Buscar este blog

sábado, 25 de noviembre de 2017

Diputados convierte en ley la ratificación del convenio para luchar contra el ciberdelito

La Cámara de Diputados de Argentina convirtió en ley la adhesión del país a la Convención de Budapest para la lucha contra el ciberdelito, que establece criterios, protocolos y legislaciones locales tanto para el combate de estafas informáticas como para la pornografía infantil.

Se trata de la adhesión del país a ese tratado supranacional que la cámara baja aprobó y dio así sanción definitiva a ese convenio.
El Convenio de Budapest entró en vigencia el 23 de noviembre de 2001 y se ocupa de estandarizar criterios, protocolos y legislaciones locales para el combate contra las estafas informáticas, la distribución de pornografía infantil, las infracciones vinculadas a la propiedad intelectual y los atentados contra la integridad del sistema.

FUENTE: TELAM

lunes, 13 de noviembre de 2017

Hashes.org, una plataforma para crackear hashes de contraseñas

Una función “hash” es una función que nos permite convertir cualquier bloque arbitrario de datos en una serie de caracteres con una longitud fija (o variable si es un hash KDF). Un hash es un valor único (salvo en ocasiones que se han demostrado colisiones, como SHA1), por lo que son muy útiles para comparar que un valor coincide y su integridad no se ha visto comprometida. Lass webs, por ejemplo, suelen guardar las contraseñas de los usuarios en forma de hash ya que así si alguien roba la base de datos, tendrá complicado conseguir las contraseñas. No obstante, hay herramientas que son capaces de crackearlas por fuerza bruta o diccionario, y una de las plataformas más completas para esta tarea es Hashes.org.

Hashes.org es una plataforma diseñada para permitirnos obtener el contenido en texto plano de un hash que subamos a la web. De esta manera, los investigadores de seguridad y administradores de sistemas podrán comprobar si los hashes que están almacenando son seguros o, por el contrario, pueden suponer un problema para la seguridad y privacidad de los usuarios en caso de que alguien se haga con estos hashes.

GCrack es una herramienta para crackear hashes de contraseñas rápidamente

GCrack es una herramienta para crackear hashes de contraseñas rápidamente

Hashes.org, una plataforma colaborativa mantenida por la comunidad

Esta plataforma nos ofrece una gran variedad de herramientas y servicios relacionados con los hashes. Los primeros, y más sencillos de utilizar, son un resumen con los principales hashes con los que vamos a poder trabajar y, además, la posibilidad de generar nuestros propios hashes a partir de cualquier texto plano de manera que podamos codificar, desde esta web, cualquier tipo de datos.

Hashes.org - Generar Hash

Además de esta sencilla herramienta, también vamos a tener un apartado de “cracking” desde el que vamos a poder acceder a una serie de listas de hashes subidos a la plataforma y a los resultados que han aparecido al romperlos. Además, si somos usuarios registrados, vamos a poder subir nuestros propios hashes para intentar romperlos.

Debido a la gran capacidad de proceso que requiere esta tarea, la mayor parte de la misma se realiza utilizando los recursos de voluntarios que ofrecen sus CPUs y GPUs para ayudar a romper estos hashes.

Por último, esta plataforma también cuenta con las conocidas listas de contraseñas robadas, las bases de datos robadas a distintas páginas web a través de fallos de seguridad que guardaban las contraseñas de los usuarios en forma de hash y que, gracias a plataformas como estas, se han podido traducir en contraseñas en texto plano.

Hashes.org - Publicaciones de bases de datos

Como podemos ver, Hashes.org es una completa plataforma colaborativa, creada por y para la comunidad, con el fin de intentar mejorar la seguridad de Internet a base de demostrar cómo se pueden romper los hashes.

Los responsables de esta plataforma nos recuerdan de que los datos en ningún momento son privados, e incluso puede que para romperlos se envíen a los equipos de otros usuarios que prestan su hardware para esta tarea, por lo que se asume que todo el contenido que se envía es legal y que tenemos permiso para enviarlo y procesarlo. Hashes.org no apoya el uso de su plataforma con fines ilegales o malintencionados.


FUENTE: Rubén Velasco

Técnicas de análisis forense en imágenes digitales

webinar 13nov

miércoles, 8 de noviembre de 2017

Técnicas de análisis forense en imágenes digitales


FUENTE: Miguel Ángel Mendoza



En días pasados se llevó a cabo la edición 2017 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.
En su participación, el especialista en seguridad José Miguel Baltazar Gálvez, presentó el trabajo denominado “Identificación de la fuente generadora de una imagen digital”, un desarrollo del programa de Maestría en Seguridad y Tecnologías de Información del Instituto Politécnico Nacional, orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante el proceso de análisis forense.

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.
el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía
Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.
Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.
En este contexto, los retos que enfrenta el analista consisten principalmente en determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:
diagrama
  • Recomendaciones iniciales
En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.
  • Definición del escenario de trabajo
La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.
analisis
  • Técnicas de análisis y desarrollo
Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.
Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.
Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.
matriz-725x1024
  • Reporte ejecutivo y técnico
La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.
Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.





















martes, 7 de noviembre de 2017

SIRIUS, la plataforma de Europol para facilitar las investigaciones de los ciberdelitos.

