En un intento por exponer los agujeros en la seguridad de los sistemas inalámbricos mundiales, Karsten Nohl de 28 años quebró el algoritmo de GSM de 21 años de edad, el cual es usado para cifrar el 80 por ciento de las llamadas celulares del mundo, según informa el New York Times.

Nohl reveló su logro en el  Chaos Communication Congress de Berlín, Alemania. Dijo que 24 personas trabajaron independientemente para reproducir el libro de códigos, o registro binario de código, para el algoritmo, el cual contiene el equivalente de dos terabytes de información.

Anunció sus intenciones de quebrar el algoritmo de GSM en una conferencia en Agosto.

Según se informa, la  Asociación GSM dijo que las acciones de Nohl eran ilegales en EEUU y en el Reino Unido, y dijeron que es improbable que Nohl haya realmente quebrado el código.

Se informa que Nohl dijo que el libro de códigos está disponible en Internet mediante BitTorrent.

La cuestión central de todo esto: ¿deben los carriers inalámbricos y/o el gobierno tomar más medidas para asegurar la seguridad de las llamadas de celulares GSM?

El algoritmo GSM es un algoritmo A5/1, un código binario de 64 bits ahora un poco pasado de moda en comparación con los códigos de 128 bits usados actualmente para cifrar llamadas en las redes de tercera generación. Un sucesor, denominado algoritmo de cifrado A5/3, fue desarrollado más tarde, pero la mayoría de los operadores de redes aún no lo han implementado.

Conocido experto en cifrado, Nohl tiene un PhD. en ingeniería de computación de la Universidad de Virginia. A comienzos de este año, presentó las debilidades en el algoritmo de seguridad de los teléfonos inalámbricos, llamando al DECT Forum, un grupo de estándares, a revisarlo (.pdf). Nohl ha estudiado previamente la seguridad de los sistemas RFID.

Cerca de 3.500 millones de las 4.300 millones de conexiones inalámbricas de todo el mundo usan GSM. En Norteamérica, 299 millones de consumidores usan esta tecnología.

Traducción: Raúl Batista – Segu-info
Autor: Andrew Nusca
Fuente: Blogs ZDNet

Aparentemente la posibilidad de quebrar Bitlocker se basaría en analizar el archivo de imagen de memoria almacenado en el disco. Por tal motivo imaginamos como una posible protección, configurar una política de eliminar el archivo de paginación al apagar el equipo, posibilidad que existe en Windows desde su version NT.

Entre otras características el programa también aprovecha la existencia de multiples CPUs y GPUs (procesadores gráficos de placas de video avanzadas como las usadas para juegos) para reducir el tiempo de ataques por fuerza bruta a contraseñas.

Decaf es una aplicación liviana que monitorea en los sistemas Windows la presencia de COFEE, un paquete de unas 150 herramientas de apuntar y cliquear usadas por la policía para recolectar evidencia digital en la escena del crimen. Cuando se introduce una memoria USB, que contiene las herramientas de Microsoft, en una máquina protegida, Decaf ejecuta automáticamente una variedad de contra-medidas.

“Queremos promover un tráfico libre saludable e irrestricto en Internet y mostrar porqué las fuerzas policiales no deben basarse solamente en Microsoft para automatizar su búsqueda inteligente de evidencia,” le dijo a The Register uno de los dos hackers detrás de Decaf al explicar el objetivo del proyecto.

Microsoft ha estado sirviendo COFEE gratuito a los oficiales de fuerzas policiales desde mediados de 2007. Abreviatura de Computer Online Forensic Evidence Extractor, empaquetan herramientas forenses en una memoria USB de fácil uso que les permite a los investigadores recolectar historial de  navegación archivos temporales y otros datos sensibles de la mayoría de las máquinas basadas en Windows. COFEE es distribuido a través de la Interpol.

