Buscar este blog

miércoles, 9 de agosto de 2017

iPhone: Device Paired Tool para saber qué iPhone o iPad se conectó a tu Windows o macOS y protegerte


Ya por todos es conocido el riesgo que existe cuando un iPhone es conectado a un equipo. Desde el equipo pareado con el terminal iPhone se pueden hacer muchos ataques a iPhone para robarle datos, troyanizarlo, etcétera. Una de las debilidades conocidas por todos.

Figura 1: iPhone: Device Paired Tool para saber qué
iPhone o iPad se conectó a tu Windows o macOS y protegerte

Como ya sabéis, hace ya más de tres años impartí una charla en la que hablaba precisamente de esto. De que cuando se parea un terminal iPhone con un equipo Windows, la seguridad del terminal queda delegada a la seguridad del terminal Windows.

Figura 2: Tu iPhone es tan (IN)seguro como tu Windows

Sobre este tema estuve hablando con mi amigo Kevin Mitnick por una vídeo conferencia hace ya un par de años cuando estaba escribiendo su última novela titulada "The art of invisibility". Este fue uno de los cosas que surgió y nos preguntamos cómo revisar un equipo para saber qué terminales iPhone se conectaban allí o lo que es lo mismo, cuáles son los terminales que estarían pareados y que han dado una prioridad especial al equipo.

At Vegas, my friend Kevin Mitnick gave me his last book "The art if invisibility". After, I realised that in page 85 he wrote about "his friend Chema Alonso's talk" about Owning bad guys {and mafia} using JavaScript Botnets. Great! }:D https://youtu.be/Ys6Tntgox1c

A post shared by Chema Alonso (@chemaalonso) on Jul 26, 2017 at 4:34am PDT

Con esto en mente, y teniendo en mente la publicación de la 2ª Edición del libro de Hacking iOS: iPhone & iPad, le pedí a mis compañeros que hicieran una pequeña herramienta para poder no solo revisar la lista de dispositivos pareados, sino también que se pudieran eliminar esas claves.

Figura 4: Libro Hacking iOS: iPhone & iPad 2ª Edición

Así surgió primero el módulo de Metasploit que hizo Pablo González (@pablogonzalezpe) para, una vez llegado a un equipo, buscar estos dispositivos pareados, tal y como vimos en el artículo ¿Qué dispositivos iOS se han pareado con este Windows o macOS?.

Figura 5: Módulo iPhone Pairing Detector para Metasploit

Y para los usuarios de Windows y macOS, mis compañeros Rodolfo Bordón y Ioseba Palop hicieron sendas herramientas para los dos sistemas operativos que se llamaron Device Paired Tool.

Figura 6: Device Paired Tool en ElevenPaths para Windows y macOS

Su funcionamiento es muy sencillo. Se instala en tu Windows o macOS y accediendo a la herramienta se puede ver la lista de todos los dispositivos que se han pareado al equipo, además de que se pueden borrar en cualquier momento las claves de pareado.

Figura 7: Lista de dispositivos iOS conectados a un macOS

Pero además, se queda residente y cuando se desconecta cualquier terminal iPhone o iPad permite hacer un despareado seguro, eliminado de manera automática todas las claves de pareado que se han generado.

Figura 8: Dispositivo despareado. ¿Eliminar claves?

Son unas pequeñas tools que hicimos desde el laboratorio de ElevenPaths, y las podéis descargar ahora para usarlas en vuestro día a día. Si tenéis que conectar un iPhone o un iPad a cualquier equipo, no os olvidéis de eliminar esas claves cuando lo desconectes. Por tu seguridad.


FUENTE: http://www.elladodelmal.com

Bitscout, nueva herramienta de análisis forense (abierto)


El investigador de Kaspersky Lab, Vitaly Kamluk, ha publicado el código fuente de Bitscout, una herramienta personalizable y diseñada para operaciones de análisis forenses remotos.
Bitscout, que no es un producto oficial de Kaspersky, inicialmente comenzó como un pasatiempo y ha sido mejorado continuamente en base a los requisitos que surgieron en las investigaciones de Kaspersky sobre análisis forenses.