A medida que los delincuentes adoptan el modelo del Crime-as-a-Service obtienen un acceso más sencillo a herramientas y servicios para la realización de actos delictivos y las autoridades policiales se enfrentan a un completo y complejo desafío cuando realizan las investigaciones online.

Para hacer frente a este desafío, y para apoyar mejor las investigaciones de los Estados miembros de la UE en Internet, Europol lanzó oficialmente la plataforma SIRIUS durante una reunión inicial en La Haya los días 30 y 31 de octubre de 2017.

sirius.png

Dicha reunión, celebrada en la sede de Europol, reunió a más de 100 profesionales de 30 países y más de 60 organizaciones diferentes, incluidas autoridades policiales y gubernamentales de los Estados miembros de la UE, así como representantes de Facebook, Google, Microsoft, Twitter y Uber.

SIRIUS es una plataforma web enfocada a los agentes de la ley de los distintos estados miembros, que les permite compartir conocimientos, prácticas y experiencias en el campo de las investigaciones de ciberdelitos, con un enfoque especial en la lucha contra el terrorismo. Ofrece un enfoque innovador de colaboración al proporcionar a los investigadores una plataforma para intercambiar rápida y eficientemente conocimientos, manuales y consejos, así como herramientas para ayudarlos a analizar la información recibida por los diferentes proveedores de servicios en línea. La plataforma también aborda otros desafíos en las investigaciones criminales, como la racionalización de las solicitudes a los proveedores de servicios en línea y la mejora de la calidad del registro receptivo.

SIRIUS tiene como objetivo fomentar el co-desarrollo de herramientas y soluciones que pueden respaldar las investigaciones en Internet. Con este fin, Europol organizará una reunión bianual sobre el código en su sede de La Haya, que reunirá a expertos en aplicación de la ley y en programación informática para desarrollar conjuntamente herramientas y soluciones comunes.

FUENTE: Derecho de la Red

Trape: Una herramienta para investigar a personas

Trape es una herramienta de reconocimiento que te permite rastrear a las personas y hacer ataques de phishing en tiempo real, la información que puedes obtener es muy detallada. Se quiere enseñar al mundo a través de esto, cómo las las grandes compañías de Internet pueden monitorearte, obteniendo información más allá de tu dirección IP, como la conexión de tus sesiones a sitios web o servicios en Internet.

Figura 1: Trape: Una herramienta para investigar a personas

En un evento de seguridad internacional en Colombia, llamado DragonJAR Security Conference 2017, lo presentamos para explicar su funcionamiento. Lo más relevante de este trabajo es el reconocimiento de sesiones de forma remota, que se puede ver con una simple investigación donde se hace un bypass a SOP (Same Origin Policy) en el navegador. Puedes ver el video de la conferencia aquí:

Figura 2: Jose Pino "Trape: Rastreando al delincuente"

Una de las funciones más importantes y atractiva es el reconocimiento remoto de las sesiones. Cualquiera puede saber dónde está logueada una persona, remotamente. Esto ocurre a través de un bypass hecho a las políticas Same Origin Policy (SOP),  lo que permite que un sitio web pueda hacer un perfil de los visitantes de forma automatizada, dependiendo de  en qué servicios se mantenga logueado mientras navega.

Figura 3: Repositorio GitHub de Trape

Estos son algunos servicios para los que Trape puede reconocer la sesión cuando se ejecuta: Facebook, Twitter, VK, Reddit, Gmail, Tumblrm, Instagram, Github, Bitbucket, Dropbox, Spotify, PayPal y Amazon. Para ejecutar la herramienta que está escrita en Python debes ejecutar el script trape.py que se encuentra en su repositorio de Github desde cualquier Kali Linux.

git clone https://github.com/boxug/trape.git
cd trape
python trape.py -h
Instalamos todos los requisitos para poder proseguir con su funcionamiento utilizando pip install -r requirements.txt y ya podemos utilizarlo.  Un simple ejemplo de ejecución sería:

Figura 4: Ejecución de Trape en un listener HTTP

En la opción --url se configura el señuelo que puede ser una página de noticias, un artículo o algo que sirva como una página de presentación que se visite. En este caso es example.com. En la opción --port se configura el puerto del listener HTTP.

Figura 5: Detección de sesiones con Trape

En el directorio de archivos de Trape, ubicado en la ruta /static/files se agregan los archivos con extensión .exe o archivos de descarga que se envían a la víctima mediante la sección attacks hook.

Figura 6: Consola de administración web para hacer ataques

Puedes ver algunos ejemplos hechos con Trape en este vídeos que muestra en Español cómo se puede utilizar la herramienta.

Figura 7: Cómo usar Trape

Al final la herramienta ofrece una consola de administración web que en tiempo real permite registrar víctimas, ver cuáles son sus sesiones, realizar ataques de phishing ad-hoc, inyectar el envío de exploits y realizar investigaciones OSINT con que solo la víctima haya hecho clic en el hipervínculo donde se ha configurado el servicio.


Autores: Jose Pino & Jhonathan Espinosa CEO & CTO de Boxug