jueves, agosto 27, 2009

Análisis forense de Mozilla Firefox 3.X.

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

  • content-prefs.sqlite: Las preferencias individuales para páginas.
  • downloads.sqlite: Historial de descargas.
  • formhistory.sqlite: Contiene los formularios memorizados.
  • permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
  • cookies.sqlite: Las Cookies.
  • places.sqlite: Los datos de los marcadores e historial de navegación.
  • search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
  • webappsstore.sqlite: Almacena las sesiones.

Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

  • Linux : “/home/"nombre usuario"/.mozilla/firefox//”
  • Windows XP: “C:\Documents and Settings\"nombre usuario"\Application Data\Mozilla\Firefox\Profiles\"carpeta perfil"\”
  • Windows Vista: “C:\Users\"nombre usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\"carpeta perfil"\”

Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
http://www.sqlite.org/download.html

Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html


También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

Publicado por Alvaro Paz en 6:06 PM http://www.wikio.es 5 comentarios
Etiquetas: , , ,

miércoles, agosto 19, 2009

Aplicaciones de seguridad para Windows Mobile.

En anteriores post he citado herramientas y problemas de seguridad de dispositivos con Windows Mobile. En este post tratare sobre dos herramientas que complementan la seguridad de estos dispositivos: RemoteTracker y CardPass.

RemoteTracker es un software de seguridad para localizar el dispositivo en caso de pérdida o robo, ideal para Smartphones con GPS.

RemoteTracker funciona monitorizando los SMS recibidos desde cualquier teléfono móvil. Y a través de comandos enviados por SMS se puede controlar el dispositivo de forma que envié la posición por: SMS, e-mail y a un FTP. Además de poder utilizar otros muchos comandos de control sobre el dispositivo, todo esto de forma silenciosa, sin que se aprecie ningún proceso en el dispositivo.

Entre sus características destaca:

  • Protección del cambio de la tarjeta de SIM, se activa al detectar un cambio de tarjeta SIM no autorizado. En ese momento, envía un mensaje SMS con la posición del dispositivo, el número de teléfono de la nueva tarjeta SIM y otros datos adicionales, a los números de teléfono definidos por el usuario. Se pueden fijar hasta cuatro tarjetas SIM diferentes.
  • Protección por contraseña: Se puede fijar contraseñas para: la desinstalación del programa y para la respuesta de comandos por SMS.
  • Mediante comandos se puede programar para que llame a un número y habrá el micrófono de forma oculta.
  • Mediante comandos se puede consultar su IP y activar un VNC para controlar el dispositivo.


Más información y descarga de RemoteTracker:
http://remotetracker.sourceforge.net/

Manual de RemoteTracker:
http://remotetracker.sourceforge.net/manual.html



CardPass es un software de seguridad para login seguro en Windows Mobile. Con esta aplicación se puede configurar el dispositivo para que solo se acceda al sistema usando una tarjeta de memoria (SD/CF) como método de login.

Descarga de CardPass:
http://www.geocities.co.jp/SiliconValley/8491/CardPassv10.zip




Seguridad en Windows Mobile:
http://vtroger.blogspot.com/2008/03/seguridad-en-windows-mobile.html

Aplicaciones y consejos de seguridad para PDA y Smartphone:
http://vtroger.blogspot.com/2007/11/aplicaciones-y-consejos-de-seguridad.html

Publicado por Alvaro Paz en 7:00 PM http://www.wikio.es 0 comentarios
Etiquetas: ,

viernes, agosto 14, 2009

Guía para realizar test de penetración.

Vulnerabilityassessment publica una interesante guía para realizar test de intrusión, se llama Penetration Testing Framework. Es una guía muy completa y actualizada donde además de explicar los pasos de un test de penetración, muestran herramientas y manuales muy interesantes.

La guía está dividida en las fases de un test de penetración:

  • Obtener información de la red.
  • Descubrir elementos de la red.
  • Enumerar servicios.
  • Exploración de vulnerabilidades.
  • Penetración.

Además incorpora unos capítulos adicionales para test de penetración específicos:

  • Test penetración Bluetooth.
  • Test penetración Cisco.
  • Test penetración Wifi.
  • Test penetración Citrix.
  • Test penetración para servidores.

Penetration Testing Framework:
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html

Publicado por Alvaro Paz en 7:30 PM http://www.wikio.es 1 comentarios
Etiquetas: , , , ,

martes, agosto 04, 2009

Detectar ordenadores zombis en la red local.

En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:

  • Exploración del anfitrión.
  • Uso de exploit de ataque.
  • Transferencia del software de control al sistema anfitrión.
  • Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
  • Propagación del malware atacando otros host de la red.
  • Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).

Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.

BotHunter es gratuito y está disponible para las plataformas:

  • Windows XP/Vista/2003 Server 32 y 64.
  • Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
  • FreeBSD, probado en la versión 7.2.
  • Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter:
http://www.bothunter.net/

Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

Publicado por Alvaro Paz en 7:38 PM http://www.wikio.es 6 comentarios
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)