jueves, 15 de noviembre de 2007
Nuevos terrores AWRC Remote Commander
Hemos detectado el uso de una herramienta de escritorio remoto llamada AWRC Remote Commander entre los alumnos. La utilizan para hacerse la puñeta (como no) y ganarse alguna que otra expulsión del aula.
Esta herramienta ya hace años que la conocia y tiene la particularidad de que para acceder a controlar el escritorio de otro PC no se necesitan saber ningún tipo de cuentas de usuario. Un verdadero terror... Funciona mediante los servicios de red de Microsoft (puerto 139 y 445) y la verdad es que va de perlas!
La solucion que he adoptado ha sido listar los procesos que se ejecutan en los ordenadores de los alumnos con el PSlist.exe que se incluye en las PsTools de microsoft... si pillo el proceso AWRC alumno expulsado...
Recuperacion de particiones y datos de un disco duro
la cantidad de mensages en la comunidad de informática forense de habla hispana que preguntan sobre este tema. La cosa verdaderamente és desbordante, y la verdad és que no hay impoténcia peor que saber que en aquel disco duro tenías unos datos importantes y no tienes ni idea de como recuperarlos.
Al parecer las copias de seguridad son un concepto que tan solo aplican empresesas e instituciones y el usuario doméstico olvida por completo. No costaría nada tener un pendrive a mano (ese que se ha quedado pequeño) y almacenar en él los documentos críticos.. pero bueno, que le vamos a hacer. Al parecer, por este u otros motivos, el ansia de recuperar información perdida és muy común.
A mi me sucedió que al quere reformatear el PC y reinstalar windows XP, listo de mi, borré por error las particiones del disco de respaldo, perdiendo todos los documentos.... si es que cuando uno no tiene el dia és mejor estarse quietecito.
La recuperación casi total de la información del disco ha pasado por dos fases. La primera ha sido recuperar la tabla de particiones y la segunda intentar recuperar algun archivo que habia eliminado previamente del disco de respaldo.
Para recuperar las tablas de particiones he echado mano de una herramienta muy sencilla de usar bajo línea de comandos y, como no, gratuita: TestDisk. No me centraré en explicar el proceso, ya que és muy simple y en la web podeis encontrar manuales en español.
Una vez recuperadas las tabals de particiones, el disco ya era reconocido por Windows y la mayor parte de sus datos accesibles. Por desgrácia, antes de borrar la tabla de particiones habia eliminado ciertos documentos del disco y ahora queria recuperar-los. Grácias a Restoration he recuperado gran parte de los arxivos eliminados, pero no todos... ahora estoy en busca de una aplicacion de recuperación de arxivos mas potente.
En este caso, la perdida de información del disco duro se debía a la eliminacion por software de los datos, y notese que de una eliminacion ligera (nada de sobre-escribir 100.000 veces el disco con valores 0). Si el problema reside en una disfuncion física del disco, muy posiblemente la recuperación de datos sea más complicada y con resultados no tan buenos. Sin embargo el proceso y/o herramientas son las mismas.
Bueno, a ver si os puede ser de utilidad todo ello.... esperemos aprender del error y mantener una política de copias de seguridad ajustada a nuestras necesidades!!!
sábado, 3 de noviembre de 2007
Al fin parece que he entrado
Finalmente me he decidio por la UOC, por aquello de estudiar desde casa y de forma telemática. Pese al sablazo que representa el precio del master, me he decidido por el master de seguridad informática que ofrecen.
Creo firmemente en que este sector verá ampliar su cuota de mercado en poco tiempo, cuando las pymes vean que necessitan sistemas informáticos bien gestionados y securizados. Con algo de suerte podría trabajar como freelancer haciendo algunos trabajillos extras... quien sabe.
Por el momento lo único que me preocupa es comenzar el master y tener tiempo para llevarlo bien, ya que tendré que rascar horas de sueño por todos lados... ya veremos que tal!
