cual tenemos dos usuarios. El usuario Devil User intentará hacer un ataque de man in the middle al otro user. SI consiguiera perpetuar el ataque, el esquema podría quedar así.
Para detectar estos tipos de ataque en la LAN podemos usar varios métodos, uno de ellos es el software Marmita.
Marmita se encarga de monitorizar el HOST por si es atacado por un ataque man in the middle.
Para descargar Marmita podemos hacerlo desde aquí
Como requisito, has de tener instalado Winpcap
La herramienta tiene este aspecto:
La herramienta ofrece varias opciones, por ejemplo el de empezar la detección, nada mas iniciar el sistema operativo, que es lo interesante.
Marmita tiene este aspecto:
La herramienta es bastante intuitiva y podemos rápidamente acceder a la información que nos interesa directamente.
Por ejemplo la información de la tabla ARP
Cuando Marmita detecte el ataque man in the middle arrojará un aviso bastante claro, además de un globito de notificación.
Marmita intentará identificar quien está haciendo el ataque Man in the middle, este ataque quedará registrado en los logs, para poder consultar mas tarde.
Marmita tiene una pestaña de histórico de ataques, donde podremos consultar el historial. En este historial sale reflejada la hora, la MAC, el tipo de ataque, el nombre del atacante…
Además, si recordamos la primera imagen donde salian las preferencias de Marmita, existe una de que Marmita pueda mitigar los ataques man in the middle. En este caso observamos como Marmita detecta el ataque ARP Poisoning.
Sin duda es una herramienta que puede ser muy útil para tu sistema Windows, te animo a probarla!
Saludos
Recomendación de Domingo: Libro´”Máxima seguridad en Windows”
Hola!
Muy buenas a todos/as!
Intentaré los Domingos por cambiar un poco el asunto poner alguna recomendación de páginas/proyectos/libros que esté leyendo actualmente o bien que sean de mi interés.
En el artículo de hoy tráigo uno de los libros que mas me ha gustado de carácter técnico. El libro es “Máxima Seguridad en Windows” el libro editado por Informática64 y escrito por el GRAN Sergio de los Santos cubre aquellas necesidades que la gente necesita sobre securizar su Windows.
Sergio tiene mucha experiencia con malware y con sistemas Windows, es un crack y lo puedes obervar en charlas a las que he podido verle como por ejemplo en el Asegura IT Camp 3 donde dió una charla en la que pude ver en directo el pedazo de profesional que es.
Y respecto al libro obervando el índice que ya vi en el Asegura IT Camp 3 me entraron muchas ganas de leerlo. El índice lo podemos ver aquí.
Cuando empecé la lectura del libro tenía muy claro que acabaría aplicando fuego purificador a mi instalación de Windows es decir, formateando la instalación actual y volver a instalar Windows 7 y configurarlo de manera seguro. Ya he retocado cosas del registro, cambiado el UAC configurado el firewall desde cero… he aprendido muchas cosas internas de Windows y que NO conocía, pero que de momento puedo ir tranquilo sion antivirus porque yo se que aplicaciones hacen cada cosa en mi sistema operativo.
Desde luego una lectura recomendada.
Podéis adiquirir el libro aquí
Así que ya sabéis haced vuestro pedido
Saludos
AseguraITCamp 3
Hola!
Muy buenas a todos/as!
Este fin de semana ha transcurrido el AseguraITCamp3, la agenda prometía como cada año, así que con ilusión me puse en marcha a Madrid.
Igual que el año pasado los chicos de Informática64 me acogieron en la empresa. He de dar las gracias a Pablo de Informática64 y que también está en Flu-Project.
Pablo me vino a buscar a Informática64 para comer, que me invitó a un chino, que estaba muy bueno, ya había ido otras veces. Por la tarde estuve observando como preparaba su charla de Windows 8, el nuevo sistema operativo de Microsoft que si no me equivoco dará a luz en un año y medio mas o menos, la beta está disponible por si queréis descargarla.
Luego de la mano de Alex, Alberto y Francisco Oca, si, el de la FOCA, nos fuimos dirección el Escorial, donde se celebraba el campamento.
Llegamos bastante justos para la cena, así que la noche para mi, fue breve no quise continuar mucho la fiesta, que al siguiente día había que estar pronto despierto.