Bitscout 2.0 -la versión 1.0 nunca fue lanzada al público- permite a los investigadores analizar remotamente un sistema, permitiendo al propietario del sistema monitorear las actividades del experto y asegurarse de que su acceso está limitado a los discos de destino. La herramienta puede ser útil para investigadores, unidades de ciberdelincuencia policial, e instituciones educativas.

El propietario del sistema en el que se llevará a cabo el análisis forense recibirá una imagen que debe grabar en una unidad de almacenamiento extraíble. El sistema se inicia desde esta unidad y el investigador se conecta de forma remota a Bitscout a través de SSH utilizando una VPN.


Bitscout incluye varias herramientas populares diseñadas para el análisis forense, pero los usuarios también pueden personalizarlos o agregar sus propios scripts. La herramienta utiliza una interfaz de usuario basada en texto (TUI) para facilitar su operación.


Según Kamluk, al investigador sólo se le proporciona privilegios de root dentro de un contenedor virtual, y el propietario puede especificar qué discos se pueden analizar para evitar el acceso no autorizado. Por otro lado, el investigador puede instalar software adicional y hacer cambios en el sistema desde este contenedor, pero sólo en la memoria volátil para asegurar que todo se restaure a su estado inicial después de que el dispositivo se apaga.

"Todas las sesiones remotas se graban y almacenan fuera del contenedor. Esto proporciona un buen nivel de aislamiento y una manera de reconstruir el proceso forense con fines de aprendizaje, o probar la existencia de evidencia"
.


Descarga: https://github.com/vitaly-kamluk/bitscout
Video demostración: https://www.youtube.com/watch?v=knA0NS9tWsY
Fuente: SecurityWeek

martes, 25 de julio de 2017

Skimming: en qué consiste esta práctica delincuencial y cómo protegerse


El skimming es una práctica ilegal orientada hacia la captura no autorizada de los datos confidenciales contenidos en el plástico de una tarjeta de pago (banda magnética y/o contactless) con el fin de ser empleados para fines fraudulentos (clonación, uso en transacciones no presenciales, etc.).
Desde el origen de las tarjetas con banda magnética, éste ha sido uno de los principales problemas de seguridad a los que se enfrentan los adquirientes, los comercios y los propios usuarios. En este punto, es importante tener presente que los datos de la banda magnética se encuentran grabados en el plástico en texto claro y que no se cuenta con ningún método de protección asociado, más allá de la seguridad física del plástico.
Esta captura fraudulenta de datos de tarjeta puede ser realizada a través de diferentes dispositivos (denominados skimmers) que emplean las mismas funcionalidades que cualquier lector legítimo y que por lo general son ubicados de forma encubierta para evitar que el usuario detecte su presencia. Igualmente, existen skimmers portátiles que permiten la captura de datos directamente por el delincuente sin la necesidad de estar desplegados en un lector legítimo.

Figura 1. Diferentes dispositivos de tipo skimmer decomisados por la policía alemana

En este artículo se realizará una breve introducción a esta práctica delincuencial y se describirá algunas formas para evitar ser víctima de este tipo de fraude, así como recomendaciones por parte de las marcas de pago para afrontar este riesgo.
Skimming en cajeros electrónicos
Los cajeros automáticos / electrónicos (ATM – Automated Teller Machine) han sido históricamente los dispositivos más afectados por este problema, debido en gran medida a que no requieren de personal del banco, se encuentran ubicados en sitios con niveles de seguridad bajos y expuestos al público en general (centros comerciales, tiendas, supermercados, estaciones de transporte público, gasolineras, etc.), no son monitorizados de forma continua y muchas veces se encuentran en zonas aisladas y con poca visibilidad, facilitando la actividad del delincuente en la instalación, operación y retirada del skimmer.
Los delincuentes aprovechan estas fallas para ubicar el skimmer encima del lector legítimo o en otra ubicación que no ofrezca desconfianza al usuario final. De esta manera, cuando el usuario se dispone a retirar su dinero empleando una tarjeta de pago, es él mismo quien inserta el plástico en el skimmer sin notar ninguna diferencia en la operación normal del cajero. Los datos capturados (datos completos de la banda magnética) son almacenados hasta que el delincuente retira el lector encubierto.