Seguro que de aquí en adelante, mas de una entrada al blog estará relaiconada con esto!
lunes, 29 de octubre de 2007
Seguridad de iFrames
Las pruebas van desde la redireccion de la web hasta en escaneo de la red local a mediante una página web...
certificaciones gratuitas
Aqui lo teneis.
viernes, 26 de octubre de 2007
Seguridad en Linux
El manual en si está pensado sobre Debian, pero és fácilmente extrapolable a cualquier otro sistema Unix/Linux. Está en español, por tanto no hay excusa para no leerlo.
Tambien he encontrado una web en inglés para aprender todo lo referente a ipTables. Esta habrá que estudiarla con mas tiempo.
He encontrado estos recursos, pq estoy buscando informacion para instalar un servidor Ubuntu enfocado a monitorizar la seguridad de la red (IDS, HoneyNets, etc...). La idea, como ando falto de recursos, és montarlo sobre vmWare y así poderlo llevar conmigo a todos sitios.. a ver que hacen mis alumnos cuando no veo sus pantallas....
Como siempre todo dependerá del tiempo libre que le pueda dedicar... Si finalmente me lanzo a la aventura ya lo relataré al dedillo.
En todo caso, la web y sobretodo el manual son todo un allazgo y me los estoy estudiando enteritos.
Tienes una nVidia? Pues tienes un super-ordenador!
Ha salido publicado un articulo de ELCOMSOFT donde explican que han conseguido, gracias a que nVidia ha liberó un kit de desarrollo en C para programar las GPUs de sus targetas, crackear passwords en tiempo récord.
Con CUDA (el kit de nVidia) se puede programar la GPU (Graphical Processor Unit) y por tanto trabajar en paralelo con la CPU, obteniendo dos unidades de processamiento que pueden hacer trabajos compartidos.
Grácias al doble cómputo, han conseguido roper passords complejos en menos de cinco dias y simples en unos pocos minutos.
Las referéncias:
Articulo
PDF con la técnica
martes, 23 de octubre de 2007
El terror 2: Emule portable
Empieza a hacer falta un buen pendrive con buena capacidad y por parte de los institutos unos firewalls bien configurados... mal vamos!!
jejeje
El enlaçe aquií:
http://pendriveapps.com/2007/03/08/emule-portable-p2p-filesharing/
lunes, 22 de octubre de 2007
El exodo de los gnomos
Personalmente le doy al género fantástico, para descansar neuronalmente y desconectar de este mundo, o al ensayo puro y duro...
En especial, me gusta mucho El Mundo Disco de Terry Pratchett. Las novelillas de bolsillo que he leido hasta el momento han conseguido hacer escapar alguna carcajada descontrolada en los trayectos de tren, o en el sofá de casa. Pero triste decirlo, hasta hace muy poco no habia comprado ningún libro de este autor!
Al fin me decidí y me estrené con la trilogía del Exodo de los Gnomos. Esta trilogia consta de tres libros titulados Camioneros, Cavadores y La Nave. Por desgracia, no me ha acabado de hacer el peso.
De todos los libros de Pratchett que he leido, estos tres son en mi opinion de los mas flojos. Quizas se deba a que no estan ambientados en el Mundo Disco, y faltan los personajes tan entranñables como el baul, Cohen, etc. La verdad es que no me ha agradado tanto como los otros.
Trata sobre como un grupo de gnomos descubre que toda su raza procede del espacio y como intentan llamar a la nave nodriza que los esta esperado allí fuera...
Por suerte, siempre hay algun puntazo marca de la casa que acaba salvando la saga...
Con todo, una saga para pasar el rato si quieres desenchufar un poco, pero sin esperanzas de reir como nos tiene acostumbrados Terry...
Un enlaçe a unad escripción mas extensa de los libros:
http://www.ciencia-ficcion.com/opinion/op00043.htm
sábado, 20 de octubre de 2007
Vidoe/curso sobre gestió de los CIRT
In /Forming a TEAM/, you’ll learn about the history of incident response;
typical network attacks; CIRT services and service levels, policies and
procedures; and staff recruitment. /Handling Computer Security Incidents/
covers types of attacks, security tools, the triage process, technical
requirements, the tracking system, information and response needs, and the
telephone hotline. In /Managing a Team/, the importance of securing a CIRT,
code of conduct, incident prioritization, and approaches to managing
workload are discussed. In /Reporting, IAVAs and INFOCONS/ will be reviewed
as well as CIRT reporting requirements.
