La recuperación de contraseñas puede ser práctica

 por Ken Mizota

El departamento de Tableau de Guidance Software recientemente lanzó Tableau™ Password Recovery, una solución de hardware y software para acelerar los ataques a contraseñas de archivos protegidos, discos y otros contenedores.

Siempre es divertido jugar con nuevos “juguetes”. Cuando el nuevo juguete es un gigante construido especialmente para romper contraseñas y escalable linealmente, ¿cómo podríamos jugar sin compartirlo? Investigué un poco durante la ejecución de una configuración de Tableau Password Recovery con dos servidores para pruebas en nuestros laboratorios aquí en Pasadena, California, y aunque he encontrado muchas buenas herramientas y tutoriales para el descifrado de contraseñas, hallé difícil diferenciar lo teóricamente posible de lo realmente práctico. Aquí, presento algunas ideas formuladas durante este proceso.

Motor Criptográfico de EnCase: Certificado FIPS 140-2 por el NIST y el CSE

Todas las capacidades criptográficas ofrecidas por cualquiera de las soluciones EnCase (incluyendo EnCase 7.x o ECC 5.x ) son proporcionadas por el Motor Criptográfico de EnCase. Desde finales de agosto de 2014, el Motor Criptográfico de EnCase ha sido galardonado con la certificación FIPS 140-2 del Instituto Nacional para la Estandarización y Tecnología de los Estados Unidos (NIST) y el Centro de Seguridad de las Telecomunicaciones de Canadá (CSE).

La certificación FIPS 140-2 es una certificación otorgada a los módulos criptográficos que cumplen con los requisitos divulgados en la publicación 140-2 de los Estándares Federales de Procesamiento de la Información estadunidense. El NIST divulgó esta publicación para coordinar requisitos y estándares para módulos criptográficos, ya sean de hardware o de software.

La protección de un módulo criptográfico dentro de un sistema seguro es necesaria para mantener la confidencialidad y la integridad de la información protegida por un módulo. Este estándar especifica los requisitos de seguridad que necesitan ser satisfechos por un módulo criptográfico.

Diferencias entre las soluciones EnCase y los DLP

En este artículo de nuestro blog hablaremos sobre puntos que diferencian a las soluciones EnCase de las herramientas para prevención de pérdida de datos, comúnmente conocidos por su abreviatura en inglés DLP. Para esto, nombraremos algunas de las dificultades presentadas durante el flujo de trabajo en DLP y luego mostraremos un cuadro en el que veremos cómo distintas funcionalidades esenciales para la protección de dispositivos finales están representadas en las soluciones EnCase y en los DLP más comunes del mercado.

EnCase Puede: La FATCA Proyectando un Futuro de Transparencia Bancaria

¿Qué es la FATCA?
¿Se aplica esta ley estadounidense a mi institución financiera?
¿Bajo qué modelo?
¿Cuáles son los requisitos?
¿Cómo podemos cumplirlos? 

Qué es la FATCA

La Foreign Account Tax Compliance Act (FATCA), traducida al español como “Ley del Cumplimento Tributario de Cuentas en el Extranjero”, es una nueva ley estadounidense que entró en vigencia en Julio de 2014. Esta ley exige que las instituciones financieras extranjeras identifiquen y reporten información sobre las cuentas financieras de sus clientes estadounidenses, sean personas naturales o jurídicas, que tengan más de 50 mil dólares en activo financiero. Hasta ahora, más de 80 países han aceptado la ley empeñándose a colaborar con el Servicio de Impuestos estadounidense (IRS). Las instituciones financieras que no cumplan con esta ley serán penalizadas en sus negocios con individuos o entidades de los Estados Unidos. Sin embargo, tenemos que especificar que los países que firman y aceptan esta ley pueden requerir informaciones sobre sus propios ciudadanos que tienen una cuenta en EEUU. Este mecanismo bilateral da un primer paso en dirección a la transparencia bancaria y, si otros países actuaran de misma forma, llevará a una mayor transparencia bancaria.