Figura 2. Skimmer superpuesto sobre la parte frontal completa de un lector de tarjeta en un cajero electrónico

Los skimmers se adaptan a los diferentes tipos de cajeros electrónicos y su efectividad depende del camuflaje empleado para evitar ser detectado. Están diseñados para que se puedan colocar sobre la abertura del lector de tarjetas del cajero electrónico, ya sea cubriendo el propio lector o a través de un panel falso que cubre toda la superficie del frente del lector de tarjetas:

Figura 3. skimmer superpuesto sobre la abertura de un lector de tarjeta en un cajero electrónico

Con el fin de obtener el dato del PIN asociado a los datos de la banda magnética capturada, los delincuentes suelen instalar como complemento al skimmer una microcámara de video (cámara estenopeica) que permite la grabación del PIN del usuario:

Figura 4. Micro-cámara encubierta para la grabación del PIN

En otros escenarios, se emplean teclados superpuestos que registran las teclas oprimidas por la víctima:

Figura 5.  Teclado falso superpuesto para permitir la captura del PIN

También pueden recurrir a métodos menos técnicos, como shoulder surfing (mirar por encima del hombro):

Figura 6.  Delincuente empleando shoulder surfing

Con estos elementos (banda completa de la tarjeta y PIN), el delincuente puede proceder a emplear estos datos con fines delincuenciales (extracción de dinero, compras y pagos abusivos, etc.).
¿Cómo protegerte si eres un usuario?

  • Utiliza solamente cajeros electrónicos localizados en sitios confiables (dentro del propio banco, por ejemplo)
  • Inspecciona siempre la superficie de los lectores de la tarjeta de pago y los teclados de los cajeros electrónicos en busca de cables, paneles falsos o accesorios sueltos o flojos y/o superficies extrañas ANTES de insertar la tarjeta. En caso de identificar cualquier anomalía, no uses el cajero e informa al banco o a la policía de forma inmediata.
  • Si la tarjeta es bloqueada o no es regresada por el cajero electrónico, NO TE RETIRES del cajero. Llama a la policía o al banco para notificar este problema.
  • Nunca recibas ayuda de personas extrañas cuando te encuentres realizando una transacción en un cajero electrónico.
  • Estate atento a personas extrañas que puedan estar a tu alrededor mientras realizas la transacción. Algunos cajeros electrónicos cuentan con pequeños espejos ubicados encima o a los costados del cajero para identificar el entorno:

    Figura 7. Espejos de seguridad para identificar personal extraño alrededor

  • Siempre cubre el teclado durante la digitación del PIN. Esto evitará que cualquier micro-cámara o personas cercanas puedan visualizar este dato mientras es digitado:

    Figura 8. Siempre cubra el teclado en el momento de digitar el PIN

¿Cómo protegerte si eres un banco?
  • El uso de tarjetas de pago con chip EMV disminuye de forma drástica la copia no autorizada de los datos de la tarjeta a través de skimmers. La responsabilidad por los fraudes relacionados con tarjetas falsificadas utilizadas en cajeros automáticos se asignará a la parte – Adquirente o Emisor – que no haya adoptado la tecnología de chip EMV. Si se usa una tarjeta de chip EMV en un cajero que no tenga la capacidad de aceptar tarjetas de chip EMV, el Adquirente del cajero automático asumirá el coste del fraude debido al uso de una tarjeta falsificada.
  • Notificar a los clientes acerca de los riesgos del skimming y las acciones que deben tener presente para auto-defenderse de esta práctica delictiva.
  • Mantener un sistema de CCTV (circuito cerrado de televisión) 7×24 que cubra los alrededores del lugar en donde se encuentra instalado el cajero electrónico.
  • Instalar lectores de tarjetas del tipo Jitter (vibratorio), que dificulta la lectura directa de la banda magnética de la tarjeta.
  • Instalar paneles anti-skimmer, que ayudan a evitar que el delincuente ubique un dispositivo de skimming encima de la ranura donde se inserta la tarjeta en el cajero electrónico.
  • Instalar dispositivos emisores de interferencias de frecuencias radiales que distorsionen el campo electromagnético que rodea al lector de tarjetas.
  • Notificar al usuario a través de mensajes de texto (SMS) acerca del uso de sus datos de tarjetas en transacciones extrañas.
  • Usar dispositivos PED (PIN Entry Devices) que cumplan con el programa PCI PIN (Encrypting PIN PAD – EPP)
  • El PCI SSC publicó en enero de 2013 el documento “Information Supplement: ATM Security Guidelines” que ofrece una serie de mejores prácticas a la hora de configurar y desplegar en producción un cajero electrónico, incluyendo seguridad física, seguridad lógica (software) y procedimientos para evitar la inserción de skimmers, entre otros controles.