After you complete the entire course, you can print a course completion
certificate.
Por el momento no lo he descargado, pero por si a alguien le puede interesar os he posteado la referencia...
viernes, 19 de octubre de 2007
Un gesto de las PYMES de informática...
Bueno, me parece maravilloso que las pequeñas y medianas empresas de informática informen a sus clientes sobre el uso de software libre y de como recuperar el dinero del Windows pre-instal·lado. Pero seamos sinceros... hacerlo en la web de la APEMIT, que casi nadie conoce, es un poco política de gestos.
No seria mejor que las empresas informaran a sus clientes "en directo"?
De nuevo tocará a la comunidad passar este tipo de infomación! Sin duda mis alumnos serán los primeros en reclamar el dinero a Microsoft (con tal de tener mas dinera para cubatas son capaces de todo)!!
Por cierto, la web de APEMIT es:
http://www.apemit.org/
Articulos interesantes
En la Hakin9 del 10/2007 (la numero 29) hay TRES articulos sobre informática forense. El primero de ellos és sobre el uso y utilidad de los honeypots para definir el perfil del atacante, otro articulo se centra sobre la informática forense y legalidad. Finalmente hay un pequeño articulo sobre consideraciones forenses en la banca electrónica.
Pese a que los contenidos no son nada del otro mundo (al menos yo no he visto la luz) y realmente son muy específicos, si es cierto que los articulos sobre informática forense escasean mucho entre las publicaciones de seguridad de habla hispana.
Esperemos que no se quede aqui y vayan ampliando el tema.
El enlace a la revista, por si alguien quiere comprarla:
http://hakin9.org/es/haking/issues/10_2007.html
lunes, 15 de octubre de 2007
Alternate Data Stream (ADS)
El Alternate Data Stream se introdujo dentro del sistema de ficheros NTFS para dotarle de compatibilidad con "Macintosh Hierarchical File System", el sistema de ficheros de Mac.
Su utilidad reside en dar metainformación a un fichero. Sin embargo, la familia Windows proporciona herramientas muy simples para crear los ADS's pero ninguna para detectarlos. Esto unido a que se puede incluir como metainformación cualquier tipo de información provoca que esta utilidad sea una manera de entrar al sistema de virus, rootkits, etc...
Para crear un ADS simple, podemos utilizar el comando:
C:ADS>echo este es un texto de prueba > fichero.txt:oculto
A partir de aquí, para recuperar el contenido del ADS:
more < fichero.txt:oculto
Exactamente igual, podremos crear ADS's, que en vez de contener texto, contengan código ejecutable:
C:ADS>type c:\windows\notepad.exe > fichero.txt:np.exe
Y para ejecutarlo basta con:
C:ADS>start fichero.txt:np.exe
Además, podemos apreciar que el tamaño de fichero.txt no varia, con lo que su metainformació pasa totalmente inadvertida.
Por suerte, existen varias herramientas para poder detectar ADS's. En particular el clásico streams.exe de Wininternals, pero es una herramienta engorrosa de manejar. Una herramienta más sencilla fué creada por Frank Keyne y es el programa LADS.EXE Imprescindible para un análisis forense!
Espero que os sea interesante!
Dificultando el análisis forense...
El artículo está en ingles (como no), pero dudo que sea problema!
http://ws.hackaholic.org/slides/AntiForensics-CodeBreakers2006-Translation-To-English.pdf
También os dejo este enlaçe, donde hay una presentacion titulada "The Affect of Trusted Platform Modules on Computer Forensics: A Primer". Básicamente explora el efecto de las prataformas "Trusted Plataform" en el análisis forense. Estas plataformas son un método de encriptación de datos muy severo y puede dificultar la recuperación de los datos del disco, etc... aun la tengo pendiente de leer...
http://infosectech.net/msia/MBuchert_extra_credit-Affect_of_TPMs_on_%20Forensics.zip
Espero os sean útiles!
miércoles, 10 de octubre de 2007
Un análisis forense
El informe aparece en forma de relato, para que se pueda apreciar todo el proceso del análisis forense y como se va realizando la documentación. Aparece todo, desde las consideraciones, herramientas y comandos utilizados, la realización del informe, etc. La única pega que realmente le puedo encontrar és que este en ingles... nada que un buen informático no pueda superar!
