Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 30 de noviembre de 2008

Open Source Intelligence con Exomind

Dando la última vuelta por la web, antes de ir a soñar con lo que sea :), he rebotado contra una herramienta llamada Exomind desarrollada por la gente de Core Labs, concebida para hacer OSINT en recursos tales como redes sociales, mensajería instantánea y buscadores web.

Según leo en el sitio web, esta herramienta se encuentra escrita en Python y orientada a plataformas GNU/Linux. Promete ser de mucha utilidad en lo que se refiere a la obtención de información.

Para descargar Exomind pueden hacerlo desde aquí, y para obtener mayor información desde este otro enlace.

# pistus

Ver más

martes, 18 de noviembre de 2008

Configuraciones por defecto: la misma historia de siempre

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre :-) y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.


La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.


Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y... adivinen qué?


Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.



Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.


Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

# pistus

Ver más

domingo, 16 de noviembre de 2008

Extracción forense de información de archivos thumbs.db

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados. El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción "Mostrar archivos ocultos", aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado, sobre los que podéis obtener más información en MSDN.

Extracción de información

Para nuestro experimento vamos a coger un fichero Thumbs.db públicamente accesible, por ejemplo, alguno de estos. También necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

El resultado de la ejecución es el siguiente:

sergio@nas:~/thumbs$ vinetto Thumbs.db

Root Entry modify timestamp : Thu Mar 22 20:51:51 2007

------------------------------------------------------

0001 Thu Mar 22 16:53:30 2007 {A42CD7B6-E9B9-4D02-B7A6-288B71AD28BA}
0002 Fri Dec 29 20:38:00 2006 boton_panel-pln-on.gif
0003 Fri Dec 29 20:38:00 2006 _boton_panel-hab-off.gif
0004 Fri Dec 29 20:38:00 2006 _boton_panel-hab-on.gif
0005 Fri Dec 29 20:38:00 2006 boton_panel-det-off.gif
0006 Fri Dec 29 20:38:00 2006 boton_panel-det-on.gif
0007 Fri Dec 29 20:38:00 2006 boton_panel-fts-off.gif
0008 Fri Dec 29 20:38:00 2006 boton_panel-fts-on.gif
0009 Tue Jan 30 19:41:06 2007 boton_panel-hab-off.gif
0010 Tue Jan 30 19:43:30 2007 boton_panel-hab-on.gif
0011 Fri Dec 29 20:38:00 2006 boton_panel-itn-off.gif
0012 Fri Dec 29 20:38:00 2006 boton_panel-itn-on.gif
0013 Fri Dec 29 20:38:00 2006 boton_panel-pln-off.gif
0014 Thu Jan 18 13:41:22 2007 boton-detalles.gif
0015 Thu Jan 18 13:41:44 2007 boton-obtenga_su_presupuesto.gif
0016 Thu Jan 18 13:53:36 2007 boton-obtenga_su_presupuesto_personalizado.gif
0017 Wed Jan 17 18:29:38 2007 boton-seleccionar.gif
0018 Thu Feb 1 12:45:52 2007 boton-vea_su_presupuesto.gif
0019 Wed Feb 7 17:24:56 2007 encabezado.jpg
0020 Thu Mar 22 20:06:28 2007 telefono-callcenter.gif
0021 Fri Dec 29 20:38:00 2006 boton_panel-pub-off.gif
0022 Fri Dec 29 20:39:00 2006 boton_panel-pub-on.gif
0023 Fri Dec 29 20:38:00 2006 boton-aceptar.gif
0024 Fri Dec 29 20:38:00 2006 boton-buscar.gif
0025 Thu Mar 22 20:50:12 2007 telefono-encabezado.gif
0026 Thu Mar 22 20:18:18 2007 telefono-presupuesto.gif
0027 Fri Dec 29 20:39:00 2006 titulo-buscador.gif
0028 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-off.gif
0029 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-on.gif
0030 Fri Dec 29 20:39:00 2006 titulo-inicio.gif
0031 Fri Dec 29 20:39:00 2006 titulo-promociones.gif

------------------------------------------------------

Como podéis comprobar, el fichero contiene, para cada imagen existente en ese directorio, una relación de fechas y horas de última modificación, así como nombre de los ficheros que contenía el directorio en el momento de generar el archivo de caché de miniaturas.

¿Para qué perder el tiempo analizando estos ficheros?

Como resulta fácil imaginar, el principal uso que se le puede dar a esta herramienta forense es tratar de demostrar la existencia de un fichero de imagen en un momento dado en un equipo que está siendo analizado. Aunque no genere pruebas irrefutables, ya que para eso haría falta que Thumbs.db contuviera hashes de los ficheros previsualizados, lo que ralentizaría el funcionamiento del equipo, puede resultar útil para establecer, en un proceso de investigación, un punto de partida: tener indicios sobre si un fichero con un nombre y una fecha de modificación determinada estuvo o no presente en un directorio en un momento determinado.

¿Puedo evitar la generación de ficheros Thumbs.db?

Sí. En el menú Herramientas de cualquier carpeta del sistema, seleccionamos Opciones de Carpeta, pestaña Ver y activamos la entrada “No alojar en caché las vistas en miniatura”. Nótese que la desactivación de esta función ralentiza la previsualización de miniaturas.

De un modo paralelo, obviamente, hay que eliminar los ficheros ya existentes.

Fuente: http://www.sahw.com

# pistus

Ver más