23 noviembre 2013

DEFT, distribución linux para análisis forense


Hace unos meses, nuestro compañero Yago hablaba de la distribución CAINE basada en linux, y hoy os hablamos de Deft, otra reputada distribución que recopila herramientas de análisis forense y que alcanza ya su versión 8.

No se enfoca únicamente al típico análisis forense de discos duros, si no que tendremos la posibilidad también de realizar forenses de red e incluso de dispositivos móviles. Deft v8 está basada en Ubuntu 12.10, y posee un kernel versión 3.5.0-30. Como cualquier tipo de livecd actual, se nos ofrece la opción de instalar la distribución en nuestro disco duro.

Dentro del menú principal de la distribución, nos encontramos las siguientes categorías de herramientas incluidas:

Menú de herramientas de DEFT 8
  • Analysis - Herramientas de análisis de ficheros de diferentes tipos
  • Antimalware - Búsqueda de rootkits, virus, malware, así como PDFs con código malicioso.
  • Data recovery - Software para recuperación de ficheros
  • Hashing - Scripts que permiten la realización de cálculo de hashes de determinados procesos (SHA1, SHA256, MD5...)
  • Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisición de imágenes de discos duros u otras fuentes.
  • Mobile Forensics - Análisis de Blackberry, Android, iPhone, así como información sobre las típicas bases de datos de dispositivos móviles en SQLite utilizadas por las aplicaciones.
  • Network Forensics - Herramientas para procesamiento de información almacenada en capturas de red
  • OSINT - Aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad.
  • Password recovery - Recuperación de contraseñas de BIOS, ficheros comprimidos, ofimáticos, fuerza bruta, etc.
  • Reporting tools - Por último, dentro de esta sección encontraremos herramientas que nos facilitarán las tareas de generación de informes y obtención de evidencias que nos servirán para documentar el análisis forense. Captura de pantalla, recopilación de notas, registro de actividad del escritorio, etc.

Dentro de estas secciones, encontraréis muchísimas herramientas que evitarán tener que recopilarlas por cuenta propia. El listado completo de paquetes lo tenéis en este enlace. De esta versión última 8, todavía no existe un manual, pero podéis echar un vistazo al manual para la versión 7, si bien su uso es bastante simple y cada herramienta lleva su man asociado.

Por último, destacar la inclusión dentro de esta versión 8 de DART 2, una suite para gestión y respuesta ante incidentes desde sistemas operativos Windows, que incluye un lanzador de aplicaciones a herramientas para este sistema operativo.

Ejecutando DART en sistema operativo Windows

Podréis descargar la distribución en diferentes formatos (imagen ISO, máquina virtual y versión para pendrives USB, entre otros) teniendo disponibles varios mirrors. Sin duda, una livecd que no debe faltar también en nuestro arsenal de cds/usbs para llevar siempre encima.

[+] DEFT Linux

14 comments :

lagartyjo dijo...

Gran artículo, sí señor. WhatsApp y su rico mundo de código por explotar, un vergel de vulnerabilidades xD pero hay que decir que en este caso el equipo de WhatsApp estuvo espabilado y lo corrigieron rápido.

En cuanto al título del artículo, calificar la vulnerabilidad como peligrosa... mmm quizás es un poco exagerado. Es un fallo gordo, puede incordiar y recabar cierta información como la IP, pero yo calificaría de peligroso un bug que permitiese acceder a datos críticos del sistema o datos personales del dueño, es decir, algo más gordo que provocar saturaciones o consumirte el ancho de banda. En cualquier caso lo de "peligroso" depende de cada uno :P

Lo dicho, un caso muy interesante, bien explicado y práctico ;)

Luis Delgado dijo...

En ningún momento lo categorizamos como vulnerabilidad, sino como un uso malintencionado de una funcionalidad recién incorporada (sólo Android) que puede suponer un peligro para tu privacidad (esa que tan poco cuida WhatsApp :P).
Gracias por el comentario! :)

Hacking Panamá dijo...