La direccion és la siguiente:
http://www.sans.org/reading_room/whitepapers/application/1906.php
Recomendada tanto para administradores, forenses o atacantes ya que se puede apreciar exactamente como se recuperan los datos y donde una mejor administración podria haber dado mas luz al asunto.
viernes, 5 de octubre de 2007
Que buen invento esto del Moodle
Ya llevamos un mes utilizando la plataforma en clase y la cosa va muy bien. Por un lado tengo organizados los ejercicios, la teoria y las entregas.... y por otro me esta ayudadno a que los chabales se busquen un poco la vida y descargarme de trabajo... me explico.
En la asignatura de ofimática le estoy dando principalmente Word. Como tb tenemos que ver OpenOffice (y no tengo ni idea) hago que ellos confeccionen una Wiki para montar entre todos un manual de OpenOffice Writer... con ello los tengo que los que:
- Los que avanzan muy rápido pueden ir haciendo la Wiki y no estan parados.
- Yo no tengo que estudiar mucho OpenOffice, pq son ellos los que van aprendiendo (aunque lo básico logicamente si lo tengo que saber).
- No tengo que preparar material (apuntes) de OpenOffice (que son los que no tengo) ya que los confeccionan ellos mismos.
domingo, 23 de septiembre de 2007
Quieres ser informàtico?
jueves, 2 de agosto de 2007
Análisis del tráfico de red
No acostumbro a re-publicar cosas, pero creo que este tema és interesante... en el último TechEd 2007 hubo una sesión que impartió Laura Chappel, fundadora de la Wireshark University . Laura ha dejado grabada una Webcast para TechNet con este contenido:
"The Network is Slow": Identifying the Cause of Slow Network Communications
Además ofrece una serie de cursos y recursos, algunos de ellos de pago y otros gratuitos, como su Lab Kit v8, los posters de los protocolos IP e ICMP o algunas trazas de ejemplo para "hacer guantes" (ver la sección de descargas de http://www.packet-level.com).
Aprendiendo a analizar el tráfico de la red podremos localizar problemas y lactáncias así como usos "no deseados".Pues nada, a estudiar lo que queda de vacaciones!!!
Rap del profesor
Amigable y divertida cancioncilla, aunque para nada exagerada. Y és que más de uno deveria ir a una guardia de ESO para saber donde estan tus própios límites emocionales y de auto-control!!
Suerte que no estudié magisterio y soy informático... sino pensaría que estoy mal de la cabeza!! jejjeje
martes, 31 de julio de 2007
Por fin, nuevo Moodle!!!
Despues de unas horitas, ya tengo subida la nueva versión... ahora tan solo hace falta configurarla al gusto! Tan solo he encontrado un problemilla y es que no me acepta el apostrofe, al menos para crear cursos... Veremos que puedo hacerle.
lunes, 30 de julio de 2007
Obtener información mediante el servidor DNS
Esta técnica se conoce como consulta de DNS inversa y en Youtube podemos encontrar un ejemplo:
No hace falta ser un experto para ver que la información que obtenemos és brutal y que hay que evitar este tipo de ataques a toda cosata.
viernes, 29 de junio de 2007
Discos de arranques para los ventanas
http://www.allbootdisks.com/Languages/es/iso.html
uTorrent, un pequeño peligro....
UTorrent (microTorrent) és un minúsculo cliente de archivos torrent gratuito (como no) que no necesita instalación i que ocupa tan solo 176Kb en disco. És un solo archivo y lo podeis descargar sin problemas desde este enlace:
http://utorrent.com/index.php
Portalbe tranquilamente en el PenDrive, tan solo tendremos que preocuparnos que este último tenga espacio para almacenar lo que nos estemos descargando (que no era mi caso). Al no necesitar instalacion, tampoco se dejan rastros claros en los equipos donde lo utilicemos... vamos una joya!
