No le mientas a un Informatico Forense, Te puede costar muy caro!!!

Cordial saludo,

Hoy quiero compartirles un caso que sucedió hace unos años, atendiendo un caso de respuesta a incidente, catalogado mas como un Incidente de Tecnología pero debía descartarse como Incidente de Seguridad y establecer una rápida recuperación de la plataforma como objetivo principal.

Para tal Misión fuimos contactado para esta titánica labor que nos traería grandes sorpresas. 

Y   "A borrico desconocido, no le toques la oreja."

sep

30

La cosa no pinta bien…

 

 

 

 La cosa no pinta bien…

Pero entremos en materia (se enmascaran datos de confidencialidad y reserva del sumario):

A partes en el informe de los procedimientos establecidos:

• Una vez reportado el incidente se registro y se procedió a levantar un Diagnostico por teléfono, con la finalidad de determinar el estado actual de la maquina. Se solicito al Ingeniero "Responsable_Admin_del Sistema", estableciera que procedimientos y acciones había realizado. 
• Se desplazo nuestro equipo de respuesta para realizar el servicio On Site e (en Sitio ), quienes a su vez realizaron los procedimientos necesarios y se aplican los recursos y herramientas disponibles para entregar un Diagnostico inicial sobre el estado actual de la situación y las posibles soluciones. Se concluye:

"El equipo (Servidor de Aplicaciones) presenta problemas de perdida de la información, debido a que se realizaron los procedimientos de mantenimiento del sistema operativo por parte de personal de "EMPRESA PRESTADORA DEL SERVICIO" en la ciudad de Bogotá, El Ingeniero "Responsable_Administrador_del Sistema" especificó que genero una copia de seguridad de acuerdo a los protocolos establecidos por la compañía, que dicha copia de seguridad identificada con la extensión ".tar" ubicada en el directorio de trabajo "Uno85C" no estaba presente.  

Que esta copia fue borrada y/o sustituida por un archivo viejo de la semana pasada días 3, 4, 5, 6, 7 de Mayo, Una vez identificado el problema realizo procedimientos de búsqueda y restauración de la información con herramientas propias del S.O. pero no fue posible la restauración de dicha información, procediendo a iniciar la restauración de la información por medios manuales con base a documentación física de soporte."

 Se procede a evaluar las partes que se citaron anteriormente.

 

Se realizaron procedimientos de Análisis Forense y / Recuperación de Datos, con el software que se enumera a continuación.

The Sleuth Kit y Autopsy Browser.

Kit de Herramienta de Análisis Forense basada en comandos Unix, para realizar seguimiento, análisis, detección y recuperación de archivos, particiones.

Forence Tool Kit (FTK).

Software de Análisis forense que funciona sobre plataforma Windows pero es ampliamente empleado para análisis y recuperación de información.

EnCase

Software de Análisis forense que funciona sobre plataforma Windows pero es ampliamente empleado para análisis y recuperación de información.

Back Track 4

Suite de Herramientas de seguridad y auditoria informática dotadas con herramientas forenses y anti forense.

 

Ejecutando todas las herramientas y realizando los procedimientos adecuados, todas las utilidades generaban informes similares al finalizar su labor.

A continuación se adicionan algunos ScreenShot de las utilidades en funcionamiento:

 

En la siguiente imagen encontramos archivos de configuración del sistema UNO en la carpeta /uno/uno85c/EMPRESA, que han sido borrados, y se utilizaron entre las fechas del 13 y 14 de Mayo de 2010.

En la siguiente Imagen encontramos los archivos de copia con fecha del 7 de Mayo de 2010 a las 16:08.

• EMPRESAlunes.tar

• EMPRESAmartes.tar

• EMPRESAmiercoles.tar

• EMPRESAjueves.tar

 A su vez la carpeta MEDIOS BOGOTA 2008/

En la siguiente imagen visualizamos archivos de datos .DAT con fecha de acceso y modificación 2010.05.13 y borrados en esta misma fecha.    

Aquí podemos visualizar los archivos cgpir o piratas que utilizan los funcionarios de "EMPRESA PRESTADORA DEL SERVICIO" en sus procesos de mantenimiento del sistema UNO y que fueron borrados en la fecha 2010.05.13.

