30 marzo 2011

Photoshop para Hackers y otros animales de la fauna

No todo en el mundo del auditor es programar scripts en python, meter comillas en formularios web o fuzzear aplicaciones. Un buen trabajo de auditoría acaba con un buen informe de resultados.

Una de las características más importantes en toda auditoría es documentar y evidenciar los hallazgos de la manera más clara posible. De esta forma, si por ejemplo mediante una vulnerabilidad en un servicio se obtiene el fichero de contraseñas, ese fichero ha de ser mostrado en el documento, para que no haya duda del éxito de la explotación.

Las evidencias pueden obtenerse de muchas formas y fuentes distintas, como logs de aplicaciones, salidas de comandos, imágenes o vídeos. Reflejar correctamente todos los datos, pasos y evidencias será la clave final para distinguir entre un buen trabajo de uno mediocre. Incluso independientemente de los resultados.

En el caso de los análisis forenses y periciales esto es aún más importante, ya que el informe será leído e interpretado por personas completamente ajenas al mundo de la tecnología que tomarán decisiones según lo que comprendan.

Por este motivo desde hace unos años es posible encontrar  libros especializados que detallan como mostrar evidencias de una forma inteligible y acorde a la audiencia, como son el caso de "Photoshop CS3 for Forensics Professionals: A Complete Digital Imaging Course for Investigators", "Adobe Photoshop Forensics" o "Forensic Photoshop".

Los analistas forenses y auditores que hacen tests de intrusión son capaces de hacer ingeniería inversa sobre un malware extraído de un volcado de memoria o explotar un 0day, pero no de usar Photoshop. Tal vez sea porque ninguno de ellos, especialistas en seguridad, está dispuesto a usar software de Adobe :-)

A muy grandes rasgos y sin tratar de resumir el contenido de estos libros, unos consejos para que las imágenes que se muestran en los informes sean mejor:
  • Eliminar toda la información irrelevante: las imagenes (y vídeos o audios), han de incluir únicamente lo que sea de interés, eliminando todo aquello que no aporte, pueda confundir o de más información de la que deseamos. Recuerdo haber visto un informe en el que mostraban un navegador con un tema rosa digno de la Barbie. Además de cuatro ventanas de Messenger en la barra de tareas. 
  • Resaltar lo importante: utilizando recuadros, subrayando, aplicando zoom u oscurenciendo el resto de lo mostrado.
  • Ocultar contenido confidencial: si se muestra un listado de contraseñas, tarjetas de crédito, datos personales, etcétera., no suele ser necesario mostrar el contenido entero. Siempre que no se solicite lo contrario, se debería tapar parcialmente la información. 
  • Usar correctamente los colores: pensando que el documento puede ser impreso en blanco y negro e incluso comprobando como quedaría con esos colores.
  • Añadir anotaciones y descripciones: cada imagen tiene que ir acompañada de un pie que la identifique y unas líneas que la expliquen. En ocasiones se pueden añadir adicionalmente información.
Generalmente todas estos cambios se pueden hacer con cualquier software de edición, incluido el Paint de Windows, el Paint.Net y por supuesto con Photoshop, pero existen un par de aplicaciones pensadas para la modificación de capturas que facilitarán la tarea.

Greenshots: herramienta open source para windows que permite capturar y editar el contenido.



SnagIt: es un producto comercial de la compañía Techsmith, es realmente potente y práctica aunque solo funciona en entornos Windows y Mac y tiene un coste de 50$.


6 comments :

Beatriz dijo...

Cuanto menos bulto, mayor claridad.
Las imágenes deben ser sencillas y concisas. Para capturas y tratamiento rápidos, va bien FastStone Screen Capture (http://www.faststone.org/FSCaptureDetail.htm).

Lo del navegador rosa... xDD en fin.
Voy a echar un ojo al Greenshots.
Gracias!

Pedro Laguna dijo...

No puedo estar mas de acuerdo. Es una pelea que tengo siempre aqui con otros compañeros aunque poco a poco van aprendiendo que a las capturas hay que ponerles un poco de mimo.

Yo añadiria, aunque es extension de todas las que ya has mencionado, controla la resolucion de pantalla. No todos tenemos tan buena vista.

Para la edicion yo suelo usar Irfanview que, aunque es mas un visor que un editor, es muy rapido y simple.

Anónimo dijo...

Alejandro al principio pensaba que era algo enfocado mas al hacking, tal como el uso del photoshop para el phishing, pharming, montajes, falsificacion de documentos fisicos y electronicos, manipulacion de ficheros pdf, sin contar con la funcionalidad de poder hacer scripts, que con ayuda de la ingenieria social, decirles que con el PS se hacen cosas que se cuelan en cualquier parte, mas que todo al jugar con la confianza que tiene el usuario del programa y de los documentos generados por el mismo (y que cantidad de usuarios hay hoy en dia, eh!!), en fin hay una buena cantidad de de usos malignos que se le pueden dar al PS, y lo peor de todo es que la mayoria de la gente que se lucra con el malware, hace mucho tiempo usa el PS para estos fines, y con esto que se sepa que PS no es solo para el disegno grafico. Yo mismo tengo pensaba escribir algo respecto, si os interesa os lo podria mandar para que le eches una ojeada.
Por cierto, siendo un asiduo lector del blog, ademas de un fiel seguidor y alumno vuestro, me gustaria poder hacerles un regalo con el photoshop, podria ser algo de disegno para el blog, tal como un header, un logo o alguna que otra cosilla, por cierto que seria un gustazo colaborar, ademas de que os vendria bien un cambio de look.

Aleks.

Rogelio dijo...

Toda la razón del mundo, esas cosas hay que cuidarlas. Por mucho que me guste mi TweetDeck en lila, sé que nadie tiene por qué verlo xD

Anonymous dijo...

Alejandro al principio pensaba que era algo enfocado mas al hacking, tal como el uso del photoshop para el phishing, pharming, montajes, falsificacion de documentos fisicos y electronicos, manipulacion de ficheros pdf, sin contar con la funcionalidad de poder hacer scripts, que con ayuda de la ingenieria social, decirles que con el PS se hacen cosas que se cuelan en cualquier parte, mas que todo al jugar con la confianza que tiene el usuario del programa y de los documentos generados por el mismo (y que cantidad de usuarios hay hoy en dia, eh!!), en fin hay una buena cantidad de de usos malignos que se le pueden dar al PS, y lo peor de todo es que la mayoria de la gente que se lucra con el malware, hace mucho tiempo usa el PS para estos fines, y con esto que se sepa que PS no es solo para el disegno grafico. Yo mismo tengo pensaba escribir algo respecto, si os interesa os lo podria mandar para que le eches una ojeada.
Por cierto, siendo un asiduo lector del blog, ademas de un fiel seguidor y alumno vuestro, me gustaria poder hacerles un regalo con el photoshop, podria ser algo de disegno para el blog, tal como un header, un logo o alguna que otra cosilla, por cierto que seria un gustazo colaborar, ademas de que os vendria bien un cambio de look.

Aleks.

Rogelio dijo...

Toda la razón del mundo, esas cosas hay que cuidarlas. Por mucho que me guste mi TweetDeck en lila, sé que nadie tiene por qué verlo xD