Ataque a Home Depot: El Mayor Robo de Tarjetas en la Historia

Durante los primeros días de Septiembre los bancos de Norte América empezaron a sospechar  que Home Depot, empresa estadounidense de mejoramiento del hogar y material de construcción, podría haber sido la fuente de una nueva fuga masiva de tarjetas de crédito y débito.

El lunes 8 de Septiembre, Home Depot confirmó que los hackers se introdujeron en sus  sistemas de pago y tuvieron acceso a informaciones de tarjetas de crédito de los clientes. Además, declaró que cualquier persona que haya utilizado una tarjeta de pago en cualquiera de sus tiendas de Estados Unidos y Canadá desde abril puede ser una víctima.

Este ataque, escribe el New York Times, representa la mayor intrusión en una red informática de una empresa minorista; el número de datos de tarjetas de crédito robadas es de 56 millones.  En los ataques del año pasado en Target, hasta hoy día el más grande ataque a redes minoristas, los hackers habían robado los datos de 40 millones de tarjetas de crédito y débito.

Cambiando las Propiedades de Archivo de Su Agente EnCase

Como ya hemos comentando en nuestro blog, todas las soluciones EnCase utilizan el mismo agente pasivo para tener visibilidad completa de la actividad dentro de los dispositivos de una organización. Este pequeño agente, que por ejemplo en Windows solo pesa 1,4 MB y consume solo 5 MB de memoria RAM, es el encargado de recopilar toda la información de los servidores, computadoras de escritorio, laptops y dispositivos móviles, permitiendo utilizar todas las posibilidades investigativas que ofrecen las distintas soluciones EnCase.

Desde la versión 7.08 de EnCase se ha adicionado una opción que permite cambiar las propiedades de archivo del agente EnCase. Esto es especialmente útil si su organización desea desplegar los agentes de manera secreta, ya que minimiza la cantidad de datos identificables disponibles a los usuarios de los dispositivos.

EnCase Para Sistemas Linux: Auditoria Para Identificar Artefactos de Internet

Para nadie es un secreto el alcance que está logrando en el mundo el uso del Sistema Operativo GNU/Linux. Grandes y pequeñas organizaciones lo están implementando cada día con mayor fuerza. Esto se debe a que es mucho más rápido y estable que otros sistemas operativos. Pero también es un sistema operativo que es idóneo para realizar auditorías o investigaciones dentro de las organizaciones a través de red. Esto con el fin de monitorear entre otros temas a qué páginas de internet están accediendo los empleados.

 A continuación se realizará un ejemplo de una auditoría realizada a computadores con sistema operativo Linux. Realizada  a través de la herramienta EnCase Enterprise que permite realizar este procedimiento a través de red, sin interrumpir la labor diaria del empleado. Y así identificar los archivos o directorios que almacenan la información de la navegación en internet.

Vicepresidente de Symantec: El Antivirus “Ha Muerto”

¿Cuán efectivos son los programas antivirus para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa declaró en una reciente entrevista al periódico Wall Street Journal que la industria del antivirus “ha muerto”. 

Symantec, la primera compañía en comercializar soluciones antivirus hace más de 20 años y reconocida mundialmente por su programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños causados por las intrusiones, en identificar los atacantesy en reconocer la forma en que los ataques funcionan. En lugar de combatir a las amenazas con programas de antivirus, que efectivamente solo pueden encontrar amenazas previamente reconocidas en sus listas negras, este nuevo enfoque trata de no solo borrar software malicioso previamente reconocido, sino también en entender el proceso de acción del malware para minimizar el daño que ocasiona y entender cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando que algún otro malware que actúe de forma similarpueda producir daño. 

