27 abril 2016

Ya está aquí #x1redmassegura 2016!





La iniciativa X1Redmassegura surgió en 2013, de la mano de gente de la comunidad que, como en muchos otros casos (y según dicen ellos), derivó de un "Pues estaría bien hacer un evento de seguridad para familias." y su consecuente respuesta "No hay huevos..." Y ya sabéis lo que pasa cuando esa es la respuesta. Que se hace.

Tras esta iniciativa, entre otros, estaban los conocidos Juan Antonio Calles y Ángel Pablo Avilés, más conocido por todos como el GRAN Angelucho.  

El objetivo de este evento es precisamente concienciar y alertar a los asistentes, generalmente un público nada técnico, sobre los peligros que puede conllevar Internet. Cuando no has tenido la oportunidad de aprender algo desde niño, hacerlo de mayor ya cuesta más, por lo que hay que poner todo el empeño en enseñar lo mejor posible sobre términos y tecnologías que no siempre entienden, a quienes nos han enseñado a nosotros cosas que cuando éramos niños, tampoco entendíamos.

Es difícil hacer que un evento, sea técnico o no, se mantenga vivo después de 4 años, pero en x1redmassegura lo han conseguido, y este año 2016, ya vamos para la cuarta edición. Y digo vamos, porque he tenido el honor y el placer de participar como ponente en todas las ediciones que se han hecho, incluso una de ellas por videoconferencia desde el otro lado del charco.

Así que en esta edición, si Dios quiere volveré a participar en X1redmassegura. El título de la charla no sé si aún se puede revelar o no, pero para no perder la costumbre que llevo últimamente, irá de "Peritaje Forense". Y algunos diréis: "¿Vas a contar alguna de las charlas de Memorias de un Perito Informático Forense que has dado hasta ahora?". La respuesta es no. Primero porque en X1redmassegura, siempre he preparado una charla nueva y segundo porque como he dicho al principio, el público de este evento precisamente no es técnico, por lo que sí, contaré alguna historia relacionada, pero no tendrán nada (o lo mínimo imprescindible) técnico.

Así que nos vemos el 20 y 21 de Mayo, en el mismo sitio que se ha llevado a cabo los últimos años, la Escuela Técnica Superior de Ingenieros de Telecomunicación de la UPM en Madrid.

Tenéis todos los detalles en la web de X1RedMasSegura: www.x1redmassegura.com
Leer más...

18 abril 2016

VirusTotal, perteneciente a Google, es un servicio online gratuito que permite analizar archivos y URLs para identificar virus, gusanos, troyanos y otro tipo de contenido malicioso detectado por los motores antivirus y los escáneres web.

Desenmascara.me es un servicio online gratuito que analiza sitios web para identificar principalmente si son FAKE (relacionado con las falsificaciones online) o no.



¿Cómo puede estar un sitio web FAKE relacionado con el contenido malicioso?; déjame explicártelo.

Los productos falsificados, principalmente de moda y lujo han encontrado en Internet la vía mas sencilla de distribuirse. Existe una economía underground donde un gran numero de criminales distribuidos globalmente comercian con datos, información y servicios con el objetivo de defraudar a usuarios y empresas, este movimiento esta relacionado con la "commoditization" del mercado negro; una innovación "reciente" de los defraudadores.

Las organizaciones underground tienen unos roles claramente definidos con interdependencias, como por ejemplo; comprar y vender servidores web comprometidos, hosting de scam, exploit kits, y acceso a credenciales de usuario incluyendo nombres de usuario, contraseñas, números de tarjetas de crédito, y demás datos personales.


Recientemente Google publicó un articulo sobre una investigación relacionada con este tema: The underground market fueling for profit abuse. Los investigadores enlazaron las relaciones entre los diferentes roles especializados en esta economía underground, tal y como se puede ver en el gráfico siguiente:



cuya explicación, paso a paso se puede ver detallada en este vídeo:


ahí se aprecia claramente la especialización de cada actor. Esta economía underground es la culpable de la mayoría de amenazas online que sufrimos actualmente como; anti-virus fake, ransomware, troyanos bancarios y cualquier tipo de crimeware disponible en la actualidad.

Mientras leía dicho Paper, el siguiente gráfico llamo mi atención:

Porque IOCs para todas las amenazas descritas en dicho cuadro están disponibles actualmente en cualquier servicio proveedor de feeds tanto propietarios como open source para hacer algún tipo de:
  • Correlación: (se necesita ver el incidente A antes de que el incidente B salte)
  • Enriquecimiento: (para tener mas contexto sobre amenazas ya conocidas)
  • Validación: (el rango IP de un incidente esta incluido en un IOC) 

Pero para la estrategia Luxury knock-offs del centro de beneficios: Productos distribuidos con Spam, donde los margenes de beneficio son incluso mayores que en otros malwares mas conocidos como Clickfraud o incluso cercanos a Zeus, al menos yo, no era consciente de ningún feed que proporcionase dicha información tan especifica.