Como podemos observar el archivo CGBATCH.DAT el cual fue accesado, modificado y borrado en fecha del 2010.05.14 

Nuevamente observamos el uso de los archivos especiales piratas en programas del cmuno en 2010.05.13

Observamos el uso del directorio CND/ y  trm/ para los procesos de mantenimiento del sistema UNO

Estos archivos que se muestran como borrados hacen parte de los procesos de mantenimiento del sistema UNO con fecha de acceso 2010.05.13

A continuación se adjuntan algunos Screenshot  del trabajo con FTK y EnCase, que nos permiten corroborar y validar la información tratada con The Sleuth Kit  y  Autopsy Browser.

Haciendo uso de ENCASE.

CONCLUSIONES.

• Aunque no era parte de los objetivos establecidos de la labor contratada de Recuperación de las copias de Datos.

• Se efectuaron unos pocos procedimientos de Análisis forense para determinar los eventos que se generaron en el incidente.

• Se determina que el perfil del usuario "USUARIO", desde el cual se argumenta se efectuaron los procesos de mantenimiento de los funcionarios de "EMPRESA PRESTADORA DEL SERVICIO"  fue borrado, al borrar la carpeta del /home del usuario. Situación que seria importante aclarar o determinar por que se tomo esta decisión abrupta  de eliminación de rastros del sistema.

• Continuando con lo connotado anteriormente, se hizo revisión del historial de comandos del "root", para revisar los comandos efectuados en el sistema con el usuario administrador "root", y corroborar la generación de las copias con el formato especificado como EMPRESA_diadelasemana_copia.tar y no se encontró comando correspondiente al proceso.

• "No se encuentran indicios de la generación de archivos de copia( backup) identificados con la extensión .tar en las fechas del 10 al 14 de Mayo."

• Se hace un análisis en la  Time Line generado por la herramienta Autopsy se identifica:

• Nos permite saber que el sistema se inicia a las 4:44 AM y termina el día a las 18:30 pm

• Se visualiza todos los procesos efectuados por los funcionarios de "EMPRESA PRESTADORA DEL SERVICIO" al realizar mantenimiento del sistema

• el salto en la secuencia de los archivos

• el sistema genera una carpeta CDN de manejo interno de la aplicación.

• La realización de copias de seguridad .tar de fecha 3 al 7 de Mayo

• "No se encuentran registro de creación de copias de seguridad .tar de los días 10 al 13 de Mayo."

• Confrontando el Time Line de Autopsy contra el registro de transacciones del "root" del servidor se encuentran coincidencias en un 100% en lo concerniente a las conclusiones anotadas anteriormente 

RECOMENDACIONES.

1.    Implementar un sistema de respuesta a incidentes que permita tomar las acciones pertinentes y la actuación de un First Responder como actor inmediato de atención a la incidencia. 

2.    Implementar un sistema de procedimientos de copia con sus respectivas normas, documentación y elementos de elaboración de copias. Un sistema por generación de copias (días, semanas, meses, años) y permitir la automatización de estas tareas con shell script del sistema o herramientas libres como Bacula, Simple Backup Solution, Keep, afbackup, backupmanager o pagas como Arcserver de CA.

3.    Administración, revisión y monitoreo de log del sistema, que permite definir situaciones de alerta y advertencias en el sistema.

4.    Análisis y monitoreo de la plataforma de Red.

5.    Se recomienda realizar un proceso de Análisis de Vulnerabilidades a la Plataforma  Informática. Con la finalidad de determinar su estado actual y establecer procesos de aseguramiento (Hardening) que permita cerras las brechas de seguridad y disminuir los vectores de ataque.

Por eso:

SI NO HACES LO Q DEBES HACER Y CUMPLIR CON TUS DEBERES, ASUME TUS RESPONSABILIDADES CON ENTEREZA:

"NO LE MIENTAS A UN INFORMATICO FORENSE"

ESTA SITUACION LE COSTO EL TRABAJO AL ADMINISTRADOR DEL SISTEMA, QUIEN TERMINA ACEPTANDO SU NEGLIGENCIA.