    Figura 9. Bloques de componentes de un cajero electrónico cubiertos por la guía del PCI SSC

Skimming en datáfonos / TPV
Otro dispositivo afectado por esta técnica delincuencial es el datafono o TPV (Terminal de Punto de Venta), empleados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos también permiten la lectura de la banda magnética y la digitación del PIN, son empleados por los criminales para la instalación de skimmers. Estos skimmers suelen estar acoplados en una carcasa externa que cubre toda la superficie del datafono o ser pequeñas unidades camufladas que capturan los datos de la tarjeta en el momento en el que el usuario la desliza.

Figura 10. Carcasa externa con skimmer para lectura de banda y captura de PIN

Figura 11. Nótese la diferencia entre la terminal TPV original (derecha) y la carcasa del skimmer (izquierda)

Figura 12. Otro ejemplo de carcaza externa de datáfono para captura de banda y PIN

Skimmers similares suelen ser instalados en terminales de pago desatendidas de gasolineras o peajes, que por lo general no requieren de autorización de la transacción en tiempo real (online), por lo que la detección del fraude es más demorada:

Figura 13. Skimmer en una terminal de pago desatendida

¿Cómo protegerte si eres un usuario?

  • Al igual que con los cajeros electrónicos, revisa siempre la superficie de la terminal de pago en busca de accesorios, pegatinas, cables, carcazas o piezas extrañas
  • Siempre utiliza terminales de comercios reconocidos
  • Si la tarjeta soporta EMV, inserta la tarjeta en el lector EMV en vez de emplear la lectura de la banda magnética
  • Protege el PIN en el momento de la digitación
  • Nunca entregues tu tarjeta a nadie ni la pierdas de vista durante la transacción
¿Cómo protegerte si eres un comercio?
Los comercios que emplean terminales de punto de venta (TPV) atendidas o desatendidas deben cumplir con un conjunto de controles de PCI DSS dependiendo del tipo y características de conexión del TPV (SAQ B, SAQ B-IP o SAQ P2PE). Estos controles incluyen la verificación periódica de la seguridad física del punto de interacción (Point of Interaction – POI) para verificar que no se han instalado componentes extraños, no se encuentran cables o carcazas adicionales y que los controles de seguridad provistos por el fabricante se mantienen íntegros (sellos de seguridad, tornillos, etc.). Adicionalmente, se requiere de formación a los empleados que están al cargo de estas terminales y/o las emplean para recepción de pagos y la creación de un inventario de terminales que incluya información del dispositivo, estado, identificación y ubicación. Algunas recomendaciones generales se pueden encontrar en el documento "PCI DSS v3.0 compliance: A closer look at Requirement 9.9 – Payment Terminal Protection".
¿Cómo protegerte si eres un banco?
Idealmente, el objetivo es emplear terminales de pago que acepten transacciones vía EMV. No obstante – y debido a compatibilidad con tarjetas emitidas en otros lugares – la compatibilidad con tarjetas con banda magnética obliga a aceptar métodos de pago inseguros.
En este caso, informar acerca de la responsabilidad de la seguridad física de las terminales a los comercios en donde se encuentran instaladas y enviar notificaciones periódicas para recordar acerca de estas responsabilidades y de los riesgos asociados.
Skimmers portátiles
Los skimmers no necesariamente deben estar ubicados en cajeros electrónicos y en TPV (datáfonos). También pueden ser portables. En este caso, requieren que el delincuente tenga acceso de alguna forma al plástico y lo deslice por el skimmer para leer la banda magnética, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.
Es importante saber que existen skimmers que capturan los datos de tarjetas de pago que soportan NFC (contactless). En este caso – y dependiendo de la implementación – la cantidad de datos capturados se puede limitar al PAN, la fecha de expiración y el nombre del titular.