EnCase 7.09.04: Extrayendo Contraseñas de Llaveros OS X

EnCase 7.09.04 está disponible ahora y contiene varias mejoras para hacer de su investigación más eficiente y comprensiva. Las investigaciones digitales de hoy presentan una lucha constante para mantener conjuntos de habilidades investigativas comprensivas mientras mejora continuamente la eficiencia haciendo frente al crecimiento exponencial de la evidencia y la diversidad de malversación. EnCase 7.09.04 hace de los reportes más eficientes con la Plantilla Flexible de Reportes y reduce el esfuerzo del investigador al habilitar el descifrado de los dispositivos con encriptación McAfee con EnCase Examiner de 64 bits. EnCase 7.09.04 expande las capacidades investigativas más fuertes basadas en Windows de las máquinas OS X, aumentando la habilidad de descifrar y extraer contraseñas de llaveros OS X.

Para tener acceso a éste lanzamiento registre su dongle  y recibirá un email de MyAccount con los links de descarga.

En este artículo, revisaremos la información que puede ser extraída de los llaveros al mismo tiempo de proveer muestras  de técnicas basadas en EnScript para exponer estos datos en EnCase.

Hace poco menos de un año, Simon Key de la División de Entrenamiento de Guidance Software publicó un blogpost informativo sobre el descifrado de llaveros OS X. Este post se hizo bastante popular ya que miles de investigadores absorbieron la técnica. Subsecuentemente, la aplicación dumpkeychain en EnCase App Central, usada para analizar y extraer datos de llavero se convirtió en una de las aplicaciones más descargadas. Si no ha revisado el post de Simon en su totalidad, le proporcionaré la versión condensada.

Las Habilidades de los Investigadores Forenses Digitales son Críticas a Medida que las Investigaciones Se Hacen Más Complejas

La evidencia forense digital está desempeñando un papel mayor en determinar la culpabilidad o inocencia de los acusados tanto en asuntos civiles como criminales. Mientras la tecnología captura movimiento, mensajes, fotos y en sí una vasta mayoría de lo que se hace en las laptops, smartphones y tablets, es mucho más difícil para los criminales cubrir su rastro digital.

Por otro lado, con los discos duros incrementando su tamaño, el número de aplicaciones en un sistema explotando, datos siendo movidos a la nube y aplicaciones como CCleaner destruyendo datos valiosos, los investigadores están constantemente desafiados a mejorar sus habilidades para así poder localizar y entender la evidencia potencia más relevante. El asunto es que la especialidad de análisis forense digital se centra cada vez más en descubrir los datos electrónicos relevantes al caso y el armado de los eventos para que así los hechos estén claros para el juez y el jurado.

EnCase® Forensic y EnCase® Enterprise v7.09: Investigaciones iOS Desde El Empaque

La mayoría de los investigadores está familiarizado con las capacidades de EnCase® Forensic o EnCase® Enterprise como herramientas para investigación de computadoras de escritorio, servidores y discos duros, pero, ¿sabía usted que desde que EnCase Forensic v7 y EnCase Enterprise v7 fueron introducido, ha provisto de soporte para sistemas operativos de teléfonos inteligentes desde el momento que lo saca de la caja? En la Versión 7.09, la última actualización, EnCase mejora la adquisición de teléfonos móviles, las capacidades de análisis y reporte al agregar soporte para dipositivos con iOS 7.

Como usted debe saber, el mercado de dispositivos móviles está dominado por iOS y Android. Más del 90 por ciento de los usuarios de teléfonos inteligentes tiene un dispositivo que soporta Apple o Google. Sin embargo, no obstante dentro de la mayoría, hay múltiples factores que los investigadores como usted debe considerar y, últimamente lidiar con, incluyendo:

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte I

Hemos producido previamente una serie de tres publicaciones en el blog en el que hemos descrito cómo EnCase® puede reducir los costos y las necesidades de recursos de cumplimiento interno PCI-DSS V2 (http://recorriendo-los-caminos-de-encase.blogspot.com/2013/09/ahora-que-entendiendo-el-cumplimiento.html). A finales de 2013, el cuerpo de las normas PCI publicó la versión 3 de las normas de PCI, que es una actualización de las normas PCI V2.