 "QUE NO HABIA ELABORADO LAS COPIAS DE ESA FECHA"

DEBIDO A QUE LOS ARTEFACTOS ENCONTRADOS EN LA FORENSIA NOS MOSTRABAN LOS INDICIOS REALES DE SUS ACCIONES.

Y solo buscaba justificar su situación solicitando un tratamiento forense en recuperación de datos, del cual no esperaba que los resultados fueran su arma de Doble Filo.

 

RECUERDA NO BUSQUES CHIVOS ESPIATORIOS Y ASUME TU CULPA CON DIGNIDA Y ENTEREZA.

No le mientas a un Informático Forense,

Te puede costar muy caro!!!

Una lección de vida,

Happy Hacking!!   Bytes.............

Dino. 

r00tc0d3rs.org

Hola a todos,



Les presento la comunidad de:

Jovenes profesionales,  entusiastas de las tecnicas de Hacking y el Underground encaminados en una mision ferviente de Evangelizacion y concienciacion en tematicas de la (IN)Seguridad de la Informacion.

Lideradas por:

 Mr.Pack : Edward Osorio, estudiante de ing.sistemas, vive actualmente en la ciudad de Santiago de Cali, le gusta promover el uso de software libre, apasionado por todo lo que tenga que ver con un teclado y una pantalla, desarrollador en java y asp.net c# y aprendiendo python , con conocimientos empíricos en seguridad web & análisis e identificación de fallos.

Twitter: @_mrpack

c0lds0ft : Diego Ortiz, estudiante de ing.electrónica, vive actualmente en la ciudad de Bogotá, apasionado por el software Libre, se dedica mucho a la investigación sobre Linux, encontrar fallos y desarrollos. fue administrador LAN de ICBF y actualmente director de infraestructura de una empresa de desarrollo web, certificaciones  en CCNA - HK644s 3com – LPI – CEH- Microsoft Certified Technology Specialist – Microsoft Certified Hyper-V Manager.

Twitter: @c0lds0ft

n4pst3r : Jhon Serrato, actualmente vive en la ciudad de Bogotá, pentester apasionado por el conocimiento informático, desarrollador en python y perl, le gusta promover el uso del software libre, con conocimientos empíricos en seguridad web & análisis e identificación de fallos.

Twitter: @n4p573r

Lugar en donde encontraran cursos free de diferentes tematicas de la informatica, noticias, warning & advisores, tools y reportes de seguridad.

Así, q no esperes más puedes contactarlos y unirte a su comunidad q de seguro no perderas tu buena intencion y seguramente seras muy bien recibido dentro de este grupo de profesionales para compartir y expandir conocimiento. 

No olvides tener en cuenta su DISCLAIMER 

 Sitio Totalmente Dedicado a la Seguridad Informática.

El equipo de r00tc0d3rs no se hace responsable por el uso que se le pueda dar a la información o conocimiento  adquirido por medio de las publicaciones que se hagan en este Sitio web.

[ USE EL CONOCIMIENTO CON RESPONSABILIDAD Y EN VEZ DE DESTRUIR AYUDE A CONSTRUIR UN MUNDO MEJOR ]

Q buena iniciativa congratulations muchachos :D


Bytes



Dino

“una convención de hackers para hackers hecha por hackers” BugCON

Hola Amig@s,


Hoy quiero recomendarles este magno evento :

BugCON Security Conference (www.bugcon.org).

La primer edición de BugCON Security Conference se realizó en Mayo de 2008 integrando los elementos necesarios para ganar la confianza y el interés del público. Las siguientes ediciones en los años 2009 y 2010 han atraído a miles de asistentes, empresas e investigadores de México y el extranjero, quienes ven hoy por hoy a BugCON como la convención de “hackers” y Seguridad Informática más importante en México. 

El próximo año BugCON tiene planeada su quinta edición para los días 13, 14 y 15 de Febrero de 2013 en la Ciudad de México.

El record de asistencia se tuvo en la segunda edición organizada en el año 2009 en el cual asistieron 2800 asistentes. De acuerdo a la experiencia que hemos adquirido a lo largo de las diferentes ediciones, proyectamos una asistencia de un mínimo de 500 asistentes para la edición de 2013.