¿Cómo protegerte si eres un usuario?
  • Nunca entregues el plástico de la tarjeta a nadie
  • Para realizar pagos, garantiza que tienes acceso directo a la terminal de pagos (TPV o datáfono) y que nadie desliza tu tarjeta en tu nombre
  • En el caso de tarjetas que soportan contactless, se recomienda el uso de un elemento que bloquee la lectura de la tarjeta. Existen billeteras y bolsas de seguridad para estos casos.
  • Si identificas alguna acción sospechosa, notifica al responsable del comercio y a la Policía
¿Cómo protegerte si eres un comercio?
  • Ofrece formación y concienciación a los empleados
  • Notifica a la Policía si se detecta que un empleado está haciendo uso de estas herramientas
  • Garantiza que, en los protocolos de pago con tarjeta, siempre sea el cliente quien inserte su plástico en el lector o lo acerque al lector de contactless.
¿Cómo protegerte si eres un banco?
Aplican las mismas recomendaciones en el uso de skimming en datáfonos / TPV.
Recomendaciones generales
Con el objetivo de concienciar a usuarios y comercios respecto a los riesgos de estas prácticas delincuenciales, el PCI SSC publicó en septiembre de 2014 el documento "Information Supplement – Skimming Prevention: Best Practices for Merchants". Este documento incluye diferentes ejemplos de ataques y acciones para protegerse.
Por otro lado, VISA ha publicado los siguientes documentos, orientados hacia la información y actuación preventiva en casos de skimming:Finalmente, MasterCard por su parte también ofrece una serie de recomendaciones generales para protegerse de este tipo de ataques:

FUENTE: isecauditors.com

sábado, 8 de julio de 2017

Kaspersky lanza una herramienta que recopila pruebas de ciberataques

seguridad ciberriesgo hacker

Disponible gratuitamente para que todos los investigadores la utilicen, BitScout es una herramienta de código abierto que puede recopilar remotamente materiales forenses, adquirir imágenes de disco completas a través de la red o almacenamiento conectado localmente, o ayudar remotamente en el manejo de incidentes de malware.

Para superar la necesidad de que los investigadores viajen a lo largo y ancho para reunir evidencias de ordenadores infectados después de un ciberataque, un experto de Kaspersky Lab ha desarrollado una sencilla herramienta que puede recopilar datos de forma remota sin riesgo de contaminación o pérdida. Llamada BitScout, la herramienta es una navaja suiza para la investigación forense remota de sistemas vivos y está disponible libremente para que todos los investigadores lo utilicen.

La ciberseguridad está cambiando, al igual que la tecnología, las empresas, el mercado, el uso de los datos y, sobre todo, las intenciones de los cibercriminales.Si quieres conocer cómo está evolucionando este mercado, puedes acceder content marketing en este enlace, o bien, descargarte la revista digital haciendo clik en este enlace.

Más sobre Ciberseguridad...

Ataques con exploits: de las amenazas diarias a las campañas dirigidas

Informe Symantec sobre la seguridad de Internet (ISTR 2017)

Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico

Informe global sobre Seguridad de la Información 2016-2017 de EY

La paradoja tras la experiencia del usuario con el cripto-ransomware

En la mayoría de los ciberataques, los propietarios legítimos de sistemas comprometidos son víctimas de atacantes no identificados. Las víctimas suelen estar de acuerdo en cooperar y ayudar a los investigadores de seguridad a encontrar el vector de infección u otros detalles sobre los atacantes. Sin embargo, para los investigadores forenses tener que viajar largas distancias para recoger evidencias cruciales como muestras de malware de máquinas infectadas puede dar lugar a investigaciones costosas y tardías. Cuanto más tiempo se demore que un ataque sea analizado, más tardarán los usuarios en estar protegidos y los autores identificados.

