Informatica Forense

Los días 29 y 30 de julio se llevo acabo el evento de seguridad informatica Segurynfo organizado por YanapTI con el apoyo de Cosim TI, tambien  estuvo presente Avira Antivirus, el evento tuvo un lleno total!!.

Avira Antivirus:

HACKING
LOCAL DE SERVIDORES NAS

Fuente:
Israel Rosales

Cada vez es mayor
la necesidad de las empresas en contar con reservas para almacenar sus grandes
volumenes de datos en medios digitales. Sin duda en el mercado  hay un sinfin
de opciones a esta necesidad, algo que percibi es q esta demoda la utilizacion de
los famosos discos lacie, no solo por su capacidad de arreglo para redundancia
de discos, sino porque tambien ofrece las ventajas de administrarlo en red via
Active Directory y almacenar Teras de información (7,5 Tb, 8 Tb, etc).  En su
modo NAS (Network Attached Storage) es bastante utilizado en las
entidades financieras como repositorio de backups y storage de videograbaciones
para camaras de seguridad.El caso es que los Lacie rackeables incluyen en su
estructura logica una version reducida de Windows XP, conocida como Embedded  (XPe)
la cual soporta al software de administracion de este dispositivo, lo curioso
aqui es una pequena vulnerabilidad en Windows XPe  permite escalar
privilegios para obtener shell de system.

Primero que nada,
su software de administración por web  o escritorio remoto (figura de abajo), 
es bastante pobre y ofrece muy pocas opciones de verdadero control del equipo.
En definitiva se debe contar con un Servidor de Directorio Activo para
gestionar de manera optima el tema de  grupos vs autorizacion t usuarios vs
permisos para la NAS.    

Dentro la Terminal
lo que si se puede hacer es presionar Ctrl + Shift + Esc, para poder abrir el
manejador de tareas de WinXPe.

Una vez abierto el
manejador nos vamos al menú HELP y elegimos la opción About Task Manager
(figura de arriba). Esto abrirá about de win XPe como muestra la figura de
abajo.

El link para ver el
acuerdo de licencia abre un block de notas:

Luego en menú File,
escogemos la opción Open, la cual nos lleva a file chooser:

Como se puede
apreciar en la figura de arriba, nos muestra las dos unidades lógicas de disco
(Recordemos que una NAS Lacie de 8 TB incorpora en realidad 5 discos duros en
su interior). Ahora solo queda hacer click derecho sobre la unidad C, que es donde
esta instalado WinXPe (la unidad D por defecto viene a ser el storage). Con
esto se obtiene una ventana de explorador con todos los permisos:

Soluciones a esto?.
Si nuestra NAS ya cuenta con datos – y por cierto muy sensibles  si se tratara
por ejemplo de grabaciones de cámaras, volúmenes de backups, etc. No seria muy
buena idea estar reinstalando firmware, por que el riesgo de que pierdas tus
valiosos datos existe.  La opción que creo quizá es la mas practica, seria
cambiar de nombre al ejecutable explorer de Windows, …..si si tu
diras       - Pero esto es seguridad por obscuridad. Y es cierto, pero
para eso existen los controles compensatorios de tu red, segmentacion por
areas, puertos, de dominio, etc.  

Fuente: www.forensic-es.org

Los discos duros precisan de unas condiciones específicas de trabajo. Hoy en día los ordenadores trabajan 24 horas al día debido en parte al aumento de las conexiones de banda ancha a Internet en la oficina y los hogares. Los discos duros deben tener una temperatura de funcionamiento de entre 5°C y 55°C según especificación de cada fabricante, para así asegurar el correcto funcionamiento; superar esta temperatura en el interior de la caja del ordenador hace que el disco duro deba trabajar en condiciones inadecuadas.