Bastante buena la información, han corregido el fallo bastante rápido pero lo mas interesante son los metodos y técnicas que han encontrado para explotar estas fallas, para nosotros en Hacking Panamá, la falla mas grande es el DoS y DDoS cualquier Script Kiddie puede hacerlo, pero vosotros lo han hecho bien, los felicito, siempre pendiente al blog, ¡Saludos!

Ketu dijo...

Muy buen articulo!, he estado trasteando un poco, y efectivamente con la versión 2.11.109 de WA se puede puede tumbar la aplicación con una imagen lo suficientemente grande, ahora estoy probando cual es el tamaño mínimo de la imagen para que se fuerce el cierre.

Lo que no logro es obtener la dirección IP del teléfono que se conecta al servidor, No sé si podrás explicar un poco más esta parte, yo subí un archivo .php a un directorio del servidor con el código:




Whatsapp



TEXTO



Subí dentro del mismo directorio un archivo log.txt con permisos 777, pero no se graba ningún dato en este archivo. No tengo mucha idea de php y no sé lo que puedo estar haciendo mal.


Un saludo, muchas gracias.

Ketu dijo...

He visto que el formulario de contacto modifica el código .php, es este --> http://pastebin.com/0B4U7pXj


Salu2

Ferran Pichel dijo...

Buenas,


la dirección IP la obtienes utilizando un servidor web bajo tu control, de manera que puedes analizar los logs generados. El tema es enviar un link que apunte a tu propio servidor.


Muchas gracias por el comentario!


Un saludo

María García dijo...

Yo tengo cambia la opción de WA para que no descargue las imágenes, pero las previsualiza borrosas. ¿No es casi lo mismo, con los mismos peligros?

Luis Delgado dijo...

Si te he entendido bien, te refieres a la previsualización de las imágenes que te envían otros contactos, que es otra funcionalidad diferente (en ese caso la descarga del "thumb" se realiza desde los servidores de WhatsApp por lo que tu IP/UA no queda expuesta a terceros)

María García dijo...

Ah, claro, es verdad. Aunque supongo que el "thumb" sí que podría tener bichos. Pero, bueno, eso ya no es tema de este artículo.
Gracias por responder.

Ketu dijo...

Muchas gracias por responder, si, la dirección IP la obtengo del log general de mi servidor, pensé que existía alguna forma de monitorizar solamente la imagen, de todos modos ahora que lo pienso haciendo una busca en log con el nombre de la imagen me van salir solamente los resultados de las visitas que busco.


Gracias, salu2

jmzc dijo...

Una pregunta: si esto es un agujero de seguridad ¿ cualquier navegador para dispositivos móviles tiene este agujero de seguridad ? Porque todos acceden directamente a los enlaces, interpretan javascript, conocen tu IP, pueden colocar contenido pesado para agotar tu tarifa de datos, etc.

Si esto es un agujero de seguridad, cualquier aplicacion web en tu terminal lo es

Alejandro Ramos dijo...

La diferencia es que tu decides si navegar o no y por que direcciones. En el caso de whatsapp no, te pueden hacer llegar mensajes sin que tu los solicites.


Por eso la gente de WhatsApp lo ha cambiado. Ellos también han entendido el problema.

Juan dijo...

Como usar whatsapp en nuestras webs con php.
http://tutorialesraspberry.blogspot.com/

Gonzalo dijo...

Si el thumb lo genera WhatsApp es de suponer que no tendrá virus al ser un archivo nuevo generado internamente en sus servidores, si uno guardase una imagen a partir de otra, por ejemplo generar un thumb JPG de otro JPG, se supone que no llevara nada del contenido original del JPG grande, aparte de que supuestamente las imágenes al ser contenido estático no ejecutable no pueden activar virus que necesitan ejecutarse, por eso mismo supongo que WhatsApp es el único contenido que permite enviar para evitar la propagación de virus por su red.