Las nuevas normas tienen un montón de atención en las áreas que EnCase® tiene capacidades muy fuertes. Entre otras, estas normas actualizadas requieren que las organizaciones llevan a cabo auditorías para las conexiones remotas, los permisos de archivos y servicios. Esperamos que usted considere EnCase® para asegurar el cumplimiento de las normas PCI actualizados para auditar a las normas, así como datos confidenciales de los usuarios que han sido almacenados en los registros, correos electrónicos, SharePoint o la nube.

EnCase Para Auditorías en Sistemas Linux: Cómo Encontrar Archivos Eliminados

Un tema muy interesante para auditores o examinadores forenses en el momento de analizar dispositivos de almacenamiento digital con sistema operativo Linux es  identificar los archivos que están en la papelera de reciclaje. Los archivos son muchas veces eliminados por los usuarios de manera  intencional con el fin de borrar las huellas de acciones indebidas que hayan sido cometidas. 

Continuando con nuestra serie sobre cómo realizar auditorías a dispositivos con Linux, expondremos un par de ejemplos sencillos que muestran cómo auditores y examinadores pueden recuperar archivos borrados en este sistema operativo de distintas maneras con la ayuda de las soluciones de EnCase. 

EnCase para Pequeñas Organizaciones: Auditoría para Identificar los Artefactos de Internet en los Dispositivos de los Empleados

Navegar en internet es una práctica rutinaria, sea para tareas laborales, intercambio de información o recreación. En la actualidad, muchas pequeñas organizaciones deben estar atentas a la actividad que generan sus empleados en el momento que ingresan a páginas de internet para revisar que éstas estén autorizadas y sean adecuadas dentro de la organización. 

Los auditores de estas organizaciones tienen la posibilidad de hacer seguimiento e identificar qué páginas están visitando los empleados durante el horario laboral. En organizaciones que delegan responsabilidades a empleados facultados (autoridad descentralizada), es común que no se cumplan las políticas de seguridad y que la navegación en Internet esté abierta a páginas no autorizadas. Además del riesgo causado por la navegación a sitios infectados debemos pensar en la posibilidad de que algunos empleados estén cometiendo delitos a través de este medio.

EnCase Para Sistemas Linux: Un Vistazo General Con EnCase Enterprise

Para muchas organizaciones utilizar software libre ya es algo muy común. Este tipo de software usualmente se distribuye a través de una Licencia Pública General (GNU) que permite que pueda ser copiado, distribuido y alterado libremente. El software libre es muy útil para organizaciones que desean minimizar el costo de adquisición, instalación e implantación de sus sistemas. 

Estas es la razón por las cual muchas organizaciones han empezado a migrar al sistema operativo Linux para sus dispositivos. Es un sistema operativo gratis y fácil de utilizar, que permite realizar todas las funciones de sistemas operativos pagos como Windows o Macintosh. 

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si Las Actualizaciones de Windows Están Habilitadas

En muchas pequeñas organizaciones algunos empleados tienen privilegios de administradores, lo cual les permite configurar las máquinas a su manera. Esto facilita que puedan habilitar y deshabilitar muchas seguridades en sus computadoras. Una de éstas es deshabilitar las actualizaciones de Windows. Sin éstas los empleados que  no aplican actualizaciones constantemente para sus equipos de trabajo de Windows Microsoft están poniendo en riesgo la organización. La funcionalidad de Windows Update cuando se activa, automáticamente instala las revisiones ante amenazas nuevas, algunas muy críticas para solucionar los problemas de seguridad que personas ajenas como los hacker pueden aprovechas para tomar información de los PCs. Y lo más aconsejable es obtener las actualizaciones de seguridad es activar las actualizaciones automáticas de Windows y así la organización está informada acerca de los problemas de seguridad.

Con el presente artículo pretendemos señalar como un dueño de una pequeña organización, puede realizar auditorías y ver la importancia de verificar que sus empleados tengan habilitada las actualizaciones de Windows. Auditorías realizadas con apoyo de la herramienta especializada como EnCase Enterprise v7, la cual permite revisión de equipos de empleados de manera remota sin alterar el curso del día a día.