BugCON se enorgullece de tener el más estricto proceso de selección de conferencias, pues es principal para el comité organizador mantener el nivel técnico de la convención, sin sacrificarlo por compromisos comerciales o acuerdos institucionales, como otros eventos lo hacen. Actualmente BugCON cuenta con una lista de más de 80 ponentes que se han presentado en BugCON, entre los cuales destacamos la presencia de expertos con una trayectoria tan importante que se han presentado como ponentes magistrales. 

Al gunos de ellos son:

• Sandino Araico Sánchez, CEO Sandino Networks (México)
• Ivonne Valeria Muñoz Torres, autora del libro Delitos Cibernéticos en México, 10 años después (México)
• Joseph McCray, CEO eLearningSecurity (Estados Unidos)
• Pedro Joaquín H, Director de Seguridad Corporativa WebSec (México)
• Eduardo Ramírez, estudiante de la UNAM (México)
• Alejandro Hernández Flores, investigador de SybSecurity (México)
• José María “El Chema” Alonso, CEO Informática64 (España)
• Joaquín Rodríguez Varela, Coordinador del Laboratorio de Malware de ESET (Argentina)
• Nahuel Grisolia, líder de proyectos de Bonsái Information Security (Argentina)
• Matias Vara, líder del Proyecto Toro (Argentina)
• William Metcalf, Director de QA de Suricata IDS (Estados Unidos)
• Salvador Mandujano, Líder de Seguridad del Intel Security Center of Excellence (Estados Unidos).

 Esta es la invitacion de su Equipo Organizador:

"Año con año nos hemos visto envueltos en la aventura de reinventar un evento que es poco factible en México, y que sin embargo ha recibido el apoyo de mucha gente, que esa misma pasión que sentimos al organizarlo despierte en usted el interés suficiente para apoyar, en caso de poder hacerlo, o simplemente asistir a un espacio en donde tratamos de fomentar la investigación y el desarrollo de México, en un área que consideramos estratégica para el desarrollo nacional y una necesidad a fin de evitar correr los riesgos que el avance tecnológico conlleva."

Aqui podemos ubicar mas informacion de este año:

Speakers

Talleres

Calendario

Me siento honrado por extenderme su invitacion para participar de este maravilloso evento de los hermanos Mexicanos, y si Dios lo permite y se dan las cosas los estare acompañando, si no, de corazon, en caso q no se den las cosas, igual mis felicitaciones por ese esfuerzo tan grande en la tarea evangelizadora de la seguridad q se han propuesto y desde Internet seguire apoyandolos.

"LARGA VIDA A BugCON" 

Definitivamente no te lo puedes perder......................

Bytes

Dino

Pen Test with OSSTMM for Security Zone 2012

Hola Amig@s,

Les comparto la charla  con la cual participe en SECURITY ZONE 2012:

Aunque fue alternada con la charla de Ian Amit  definitivamente tuve muy buena audiencia a la cual quiero expresarles mis mas sinceros agradecimientos.

La presentacion:

Los videos de la charla:

John Jairo Hernandez (Col)-2012-12-06 1 from Jhon Jairo Hernandez - Dino on Vimeo.


John Jairo Hernandez (Col)-2012-12-06 2 from Jhon Jairo Hernandez - Dino on Vimeo.

Aunq no esta completa, puedes terminar de verla en la presentacion. Espero sea de su agrado, cualquier comentario o critica constructiva es Bienvenida.

Bytes,



Dino

PD: Un agradecimiento a mi buen amigo

@VictorViera_B  por facilitarme los videos :D

NOS VEMOS EN "BarCampSE Cali‏"

Saludos,

Estan todos cordialmente invitados a:

 

El evento descentralizado mas grande de seguridad de la información se realizará en su tercera versión el próximo Sábado 1 de Diciembre de 2012.

El Barcamp Security Edition (BCSE) es un evento para discutir sobre temas relacionados con seguridad de la información, enmarcado en un espacio que apoya la innovación, el desarrollo de nuevas ideas y el análisis de problematicas nacionales, logrando la integración de la academia, la empresa privada y gobierno en un ambiente libre para compartir. 