Espero que mis alumnos no lo descubran, pq sino tirarán abajo la red!! jejjeje
Añadir una impresora a todos los usuarios de w2000
Que coordinador informático no se ha encontrado instalando una impresora compartida, en una classe de 20 o 30 ordenadores i para a cada uno de los usuarios de susodichos ordenadores... Posiblemente, quien lo tenga que hacer manualmente adquirirá algun tipo de trastorno agresivo hacia todo aquel que le comente "se tendría que instalar..."!
Bueno, como los informáticos buscamos el equilibrio de energias cosmicas que se rige por la másima de la ley del mínimo esfuerzo, hay varias maneras de hacerlo sin morir en el intento... esta és una:
Descargar con2prt.exe desde la web de Microsoft (Si, lo vamos a hacer sobre ordenadores con el ventanas, en concreto un w2000 prof.):
http://webtools.live2support.com/windows/con2prt.php- Copiar este ejecutable en la raiz del disco C:
- Seguidamente crear un archivo por lotes (p.e.: instImp.bat) que contenga la orden con2prt.exe /cd \\nombrequipo\impresora
- Guardar el archivo batch que acabais de crear en (puede cambiar dependiendo de la versión de windows) c:\documents and settings\all users\menu inicio\programas\inicio\
Espero que os sea útil!
Cerrando el curso....
Hoy mismo és el ultimo dia "oficial" de trabajo y toca limpiar casilleros, carpetas personales (donde habian cosas tan curiosas como exploits, escaners, etc, que mejor nadie encuentre el año que viene) y dejar la compilacion de examenes i documentacion lista para el que venga detras de mi.
A todo esto, este año se le añade tener que venir algunos dias extras, como subenir veraniego, para controlar donde emplazaran los servidores del instituto de forma temporal hasta que finalicen las obras de su nuevo emplazamiento.
Tambíen despachan el ya antiguo consultor informatico del centro y contratarán a otro nuevo, que por desgracia no seré yo (y ese es mi pesar!). A pesar de ello intentaré meter bien la pata en este centro, que queden contentos, y quien sabe si algun dia pueda sacar tajada de aquí! jejjeje
Este a sido un curso muy divertido, a saber; follones con la direccion, inspección pisando los talones, problemas de tutoria con profesores, etc.... sin duda he vivido "tiempos interesantes"!
Escaners de redes
El primero es Lanspy de LanTricks. Este escaner es excepcional ya que nos muestra una cantidad de información enorme y muy util.... Sistema operativo, serice packs, puertos, usuarios, recursos compartidos y un largo etcetera. Su uso es muy intuitivo y la única deficiencia que tiene és la presentacion de los datos, que aunque correcta para el administrador, és poco atractiva para hacer una presentacion o incluir-la en algun documento.
Para compensar esto os muestro The Dude, otro escaner de redes que nos proporciona información, aunque no tan detallada como LanSpy. Sin embargo la ventaja es que crea un grafico "bonito" de nuestra red, representando cada elemento con un icono afín, y puede ser exportado a xhtml o pdf. Con este esquema si podemos incluirlo tranquilamente en qualquier tipo de documentación.
Aquí los enlaces:
LanSpy: http://lantricks.com/lanspy/
The Dude: http://www.mikrotik.com/thedude.php
Que os sean útiles!
jueves, 28 de junio de 2007
Recuperación de archivos
Aunque ya sé que la mayoria de suits forenses incluyen herramientas seguramente mas potentes e incluso el WinInternals trae una consigo, esta utilidad presenta la ventaja de su reducido tamaño.
Descomprimida y lista para usar ocupa la irrisoria cantidad de 420Kb en disco, haciendola ideal para llevar en una memoria USB para casos de emergencia. A más de su reducido espacio en disco, es totalmente Freeware.
Por su tamaño y no-precio, creo que merece un vistazo aun no siendo algo limitada.
La dirección web del producto, desde donde podeis descargar la última versión és:
http://www.snapfiles.com/get/restoration.html