Informatica Forense

Los días 29 y 30 de julio se llevo acabo el evento de seguridad informatica Segurynfo organizado por YanapTI con el apoyo de Cosim TI, tambien  estuvo presente Avira Antivirus, el evento tuvo un lleno total!!.

Avira Antivirus:

HACKING
LOCAL DE SERVIDORES NAS

Fuente:
Israel Rosales

Cada vez es mayor
la necesidad de las empresas en contar con reservas para almacenar sus grandes
volumenes de datos en medios digitales. Sin duda en el mercado  hay un sinfin
de opciones a esta necesidad, algo que percibi es q esta demoda la utilizacion de
los famosos discos lacie, no solo por su capacidad de arreglo para redundancia
de discos, sino porque tambien ofrece las ventajas de administrarlo en red via
Active Directory y almacenar Teras de información (7,5 Tb, 8 Tb, etc).  En su
modo NAS (Network Attached Storage) es bastante utilizado en las
entidades financieras como repositorio de backups y storage de videograbaciones
para camaras de seguridad.El caso es que los Lacie rackeables incluyen en su
estructura logica una version reducida de Windows XP, conocida como Embedded  (XPe)
la cual soporta al software de administracion de este dispositivo, lo curioso
aqui es una pequena vulnerabilidad en Windows XPe  permite escalar
privilegios para obtener shell de system.

Primero que nada,
su software de administración por web  o escritorio remoto (figura de abajo), 
es bastante pobre y ofrece muy pocas opciones de verdadero control del equipo.
En definitiva se debe contar con un Servidor de Directorio Activo para
gestionar de manera optima el tema de  grupos vs autorizacion t usuarios vs
permisos para la NAS.    

Dentro la Terminal
lo que si se puede hacer es presionar Ctrl + Shift + Esc, para poder abrir el
manejador de tareas de WinXPe.

Una vez abierto el
manejador nos vamos al menú HELP y elegimos la opción About Task Manager
(figura de arriba). Esto abrirá about de win XPe como muestra la figura de
abajo.

El link para ver el
acuerdo de licencia abre un block de notas:

Luego en menú File,
escogemos la opción Open, la cual nos lleva a file chooser:

Como se puede
apreciar en la figura de arriba, nos muestra las dos unidades lógicas de disco
(Recordemos que una NAS Lacie de 8 TB incorpora en realidad 5 discos duros en
su interior). Ahora solo queda hacer click derecho sobre la unidad C, que es donde
esta instalado WinXPe (la unidad D por defecto viene a ser el storage). Con
esto se obtiene una ventana de explorador con todos los permisos:

Soluciones a esto?.
Si nuestra NAS ya cuenta con datos – y por cierto muy sensibles  si se tratara
por ejemplo de grabaciones de cámaras, volúmenes de backups, etc. No seria muy
buena idea estar reinstalando firmware, por que el riesgo de que pierdas tus
valiosos datos existe.  La opción que creo quizá es la mas practica, seria
cambiar de nombre al ejecutable explorer de Windows, …..si si tu
diras       - Pero esto es seguridad por obscuridad. Y es cierto, pero
para eso existen los controles compensatorios de tu red, segmentacion por
areas, puertos, de dominio, etc.  

Fuente: www.forensic-es.org

Los discos duros precisan de unas condiciones específicas de trabajo. Hoy en día los ordenadores trabajan 24 horas al día debido en parte al aumento de las conexiones de banda ancha a Internet en la oficina y los hogares. Los discos duros deben tener una temperatura de funcionamiento de entre 5°C y 55°C según especificación de cada fabricante, para así asegurar el correcto funcionamiento; superar esta temperatura en el interior de la caja del ordenador hace que el disco duro deba trabajar en condiciones inadecuadas.

Todas las piezas mecánicas del disco duro tienen cierto grado de contracción y dilatación. Aunque pensemos que la carcasa del disco es un bloque de aluminio rígido indeformable no es cierto, ya que las piezas se deforman en mayor o menor medida con los contrastes de temperatura. Si dentro del disco duro una cabeza lectora necesita posicionarse con una precisión de nanómetros para leer una pista de datos, un desequilibrio en la carcasa que lo sustenta puede producir, y de hecho produce, que no consiga leer correctamente una pista que había sido escrita en otras condiciones.

Pero así como un temperatura baja facilita el correcto funcionamiento del disco duro y consigue alargar su vida útil, lo más importante para el disco duro es que la temperatura sea constante. Si durante la mañana el ordenador trabaja a una temperatura baja por efecto del aire acondicionado y por la tarde se apaga el aire y aumenta la temperatura en 15 o 20 °C, el disco duro estará trabajando en condiciones de gran contraste de temperatura.

Lo mismo ocurre cuando durante el día hay calefacciones encendidas que generan una alta temperatura, al finalizar la jornada se apagan dichas calefacciones y por la noche las temperaturas bajan muchísimos grados debido a la época del año: en estos casos los discos duros soportan contrastes de temperatura extremos y perjudiciales.

Un disco duro que sufre de descompensación térmica comenzará a dar errores de lectura esporádicamente; estos errores de acceso generan bloqueos del sistema operativo y finalmente la imposibilidad total de acceso al disco duro. Es muy importante prevenir o detectar a tiempo estos problemas, ya que el propio Sistema Operativo ante dichos errores y al intentar corregirlos, puede generar la pérdida total de la estructura del sistema de archivos.

Estos contrastes de temperatura provocan daños mecánicos en uno o varios de los elementos internos del dispositivo, siendo necesario realizar la apertura de segura del disco duro para poder observar el fallo y corregirlo si fuera posible. La apertura del disco duro es una operación delicada que sólo debe realizarse en un ambiente limpio y controlado, libre de partículas de polvo que puedan depositarse sobre la superficie del plato y causar mayores daños al mismo.

Estos procesos sólo pueden ser realizados por una empresa profesional de recuperacion de datos que disponga de la maquinaria específica y el personal cualificado necesario para ello.

Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algun acto ilegal o si alguien modifico o realizo alguna operacion que no deberia haber realizado en esa maquina, aqui les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con Microsoft Windows.

Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:
Leer todo el contenido…

 El mayor evento de informática forense con expositores nacionales e internacionales que sera realizado en la ciudad de La Paz Bolivia y es organizado por la empresa Yanapti S.R.L.(www.yanapti.com)

Para saber mas detalles sobre este gran evento ingrese a www.infoforense.com