La primera de ellas es realizar una exploración sencilla para comprobar que este ejecutándose el proceso, cuyo nombre es wuauclt.exe. Éste archivo hace parte del sistema operativo y básicamente es el notificador de actualizaciones automáticas del sistema, que verifica si existen actualizaciones. Por lo tanto es importante que se revise su existencia en la ruta C:/WINDOWS/System32/wuauclt.exe así:

Para auditar que los actualizaciones están habilitadas, puede hacer clic la opción de Operating System de Sweep Enterprise, revisando los procesos abiertos para verificar si el proceso wuauclt.exe está en ejecución, como se muestra en la siguiente imagen:

 El Sweep Enterprise también le permite ver si el registro (log) de actualizaciones de Windows Update esta abierta. Este archivo es C:/Windows/WindowsUpdate.log y almacena todos los actualizaciones realizados en el equipo:

Otra forma de auditar si la opción de actualización de Windows está habilitado y revisar si el empleado ha deshabilitado las notificaciones de actualizaciones automáticas en la clave de registro UpdatesDisableNotify del Centro de seguridad de Windows, indicando que el valor de la clave es igual a 0:

Para las pequeñas organizaciones es de suma importancia que éstas y otras opciones de seguridad estén habilitadas. Lo cual le garantiza que su recurso más importante como es la información esté resguardada de personas externas y porque no decirlo de internas. El tener habilitada la opción de actualizaciones de Windows minimiza riesgos  que los  equipos  y la organización sufran de robos de información o daños. También las pequeñas organizaciones realizando auditorías periódicas a través de herramientas como EnCase Enterprise pueden establecer que funcionarios se están valiendo de sus permisos como administradores y aprovechan para desactivar las actualizaciones automáticas de Windows.

RELACIONADOS

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si El Antivirus Está Habilitado 

EnCase para Pequeñas Organizaciones: Auditando para Encontrar Números de Tarjetas de Crédito

EnCase Para Pequeñas Organizaciones: El Rastro Que Deja Outlook en Archivo .ost  

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si El Antivirus Está Habilitado

Hoy vamos hablar de cómo Auditar a través de EnCase Enterprise si los equipos tienen habilitado y actualizado el antivirus dentro de los computadores de Pequeñas Organizaciones. Pues para nadie es un secreto que cada vez más, se está extendiendo el uso de Internet y de correo electrónico, como la expansión  de los virus por esos medios. Los empleados si se conectan a Internet desde sus estaciones de trabajo, permiten que otras personas usen el equipo o compartan los archivos con otros empleados, siempre deben tomar medidas necesarias para impedir que el equipo sufra daños. Pero también en muchas organizaciones donde no existen los controles pertinentes hay empleados que poseen privilegios de administrador que les permite deshabilitar la protección contra el Antivirus.

El mantener habilitado el antivirus es muy importante, puesto que hay delincuentes informáticos que están pendientes de este evento para atacar los equipos que están desprotegidos. Como por ejemplo realizando robo de información personal,  intrusiones a su equipo a través de Internet o enviando software malintencionado diseñado para dañar el equipo (virus, gusanos y troyanos).  Por estas y muchas razones más  a continuación expondremos las maneras que se puede Auditar los equipos de Pequeñas organizaciones,  algunas de forma manual a través de conexión remota con  EnCase Enterprise y otras más avanzadas y automatizadas con EnCase Cybersecurity. Para este artículo vamos a emplear EnCase Enterprise.