La integración de desenmascara.me con el servicio de escaneo de URLs de VirusTotal es sobre este centro de beneficios: Productos que se distribuyen a través de Spam, concretamente los Luxury knock-offs. Cualquier sitio web FAKE relacionado con las falsificaciones online sera clasificado por desenmascara.me como tal y como sospechoso en VirusTotal.

A continuación puedes ver algunas métricas sobre datos que desenmascara.me esta recopilando:

Pagina principal de desenmascara.me



Cuadro de mando con todas las marcas disponibles y estados de los sitios webs (no disponible públicamente todavía)

Disponibilidad de algunos sitios FAKE haciéndose pasar por la marca PRADA.

Para concluir, el servicio web desenmascara.me sirve para que cualquiera pueda verificar si un sitio web es oficial o no, y además toda la información recopilada se comparte con la comunidad (con esta integración en VT) para proporcionar mas contexto en incidentes de Seguridad. Si además trabajas en algún departamento de protección de marca digital,


entonces te interesará seguir a la cuenta de twitter desenmascarame (que tuitea automáticamente cada vez que un nuevo sitio web FAKE es detectado y avisa a la marca), o darte de alta en el servicio avisame, donde obtendrás todos los metadatos del sitio web afectando a tu marca.

Colaboración por cortesía de Emilio Casbas



Leer más...

15 abril 2016

Podcasts/Hangouts sobre informática forense y peritaje

Esta semana tuve la oportunidad de participar en dos sesiones de podcast usando Hangouts, en los que debatimos sobre diversos temas relacionados con la análisis forense y peritaje.

Uno de ellos, fue en el popular "Palabra de Hacker", en el que tiempo atrás me entrevistó Yolanda Corral. La del martes fue una sesión bastante divertida, en la que participamos el fiscal Jorge Bermudez, mi compañero de ANCITE José Aurelio García Mateos (AKA "peritolegal" para los amigos), la inspectora de policía Silvia Barrera, la abogada penalista Ruth Sala y el que escribe, Lorenzo Martínez.

Fundamentalmente, Yolanda Corral, moderó con una profesionalidad increíble, un debate que tuvo momentos divertidos (a tenor de las impresiones que iba viendo en el hashtag #palabradehacker), mezclados con los siempre diferentes puntos de vista entre los más profesionales más cercanos al mundo técnico y los relacionados con el mundo legal.

Varios me habéis preguntado por qué casi todos llevábamos una camiseta de algún superhéroe (o incluso un disfraz completo). La causa es que, de forma totalmente espontánea, Jorge apareció con una camiseta de Batman. Acto seguido, Silvia se ausentó y volvió con una de Superman,... me acordé que tenía una del Capitán América, así que fuí rápido a por ella. Y lo que nadie esperábamos es que Ruth apareciese con un disfraz de Spiderman. 

Podéis ver el debate, en el video que os dejo bajo estas líneas.




El segundo podcast sobre informática forense, fue para H4ckm33ts, organizado por mi buen amigo y excelente profesional del peritaje forense y de la seguridad en general, Javier Soria Pastor.

En este podcast, tuve el placer de participar junto a otro buen amigo, Cecilio Sanz, uno de los organizadores de Hackron, el congreso de seguridad de Canarias, uno de mis favoritos en España, CEO de la compañía de seguridad Alisios Informáticos y compañero perito en ANCITE.

Javier nos había preparado un set de preguntas, con un enfoque más académico y con un objetivo más de divulgación que el anterior, con las que los tres nos lo pasamos genial. Repasamos diferentes conceptos de peritaje forense, recordamos viejas historias del abuelo cebolleta en vidas anteriores... y quedamos en que el siguiente encuentro para hablar de forense fuese rodeados de unas cervezas.


Hasta ahora no había tenido la oportunidad de participar en este tipo de sesiones, y la verdad es que me ha parecido muy interesante y ameno el formato. 
Espero que os gusten!
Leer más...

01 abril 2016

Análisis forense: Lo que había, lo que hay,... y lo que habrá

El mundo del peritaje forense ha cambiado mucho en estos años. Todavía recuerdo cuando en los primeros juicios a los que me presentaba comentaba en el informe que las evidencias se habían extraído con un Helix y marcaba la integridad de las evidencias con MD5. Por aquel entonces no había mucho escrito sobre forense, y era muy complicado explicar las cosas a alto nivel.

Después, y como todo en esta profesión, se fue actualizando más y más el campo del peritaje hasta el día de hoy, en el que existen numerosas herramientas, procedimientos y aproximaciones para extraer una evidencia.