Todas las piezas mecánicas del disco duro tienen cierto grado de contracción y dilatación. Aunque pensemos que la carcasa del disco es un bloque de aluminio rígido indeformable no es cierto, ya que las piezas se deforman en mayor o menor medida con los contrastes de temperatura. Si dentro del disco duro una cabeza lectora necesita posicionarse con una precisión de nanómetros para leer una pista de datos, un desequilibrio en la carcasa que lo sustenta puede producir, y de hecho produce, que no consiga leer correctamente una pista que había sido escrita en otras condiciones.

Pero así como un temperatura baja facilita el correcto funcionamiento del disco duro y consigue alargar su vida útil, lo más importante para el disco duro es que la temperatura sea constante. Si durante la mañana el ordenador trabaja a una temperatura baja por efecto del aire acondicionado y por la tarde se apaga el aire y aumenta la temperatura en 15 o 20 °C, el disco duro estará trabajando en condiciones de gran contraste de temperatura.

Lo mismo ocurre cuando durante el día hay calefacciones encendidas que generan una alta temperatura, al finalizar la jornada se apagan dichas calefacciones y por la noche las temperaturas bajan muchísimos grados debido a la época del año: en estos casos los discos duros soportan contrastes de temperatura extremos y perjudiciales.

Un disco duro que sufre de descompensación térmica comenzará a dar errores de lectura esporádicamente; estos errores de acceso generan bloqueos del sistema operativo y finalmente la imposibilidad total de acceso al disco duro. Es muy importante prevenir o detectar a tiempo estos problemas, ya que el propio Sistema Operativo ante dichos errores y al intentar corregirlos, puede generar la pérdida total de la estructura del sistema de archivos.

Estos contrastes de temperatura provocan daños mecánicos en uno o varios de los elementos internos del dispositivo, siendo necesario realizar la apertura de segura del disco duro para poder observar el fallo y corregirlo si fuera posible. La apertura del disco duro es una operación delicada que sólo debe realizarse en un ambiente limpio y controlado, libre de partículas de polvo que puedan depositarse sobre la superficie del plato y causar mayores daños al mismo.

Estos procesos sólo pueden ser realizados por una empresa profesional de recuperacion de datos que disponga de la maquinaria específica y el personal cualificado necesario para ello.

Un ingeniero en computación alemán dijo el lunes que ha quebrado el código secreto usado para cifrar la mayoría de las llamadas de teléfonos móviles del mundo.

En un intento por exponer los agujeros en la seguridad de los sistemas inalámbricos mundiales, Karsten Nohl de 28 años quebró el algoritmo de GSM de 21 años de edad, el cual es usado para cifrar el 80 por ciento de las llamadas celulares del mundo, según informa el New York Times.

Nohl reveló su logro en el  Chaos Communication Congress de Berlín, Alemania. Dijo que 24 personas trabajaron independientemente para reproducir el libro de códigos, o registro binario de código, para el algoritmo, el cual contiene el equivalente de dos terabytes de información.

Anunció sus intenciones de quebrar el algoritmo de GSM en una conferencia en Agosto.

Leer todo el contenido…

Un conjunto de herramientas forenses permite entre sus multiples funciones recuperar las claves de cifrado de Bitlocker para examinar el contenido de volumens cifrados con esta tecnología.

El producto denominado Passware Password Recovery Kit Forensics (u$s795) incluye entre otras muchas funcionalidadezs de recupero de contraseñas, la posibilidad de recuperar las claves de cifrado de Bitlocker, para poder realizar tareas de informática forense sobre discos o equipos cifrados.

Aparentemente la posibilidad de quebrar Bitlocker se basaría en analizar el archivo de imagen de memoria almacenado en el disco. Por tal motivo imaginamos como una posible protección, configurar una política de eliminar el archivo de paginación al apagar el equipo, posibilidad que existe en Windows desde su version NT.

Entre otras características el programa también aprovecha la existencia de multiples CPUs y GPUs (procesadores gráficos de placas de video avanzadas como las usadas para juegos) para reducir el tiempo de ataques por fuerza bruta a contraseñas.