EnCase para Pequeñas Organizaciones: Auditando para Encontrar Números de Tarjetas de Crédito

Hoy en día, muchas personas llegan a cualquier establecimiento comercial y pagan sus compras con el comúnmente llamado “dinero plástico”, nombre coloquial que damos a las tarjetas de crédito. Las tarjetas de crédito son una manera fácil de pagar; quitan la necesidad de cargar dinero en efectivo y facilitan el pago de cuentas en restaurantes, almacenes, tiendas, etc. También se utilizan para compras en línea o pagos en estilo “tarjeta no presente”. Estos avances tecnológicos en las transacciones electrónicas traen grandes ventajas para el usuario, pero también traen brechas en su seguridad que permiten a delincuentes inescrupulosos realizar fraudes. Capturando números de tarjeta, claves de acceso y otros identificadores secretos, estos delincuentes pueden clonar tarjetas de crédito e incluso pueden llegar a suplantar la identidad de sus víctimas.

Muchas personas realizan sus transacciones electrónicas en computadores desde sus sitios de trabajo, pensando que son el lugar más seguro para realizarlas. Infelizmente, ya han existido diversos casos donde empleados de pequeñas y grandes organizaciones se aprovechan de la confianza de sus compañeros de trabajo para robarles información confidencial y así cometer fraudes a través de Internet suplantando al dueño de la tarjeta. Esto es lo que comúnmente llamamos robo de datos, la sustracción de la información de tarjetas de crédito durante una transacción para luego utilizarlas realizando compras a distancia. Adicionalmente, otras organizaciones tienen que guardar los números de tarjetas de crédito de clientes para poder ofrecerles servicios diferenciados (cobro automatizado, programas de asiduidad, pago de servicios, etc), convirtiéndolas en objetivo no sólo de empleados inescrupulosos sino que también de hackers. 

Workshops 2013 de Cumplimiento de Normas y Seguridad con EnCase - Latinoamérica

Al equipo de Guidance Software de Latinoamérica le complace anunciar una serie de workshops de 3-4 horas sobre cumplimiento de normas y seguridad, comenzarán en noviembre de 2013 y se extenderán a diciembre de 2013. Cada sesión de workshop será similar en formato y será llevada a cabo en conjunción con un revendedor local de EnCase.

¿Cuál es el objetivo de cada Workshop de Cumplimiento de Normas y Seguridad?

Cada workshop estará orientado en demostrar el cumplimiento, seguridad y auditoría de TI en casos de usos que las organizaciones pueden usar para manejar los riesgos externos como malware y riesgos internos como una amenaza interna. Los clientes pueden ver demostraciones en vivo de EnCase Cybersecurity, EnCase eDiscovery y EnCase Enterprise en acción. Cada workshop será llevado a cabo en español.

EnCase Para Pequeñas Organizaciones: El Rastro Que Deja Outlook en Archivo .ost

El uso del correo electrónico corporativo, hoy en día es una de las principales herramientas de comunicación dentro de las organizaciones. Permitiendo intercambiar correspondencia con facilidad dentro y fuera de la organización. También existiendo ya políticas del buen uso dentro de ellas o como normas internas, pero que frecuentemente los empleados no tienen en cuenta. Convirtiéndose  el correo corporativo en fuente para poder cometer fraudes como es el hurto de correspondencia; así mismo, otro de los más comunes es el fraude por giros falsos, se inicia con algún tipo de correo electrónico y después el fraude termina con ofertas falsas, cartas o fraude nigerianos. También se presta para  chantajes, calumnias, entre muchos más actos delictivos que se cometen a través del correo electrónico. 

Los empleados de pequeñas empresas, conocen que al configurarles el correo corporativo (Outlook) se les deja creado un archivo con extensión .pst dentro de sus computadoras. Pero también empleados resentidos con la empresa, que siempre están pensando es cometer algún fraude o hacer algún mal a través del correo electrónico corporativo y que piensan que eliminando el archivo .pst están desapareciendo toda huella de los mensajes enviados o recibidos. Lo que desconocen  este tipo de empleados es que muchas veces por default cuando se configura  Outlook con el servicio de información de Microsoft Exchange Server, se guarda una copia en el disco duro local con todo el contenido del buzón. Almacenando en un archivo de datos de Outlook un archivo con extensión .ost sin conexión (tiene la capacidad de usarse de modo caché de Exchange).