Y aquí es donde surgen nuevos problemas. Ya no vale con marcar las evidencias con MD5, porque tanto jueces como abogados te pueden tirar las mismas alegando colisiones. Con las herramientas pasa un poco lo mismo. Personalmente he visto cómo en determinados juicios, se han tirado evidencias porque han logrado demostrar que la solución utilizada para la extracción de las mismas no lo hacía correctamente.

Del peritaje forense nació el contra-peritaje, que consiste básicamente en desmontar – de una manera técnica y a bajo nivel– las evidencias presentadas en un caso. Y para desmontar las evidencias no suele valer un “Le pasamos esta herramienta gratuita y como podéis comprobar….”, porque en ciertos escenarios, esa evidencia no valdrá nada ante un abogado que realmente sepa de lo que está hablando.

Cualquier perito decente os recomendará sin duda la utilización de herramientas como Encase o FTK, y no porque sean más o menos caras, sino porque en determinados escenarios, gracias a la mera utilización de la misma tendréis el caso ganado. Pensad por un momento un caso en donde tengáis que extraer información de determinados ficheros alojados en un disco duro con un sistema operativo de cualquier tipo, en el que no sólo residen esos ficheros, sino que también se encontrarán ficheros de carácter personal como fotografías o vídeos.

Gracias a estas herramientas y/o frameworks, los peritos se pueden concentrar en la búsqueda sin importar el tipo de dato que se encuentre en el sistema operativo. Más de un caso se ha caído debido a que en la búsqueda de esa información, el perito se topó con directorios que se encontraban fuera del ámbito de actuación y que no debería ver y/o analizar.

Hay que aplicar la medida justa para extraer la evidencia, ni más, ni menos. El conocimiento del entorno tanto a alto como a bajo nivel, así como la elección – o la fabricación - de la herramienta determinarán una buena actuación, amén de la profesionalidad del perito a la hora de llevar el caso. Porque no olvidéis que os citarán como experto en la materia.

También es importante tener amigos. En este caso, y dado la fragilidad de este campo, se recomienda que los peritos pertenezcan a algún tipo de asociación. Y por asociación quiero decir algo serio que resuelva las dudas puntuales que pueda tener un profesional. Para el caso que nos ocupa, y aquí en España tenemos ANCITE, que brinda muchos servicios y ayudas a los profesionales que día a día se enfrentan a juicios.

Y después tenéis a gente como Pedro Sánchez, Lorenzo Martínez o un servidor para echaros un cable siempre que lo necesitéis y esté dentro de nuestra mano. Como sabéis, Securízame organiza todos los años un curso de análisis forense para profesionales del sector. Gracias a estos cursos se han podido ver y estudiar escenarios nunca vistos como por ejemplo análisis de servicios basados en SQL Server, Exchange o Active Directory, por citar algunos en los que he sido invitado como profesor.

Como cada año, y anticipándonos a nuevos escenarios, el curso de este año está liderado por grandes profesionales del sector como por ejemplo Sergi Alvarez (@trufae), el cual es uno de los desarrolladores principales de radare, herramienta ampliamente utilizada en forenses de tipo avanzado y en donde se requiere un nivel de detalle importante en cuando a la presentación de evidencias.

También estará José Antonio Guasch (@secbydefault), el cual es uno de los editores de este humilde blog y reconocido profesional que ha sido invitado por Securizame para hablar a bajo nivel de navegadores, así como las buenas prácticas a la hora de montar un laboratorio forense, junto con Lorenzo Martínez (@lawwait).

El incombustible Pedro Sánchez (@conexioninversa) participará esta vez enseñándonos todo lo relacionado con Incident Response, disciplina que cada vez más se está demandando en clientes finales.

El gran Toni de la Fuente (@ToniBlyx) ha sido invitado para que nos enseñe cómo enfrentarnos a casos forenses en donde la información resida en la nube, algo que ya forma parte de nuestra rutina diaria.

La parte de Yago (@YJesus), editor también de este blog y creador de herramientas como unhide, es la de Backdooring, ocultación y búsqueda de tramas, no sólo en el sistema, sino también en red.

Por mi parte (@tr1ana) yo he sido invitado para dar la parte de OS en Windows. Pero no me voy a centrar este año en registro o ficheros. Este año toca centrarnos en servicios como Cortana (Sí, Cortana!), la interfaz Metro o la integración de aplicaciones con el escritorio. También dedicaré un apartado especial al análisis de memoria RAM, pero esta vez Volatility se quedará en el cajón y lo haremos mediante herramientas nativas de Microsoft, como son WinDBG o SysInternals.

En la URL del curso tenéis tanto el temario como horarios y profesores implicados en el mismo. Por mi parte, deciros que os veo en unas semanas para seguir explorando esta maravillosa disciplina.


Juan Garrido
MVP Enterprise Security
Leer más...