Para solucionar el problema, Vitaly Kamluk, director del Equipo de Investigación y Análisis Global de Kaspersky Lab en Asia Pacífico (APAC), ha creado una herramienta digital de código abierto que puede recopilar remotamente materiales forenses clave, adquirir imágenes de disco completas a través de la red o almacenamiento local, o simplemente ayudar remotamente en el manejo de incidentes de malware. Los datos se pueden ver y analizar de forma remota o local mientras el almacenamiento de datos de origen permanece intacto a través de un aislamiento fiable basado en contenedores.

"La necesidad de analizar los incidentes de seguridad de la manera más eficiente y rápida posible es cada vez más importante, a medida que los adversarios se hacen cada vez más avanzados y sigilosos. Pero la velocidad a toda costa tampoco es la respuesta, pues necesitamos asegurar que la evidencia no esté contaminada para que las investigaciones sean fiables y los resultados puedan ser utilizados en el tribunal si es necesario. No pude encontrar una herramienta que nos permitiera lograr todo esto, libre y fácilmente, así que decidí construir una", señala Vitaly Kamluk. La herramienta está disponible gratuitamente en el repositorio de código GitHub.

miércoles, 31 de mayo de 2017

ContaCam, un completo software de videovigilancia gratuito

FUENTE:  Rubén Velasco

Videovigilancia

Si tenemos o estamos pensando en montar una zona con videovigilancia, lo primero que debemos tener en cuenta es, además de las cámaras que vamos a utilizar, el software que se encargará de monitorizar lo que capturen estas cámaras. Aunque la mayoría de estas aplicaciones, especialmente las más completas, suelen ser de pago, esto no siempre es así, y dentro del software gratuito podemos encontrar excelentes aplicaciones como es el caso de ContaCam.

ContaCam es un software de videovigilancia gratuito que nos va a permitir tener controladas todas las cámaras web de nuestro recinto, monitorizarlas e incluso grabar lo que se ve en ellas de manera que podamos tenerlo todo siempre controlado. Esta herramienta nos permite controlar todo tipo de cámaras, desde las webcam convencionales hasta cámaras IP o las cámaras RTSP, H.264 y H.265 HD. Además, también es capaz de grabar audio desde todo tipo de fuentes a la vez que la imagen.

ContaCam

¿Qué nos ofrece ContaCam?

Lo primero a lo que queremos hacer referencia es que esta herramienta es totalmente gratuita y no tiene ningún coste, ni directo ni oculto, siendo una alternativa igual, e incluso superior, a las conocidas soluciones de pago para videovigilancia.

Uno de sus principales puntos fuertes es el gran número de opciones de personalización. Este software nos va a permitir controlar varias cámaras al mismo tiempo y habilitar en cada una zona concreta para controlar el movimiento en ella (incluso configurando un tiempo mínimo antes de activarse la alerta de movimiento). También cuenta con complejos algoritmos de detección compatible con sensibilidad, zonas concretas, etc.

A la hora de grabar en vídeo las zonas videovigiladas, esta herramienta es compatible con una gran cantidad de opciones. Una de las más interesantes es la posibilidad de configurar un tiempo de grabación antes y después de que se detecte movimiento. Así, si tenemos ContaCam configurado para grabar vídeo cada vez que se detecte movimiento, cuando la alerta se active nos guardará, además, los 5 segundos anteriores. Las grabaciones pueden enviarse por correo o a un servidor por FTP par mayor seguridad.

Configuración ContaCam

Además de esto, la variedad de opciones de configuración son inmensas, tanto a nivel de la cámara (resolución, fps, etc) como del propio programa, comportamiento y programación periódica de grabaciones (nos permite grabar todos los días en unas horas determinadas).