El mes pasado, cuando COFEE se filtró en la red, Microsoft minimizó las preocupaciones respecto que la fuga le pudiera permitir a los hackers la creación de contramedidas. Representantes de Redmond no estuvieron inmediatamente disponibles para comentarlo el domingo a ultimas horas de la noche.

Decaf dispone de una enorme variedad de contramedidas de usuario contra COFEE. Además de destruir archivos temporales apenas en segundos de detectar los archivos o los procesos asociados con la herramienta de investigación, Decaf también puede borrar todos los registros de COFEE, deshabilitar los discos USB, y contaminar o falsificar una variedad de direcciones MAC. La próximas versiones prometen agregar características que permitan al usuarios bloquear de forma remota los sistemas protegidos.

El programa comenzó a alimentar un tracker privado de BitTorrent el domingo por la tarde, y poco después, fue publicado aquí. The Register no pudo analizar de inmediato el ejecutable de 181kb para confirmar su realiza lo que se promociona.

La publicación de Decaf sigue a la fuga del mes pasado de COFEE. Mientras tanto, abogados de Microsoft, demandaron la eliminacion de COFEE de sitios tales como Crytome, el genio ya está fuera de la botella. Al día de hoy COFEE sigue disponible en Wikileaks.

Mientra que los hackers hacen disponible el ejecutable de Decaf, no están liberando el código fuente por temor, dicen ellos, que las firmas sean usadas para ingeniería reversa. La licencia de acuerdo para usuarios final que acompaña al programa establece: “Ud. no desensamblará, descompilará, o hará ingeniería reversa en el total o en parte, excepto hasta donde es permitido expresamente por la ley. Ud. no usará DECAF con propósitos ilegales. Ud. cumplirá con todas las leyes de exportación. DECAF es licenciado, no es vendido.”

Mas información en:
COFEE para todos. Microsoft invita
Instalación, Configuración y Uso del Microsoft Cofee

Fuente: The Register UK

Hace solo unas horas me enteré de un hecho bastante cómico a la vez de controversial relacionado con el aplicativo Autopsy.

Resulta que en el año 2007 un programa de televisión realizó una nota a una persona (Juan Fernando Jaramillo) sobre lo innovadora de su empresa y sobre las herramientas utilizadas en sus procesos.

Esta nota dió a entender que este grupo de empresarios eran los desarrolladores del software Autopsy. Dicha nota además sirvió al autor del blog el Lado Oscuro (no confundir con Un Informático en el Lado del Mal de Chema Alonso) para acercar a sus lectores sobre procesos de informática forense, el software Autopsy y su autor.

El contenido del corto video realmente nos dá a entender esto… el joven empresario manifestó que pensaba desarrollar una solución software de código libre que permitiera administrar y gestionar casos y procesos forenses… y justo en ese momento y por azares del destino veíamos la interfaz web Autopsy y cómo venían implementando en su “invento” el paso a paso en un análisis forense digital.

Lo “cómico” de este asunto (para mi) no es la autoría del Autopsy  (por que todos sabemos que finalmente será propiedad de Microsoft), pues en ningún momento se manifiesta explícitamente que dichos empresarios sean los autores de esta herramienta. No lo expresa ni el joven Juan Fernando Jaramillo ni los autores de la nota en video… El único que generó dicho interrogante fue el autor del blog El Lado Oscuro… Y así lo pensamos todos los que vimos el video y las coincidencias entre las imágenes y el parlamento del joven y los periodistas.

El motivo de este post es debido a las conversaciones y respuestas generadas a raiz de dicha publicación. Es cómico encontrarnos como siempre con las típicas respuestas de que todos los que aparecen en televisión hablando de seguridad informática sean “script-kiddies, lammers, newbies, etc” y que quienes respondan en los post siempre son los H4×0rs 31173 de la super muerte.