Si deseas mas informacion en detalle en el siguiente link:

BarCamp Security Edition 2012

Para disfrutar de mi bella ciudad y participar de  BarCamp Security Edition 2012 V3

 

 

Cali (oficialmente, Santiago de Cali) es la capital del departamento de Valle del Cauca en Colombia y la tercera ciudad más poblada del país, después de Bogotá y Medellín. Como capital departamental, alberga las sedes de la Gobernación del Valle del Cauca, la Asamblea Departamental, el Tribunal Departamental, la Fiscalía General, Instituciones y Organismos del Estado, también es la sede de empresas oficiales como la municipal EMCALI.

Santiago de Cali fue fundada en 1536 y aunque es una de las ciudades más antiguas de América, solamente hasta la década de 1930 se aceleró su desarrollo hasta convertirse en uno de los principales centros económicos e industriales del país y el principal centro urbano, cultural, económico, industrial y agrario del suroccidente colombiano.

Cali - Sitio

Fecha: 01 de Diciembre del 2012 
Hora: 9 AM - 4:00 PM
Lugar: Sótano 2 - Salón de Diseño Conceptual 
Cupos: 100                                                                               

Cali - Calle 25 No. 115-85 Via Cali - Jamundi

Para tu registro puedes seguir el link:  Cali - Registro de Participantes

Mi desconferencia sera sobre esta charla:

Cuidado con lo q CIFRAS !!!! (Beware much of your encryption on your system)

 Asi que SI, 

Bytes

Dino

"ESTAS LOCO SI TE LO PIERDES " TE ESPERO EN SECURITY ZONE 2012

Hola amig@s,

Si como lo leen:

"ESTAS LOCO SI TE LO PIERDES"  

Te pierdes la oportunidad de:

1. Conocer a expertos Internacionales, ponentes en las grandes CON (como Black Hat, ToorCon, ShmooCon, Security Zone, DEFCON), realizando trasferencia de conocimiento directa de sus investigaciones y contribucciones a la tecnologia y el conocimiento humano.
2. Conocer expertos Nacionales de talla Internacional ofreciendonos su cotribuccion en investigacion y desarrollo tecnologico, brindandonos el estado del arte de la seguridad informatica en Colombia.
3. Tener la oportunidad de realizar Networking Social, branding merchandising, branding personal.
4. Asistir y aprender de verdaderos expertos Nacionales / Internacionales con las mejores practicas y standares internacionales, sumando su expertis y curva de aprendizaje en el crecimiento de la tecnologia.
5. Presentación especial del film "Reboot" durante Security Zone 2012. Unico lugar en Colombia donde pueden ver esta película. No se la pierdan!
6. Conversar con estos expertos directamente, hacer preguntas, y aprender como proteger sus empresas de ataques y amenazas cibernéticas.
7. Concer de la maravillosa y hermosa Ciudad de Santiago Cali conocida como la "SUCURSAL DEL CIELO",  podemos compartir  y disfrutar de la hospitalidad de su gente, clima, alegría, comida, salsa, chontaduro, pandebono y la belleza de la mujer caleña.

Probando la Gastronomia Valluna :D

Los Hackers tambien tienen Vida yBailan  xD

Los Van Van de Cuba (algunas de las Orquestas en Diciembre)

Este evento es:
  

El evento de mayor relevancia en America Latina retorna para su segunda instancia trayendo a los mejores expertos de seguridad informática de todo al mundo, académicos, y empresas lideres en tecnología para presentar lo ultimo en descubrimientos y soluciones en seguridad de la información, en la hermosa ciudad de Cali, Colombia. 

Security Zone 2012 presentará información acerca de los temas más críticos e importantes para la comunidad de seguridad de la información. Asistentes tendrán la oportunidad de conversar con estos expertos directamente, hacer preguntas, y aprender como mejor proteger sus empresas de ataques y amenazas cibernéticas. 

En Security Zone 2012, se hablará de los avances en seguridad informática, nuevas metodologías utilizadas por los "crackers", tendencias de ataques y otros temas que afectan al sector financiero, salud, militar, educación y telecomunicaciones.

AUN TIENES LA OPORTUNIDAD DE ASISTIR A LOS TALLERES Y CHARLAS  CON ESTOS EXPERTOS A PRECIOS BASTANTE MODICOS, APROVECHALOS.........