Por debajo de todo esto, el programa utiliza software robusto, concretamente, Apache 2.4.25 y PHP 5.4.45, ambos protegidos por OpenSSL 1.0.2k-fips.

Si lo queremos, podemos descargar este software de forma totalmente gratuita desde su página web principal. Además de estar recién actualizado (la última versión 7.0 ha sido lanzada a mediados de mayo), este software es totalmente compatible con todas las versiones de Windows, desde XP hasta el nuevo Windows 10.

jueves, 25 de mayo de 2017

Verify If A Photo Was Really Taken By A Suspected Camera - Camera Ballistics 2.0 (Ingles)

In today's world there are basically these types of digital evidence: text, image, video, audio recording and value such as geolocation or time-stamp data. A photo plays an important role among these types of evidence, bringing not only what we can see in the picture, but also a time and place the possible owner of a phone was present at. The reality is we live in a time of mobile phones with massive photographing and sharing, so knowing who took a photo is crucial information. This new technology is able to reliably verify, if a photo truly came from a specific camera. This applies for phone cameras, standalone cameras and any device with camera sensor. When you've found crucial photographic evidence, now you can verify its origin with accuracy of 99.9% and higher. Enter Camera Ballistics.


What is Camera Ballistics?
We have chosen the name Camera Ballistics for this product, because the concept is similar to firearms ballistics. We match a photo to a camera like a bullet to a gun. You've got a set of photos you want to verify, and you have a camera. With the camera you shoot test-shots, based on which a camera fingerprint is calculated. Camera Ballistics will compare the photos under investigation to the sensor fingerprint and determine if there is a match. And because we have been pioneers in this area for years, the name of the product has also become the name of the field; you can see it being used by other vendors.


Why do I need Camera Ballistics?
What real-life case applications are there? There are innumerable possible case applications with Camera Ballistics. They key is to have your lab equipped with the right tools so when you need them. Imagine a person is suspected of producing child pornography. The suspect has many pictures saved to a hard drives, but denies that he took any of them, saying they were only downloaded from the internet. You also found a few digital cameras. Well now you can scientifically find the truth. Imagine another scenario - an explicit photo of a high school student has gone viral between classmates. The victim tells the investigator who it was that took the picture, but the suspect denies it. The investigator can quickly determine if the suspect's phone was used to take the picture or not. Or, when an alibi is in question Camera Ballistics can also be used to solidify or disprove a suspect's whereabouts if a photo is provided as 'proof'. The suspect says they were at a certain location and can prove it with photos. With our photo verification tool, an investigator can determine if the camera took the photos, when they were taken and use GPS data to pinpoint location.


The Principle
Camera Ballistics is not based on metadata such as EXIF, but it uses mathematics to analyze the physics of the sensor. Due to small differences in size and material composition, each pixel behaves differently, involving effects such as Photo Response Nonuniformity making each sensor unique. We can simplify the principle to say that it identifies anomalies of every pixel and uses this information to create a description of the camera sensor - the sensor fingerprint. This is true even between devices of the same make and model. It's these differences that allow you to generate a sensor fingerprint and link an image to the specific camera that created it. Camera Ballistics will compare the photos under investigation to the sensor fingerprint to determine if there is a match.


The Law
How is a Camera Ballistics evidence accepted in courts? Well the technology is quite new, just as firearms ballistics or fingerprint authentication were in the past. Its acceptance depends on the country. The accuracy of this method is 99.9% or better, which is in line with the classical fingerprint test. Plus, there are two more advantages independent of the law. First, with this tool you get important information, which can further help to direct the investigation on the right path. Second, you can easily get a suspect's conviction under the pressure of Camera Ballistics evidence.