La agenda del día era:
| Horario | Ponencia |
| 08:00 – 09:00 | Desayuno |
| 09:00 – 10:00 | Bitdefender: Advanced Persistant ThreadsPedro Sánchez y Horatiu Claudiu Bodoiu de Bitdefender, serán los encargados de dar la primera sesión de la mañana hablando de las Amenazas Persistentes Avanzadas. Atacantes con conocimiento técnico elevado que suponen peligros latentes para las empresas, ya que están esperando un fallo en el sistema de seguridad para acabar tomar control de la víctima. Casos como el de RSA, Comodo o el más reciente DigiNotar alertan de la peligrosidad de este tipo de ataques hoy en día. Pedro y Horatiu, mostrarán algunos casos en detalles, para que se pueda comprobar el nivel de sofisticación que tienen algunos de ellos. |
| 10:00 – 11:00 | Como hacer un forense a un iPhone sin iPhone: Juan Garrido “Silverhack”, analista forense y mago de la improvisación nos mostrara como utilizar las iPhone triana tools para, con arte, imaginación y sin un pavo, triunfar en un análisis forense a un iPhone y todo ello sin ver el iPhone. |
| 11:00 – 11:45 | Descanso |
| 11:45 – 12:45 | Windows 8: ¡Live!Windows 8 ya esta aquí, o casi, pero en Informática 64 esta definitivamente porque ya tenemos seminarios planificados sobre Windows 8. En esta sesión Pablo Gonzalez presentará las principales novedades de Windows 8 funcionando en un equipo de verdad (no un tablet) y todo ello ¡Live! |
| 12:45 – 13:45 | Sergio de los Santos – Máxima Seguridad en WindowsSergio de los Santos, autor del libro “Máxima Seguridad en Windows” presentará su libro en esta charla mostrando algunos de los secretos contenidos en el nuevo libro, haciendo demostraciones prácticas que harán las delicias de los más paranoicos de la seguridad informática. |
| 13:45 – 14:00 | Tiempo de PreguntasEste espacio, si Sergio de los Santos lo deja, servirá para resolver preguntas, pero conociendo a Sergio de los Santos, es probable que directamente sea absorbido por la profundidad y espectacularidad de sus habituales charlas. |
| 14:00 – 16:00 | ComidaRancho, rancho, rancho, que luego hay que volver al tajo tan pancho. |
| 16:00 – 16:45 | Nikotxan – La nueva aventuraNiko, creador de Cálico electrónico regresa por tercer año consecutivo al Camping para enseñarnos sus últimos trabajos en la nueva Nikotxan. Además, nos enseñara algunas cosas nuevas y tal vez, solo tal vez, nos desvele el futuro del superheroe español más famoso de todos los tiempos. |
| 16:45 – 17:00 | Descanso |
| 17:00 – 18:00 | Chema Alonso – TBDNo sabemos el qué, pero algo contará Chema Alonso, si no… siempre puede hacer dibujitos de No Lusers… o algo…
PD: Lunes 17 y todavia no sabemos que poner aquí… |
| 18:00 – 19:00 | Mikel Gastesi y Dani Creus – Fraude OnlineEn esta charla se hablará de cómo funcionan los sistemas de Fraude Online, aprovechando para presentar su nuevo libro “Fraude Online: Abierto 24 x 7″. Una sesión fantástica para acabar el día, e irnos a la siguiente parada: el Cenote. |
| 21:00 – … | Cenote de gañoteQue también será rancho, no os penséis que habéis venido aquí a comer como reyes… |
La agenda estaba bastante completa.
En la primera charla teníamos a Horatio y Pedro Sánchez, Pedro, no pudo venir, espero que todo te vaya bien Pedro!
En la charla de APT, Horatio dio un repaso a las diferentes fases de un ataque APT, repercusiones en el ataque además de casos conocidos. Una charla bastante interesante y una visión de un fabricante de seguridad.
La segunda charla venía de Juan Garrido “Silverhack” como no, el crack sevillano nos deleito con una charla de forense en Iphone con las copias de seguridad. Bastante interesante, además de que se curró sus propios scripts para hacer la extracción de datos, Juan eres un crack!
Después del descanso tuvimos la charla de Windows 8 con Pablo González, Pablo que es un crack hizo la charla dinámica explicó las novedades del sistema operativo, y es que trae nuevas novedades en autenticación, en sistema de archivos incluso. Podremos tener mas noticias en el blog de Windows Técnico.
Después de la charla de Pablo entró en escena Sergio de los Santos de Hispasec, Sergio innovó con una DEMO nueva, además es autor del libro Máxima Seguridad en Windows.
Después de la charla de Sergio de los Santos fue la hora de comer y, igual que el año pasado nos dieron de comer rancho 
Después de comer fue la hora del mas hacker de los dibujantes Nikotxan, que explicó como se hacía una animación en flash.
A diferencia del año pasado, Chema este año se dedicó a no explicar nada en si XD, rellenó el tiempo de la charla y explicó demos que había echo y cosas de Informática64
Y, después de la charla de Chema Alonso vinieron los cracks de Dani Creus y Mikel Gastesi. Ellos son los autores del libro Fraude Online, que ya hace días que está disponible en la web de Informática64, pídelo! Dani y Mikel, hicieron un repaso de como está el Fraude, historia, métodos, herramientas etc..
Después de la charla de Dani y Mikel, ya se había acabado el ciclo de charlas del AseguraITCamp3, sólo quedaba la fiesta de la cual no habrán fotos, al menos por mi parte 
En la noche tuve de compañero de futbolín a Chema, el cual tuvo que sufrir mis goles en propia puerta
También tuve a oportunidad de charlar con Francisco de Cyberhades, el cual me ofreció echar una mano en Cyberhades para lo que necesitase. Francisco eres un crack!
La mañana del Domingo, se tuvo que recoger y por la tarde me pudo recoger mi amigo Ramiro, me enseñó un poco de Madrid y procuró que no me perdiese, hasta mi llegada a Barcelona. Te debo una Ramiro!
Y hasta aquí la crónica del AseguraITCamp3