• Matias Katz - Web Application Hacking and Server Takeover
• Jaime Andres Restrepo - WIFI Security Workshop
• Daniel Rodriguez y Giovanni Cruz Forero - VoIP And Unified Communications Security -The little hidden secrets
• Alfonso Deluque - Tactical Malware Analysis
• Joe McCray - Ciberguerra: Emulando Advanced Persistent Threat en Pruebas de Penetracion
• Fernando Quintero - Network Forensics for Security Professionals
• Carlos Perez - Introducción de PowerShell para Profesionales de Seguridad
• Marc "Van Hauser" Heuse - Pentesting IPv6
• Dave Kennedy - Secretos del SOCIAL-ENGINEER TOOLKIT (SET)

Más Información:

Security Zone 2012

Conferencistas

 Conferencias

Talleres

Cronograma

Patrocinadores

Area Patrocinadores

Costos

Paquete Turístico

Blogs de Presentadores

Reboot Film

Folleto Security Zone 2012

Noticias Security Zone 2012

Cali

Nuestro Hotel Partner

Nuestra Aerolinea Partner

Por ultimo les comento que estare participando con esta charla :D

John Jairo Hernandez (Col) - @d7n0: Pen Test with OSSTMM

Presentación de una charla amena, dinámica y participativa en donde se explican conceptos y la importancia de cada una de las fases de una Auditoria de Seguridad (PenTest).

Presentar evidencias de proyectos reales ejecutados en empresas del sector público y privado resultado de diversos procesos de Análisis de Seguridad (PenTest) adaptando la metodología OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad. ISECOM – Instituto para la Seguridad y las Metodologías Abiertas) del ISECOM, en especial la Sección C "Seguridad en las Tecnologías de Internet".

Se presentaran los siguientes puntos:

• Establecer la Importancia de la Planeación y la definición de Objetivos claros en un PenTest
• Crear conciencia que Auditoria de Seguridad no son solo la aplicabilidad de herramientas de software.
• Dar a conocer una metodología practica para la ejecución de Auditorias de Seguridad.
• Contribuir en la evangelización y sensibilización de la seguridad de la información
• Demostrar con casos reales de éxito de Investigación, la aplicación de métodos científicos.

Y colaborandole a mi amigo  @nonroot  (Fernando Quintero)

En su taller: Network Forensics for Security Professionals

Asi que,

NO TE LO PIERDAS !!!!!!

Te esperamos............

Bytes,

Dino

Espacio radial COSEIN en donde hablaremos de motores de Base de Datos y Test de Penetración

 

 Saludos amig@s,

Los invito al programa radial agendado para el dia Lunes 19 Noviembre de 2012 a las 22 horas de Colombia (10:00 pm) por los buenos amigos de COSEIN (Comunidad de Seguridad Informatica), me invitaron a participar con el tema de Test de Penetracion al igual se tratara el tema de Bases de Datos con el Ingeniero Mike Martos.

Les dejo la Cita de COSEIN Radio en el sitio Web de Antonio Galvez

Tercera Edición, transmitido el 19 de Noviembre del 2012 a las 9:30 PM

Sean todos bienvenid@s a esta su cita con la seguridad. Esto es Cosein Radio, en su 3ra edicion. No sin antes darle las gracias a ustedes por acompañarnos todos los lunes a partir de las 9:30 de la noche junto a mi amigo Carlos Colorado y el grupo COSEIN, ésta vez los temas y los invitados fueron los siguientes:

Tema	Motores de Base de Datos	Test de Penetración
Nombre	Mike Martos	Jhon Jairo Hernández
URL	http://www.facebook.com/groups/cosein	http://world-of-dino.blogspot.com
Twitter		@d7n0

Para escuchar la grabación del programa, lo puedes hacer desde la lista de reproducción.
Espero sus comentarios, sugerencias, críticas, todo lo que pueda ayudarnos a mejorar el programa y los esperamos los lunes a las 9:30 PM (-05:00 GTM)
El link del grupo en Facebook:

Foro	https://www.facebook.com/groups/cosein/
Página	https://www.facebook.com/coseingroup

Mi participacion es EDICION #03-02  solo da un Click  :¬D

Note lo pierdas,

Bytes

Dino