Camera Ballistics version 2.0 just released
The power of Camera Ballistics is further amplified by its sleek and intuitive interface that guides you through processing in just a few clicks. Camera Ballistics takes its complex analysis method and turns it into a two-phase process. Simply create a few reference photos with the suspect camera for the program to learn about the device's sensor and a sensor fingerprint will be generated. Camera Ballistics will use this fingerprint to analyze the photos you are investigating and match it to the ones taken by the suspected camera.
We've just released a second generation of this software, which is more accurate, much faster, more robust with 64-bits and works with resized photos.
Two steps to digital forensic expertise


Step 1 - Learn

In this first step, you will supply reference photos from a camera in order to create its sensor fingerprint. The more photos you supply, the more precise your results will be. It is recommended to take at least 30 photos of white walls or clouds - images without sharp shapes and edges. Camera Ballistics will apply advanced algorithms to this folder in order to establish the sensor fingerprint.


Step 2 - Analyze

This step will match the fingerprint file created by the learn process to the photos under investigation. When you run the analysis, you can see the processing progress followed by the mathematical data and results as after analysis. Finally, a comprehensive and well-organized PDF report suitable for submission as evidence is generated. The report contains clickable thumbnails of all processed images, the camera device make and model, GPS data, camera settings, mean square error, fingerprint presence result, match probability and correlation.
Results should be interpreted like other typical ballistics tests: if traces of the device fingerprints are found, then there is an extremely high probability that a photo comes from the camera. If not found, it doesn't necessarily mean that the particular camera has not been used to capture the image. This may happen when photos are resized too much or edited so the fingerprint information is damaged or lost.


Combination with phone forensics
When you use Camera Ballistics in combination with our premier mobile device forensic tool MOBILedit Forensic Express, you get not only all photos extracted from a phone, but each photo comes with information if it was taken by analyzed phone or not. This will clearly distinguish downloaded, shared or received photos from those that were actually taken by phone owner.


Forensic Express is a phone extractor, data analyzer and report generator in one solution. A powerful 64-bit application using both the physical and logical data acquisition methods, Forensic Express is excellent for its advanced application analyzer, UFED Data analyzer and generator, deleted data recovery, cloud analyzer, wide range of supported phones including most feature phones, fine-tuned reports, concurrent phone processing, and easy-to-use user interface. With the password and PIN breaker you can gain access to locked ADB or iTunes backups with GPU acceleration and multi-threaded operations for maximum speed. For more information go here.


Conclusion
This unique photo verification tool can be an important component of your lab. Camera Ballistics brings the state-of-the art technology that you need for high-quality and effective investigations. Please Contact Us Here with any questions about Camera Ballistics. To learn more or purchase a license please go here.



About COMPELSON Labs and the MOBILedit platform
Compelson Labs was founded in 1991 and is known for its pioneering products, such as MOBILedit, currently used by millions of users worldwide for many phone-related tasks including forensics. MOBILedit supports the vast majority of phones ever manufactured, offers physical and logical acquisition, advanced application analysis, cloud analysis, password breaker and more. Compelson has recently made a substantial investment into phone forensic products, watch for their massive development. Find more at www.mobiledit.com

jueves, 18 de mayo de 2017

Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.

Si has sido afectado por el ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lógicamente, lo ideal sería que tuvieras un backup desconectado o en la nube al que pudieras recurrir, así como que los tuvieras protegidos por una solución como Latch Antiransomware. Si no es así, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.

Figura 1: Telefónica WannaCry File Restorer

Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.

Las extensiones no cifradas de documentos ofimáticos

Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx
Excluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:
  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.
Además, si eres un usuario avanzado de Excel, recuerda que existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros VBA o plantillas, pero otros son formatos XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de EXCEL a ver qué ficheros con estas extensiones tienes guardados.

Papeleras de reciclaje de carpetas sincronizadas en la nube

Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada

Ficheros temporales de WannaCry

Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.

Figura 2: Carpeta con ficheros temporales de WannaCry

En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

Figura 3: El fichero WNCRYPT no está cifrado

Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.

Figura 4: El fichero PDF está intacto

En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.

Telefónica WannaCry File Restorer

Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.

Figura 5: Magic Numbers para identificar formato de ficheros

A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.

Figura 6: Telefonica WannaCry File Restorer

FUENTE: Chema Alonso