Aquí un ejemplo de un experto (Abogado Alexánder Días) hablando sobre legislación en seguridad informática. (Porque no todo es malo lo que se ve en TV)

http://tinyurl.com/yeg6mda

Otro de los puntos que quiero resaltar es sobre las supuestas amenazas de identificación y rastreo por parte del joven Juan Fernando Jaramillo (supuestas por que no podemos dar completa fé de que él sea el autor de éstas.), quién manifestaba que pondría todo su empeño y conocimiento para rastrear a un personaje público en internet.

1 – Aclarar que si es posible publicar video extensos en google video y no solo en este servicio, sino que muchos otros de internet (vimeo, Seven Upload, etc..) Sería bueno ver la totalidad de dicho video. Este espacio está disponible para la publicación del mismo.

2 - Según vemos en el blog, el autor siempre firma como Lado Oscuro al inicio de sus post y como Carlos S. Alvarez al final de los mismos… No entiendo lo del afán de “descubrir” quien se “esconde” detrás de dicho seudónimo.

3 - Supongamos que sólo tenemos el nick Lado Oscuro, sabemos dónde publica y el medio utilizado y queremos obtener más información sobre dicha persona (esto suponiendo que no leímos el final de cada post y no veíamos el nombre del personaje).

Para ello utilizaremos google (una herramienta solo manejable por hackers de alto nivel):

http://www.google.com.co/search?hl=es&q=%22Lado+Oscuro%22+%2BEl+Tiempo+%2BBlogs&btnG=Buscar&meta=&aq=f&oq=

Allí nos encontramos con el blog oficial del personaje y su verdadero nombre (Carlos S. Alvarez)

Esta información es más que suficiente para encontrar otros datos relacionados con una persona. Lo frustrante del “reto” es que en la misma página el autor siempre firmó con su verdadero nombre y nunca escodió su identidad como aseguraba la contraparte.

De todas maneras veamos que información podemos obtener con el nombre Carlos S. Alvarez, y  la herramienta de alto nivel google (solo para h4×0rs) y una que otra utilidad en internet:

http://www.alfa-redi.org/miembro.shtml?x=1145

Con solo leer el primer párrafo podemos darnos cuenta que “este tío es la leche”. Por tanto y si es ésta persona y todo lo que se dice allí es verdad, sólo podemos afirmar que Carlos Alvarez sabe de lo que habla en su blog.

Pero dejemos de lado a google, y veamos otra herramienta más entretenida y más gráfica.

Maltego

Es una herramienta para la obtención de información en internet que le permitirá visualizar las relaciones entre los resultados de las búsquedas. MALTEGO permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos una consulta para el nombre Carlos S. Alvarez :

Según los resultados obtenidos y si la magia no miente podemos completar el nombre a Carlos Santiago Alvarez Cabrera.

Veamos entonces los resultados a una búsqueda para el nombre completo (relaciones entre ambos)

Finalmente veamos la relación entre todos los implicados (Carlos, Juan, ElTiempo y por supuesto Autopsy XD)

Es broma XD

No queda duda de la identidad de Carlos S. Alvarez, y se me hace extraño que Juan Jaramillo no conociera a este reconocido experto en Seguridad Informática de Colombia.

Ahora desde otros servicios en internet

http://www.spock.com/q/%5ECarlos-Santiago-Alvarez-Cabrera%5E

http://www.123people.com/s/carlos+santiago+alvarez+cabrera/world

http://pipl.com/search/?FirstName=carlos+santiago&LastName=alvarez+cabrera&City=&State=&Country=CO&CategoryID=2&Interface=1

Como conclusión a este “mi post Flame” XD sólo queda hacer un llamado a la mesura cuando nos manifestemos y nos expresemos en internet, muy poco de este contenido podrá ser eliminado y sólo quedará el sin sabor y arrepentimiento de lo dicho.

Como segunda y última conclusión vemos que tan sencillo puede ser el rastreo de una persona en internet y todo el abanico de herramientas disponibles para ello…

Fuente: www.dragonjar.org

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

• Datos volátiles.
• Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

Fuente: www.dragonjar.org