La recuperación de contraseñas puede ser práctica

 por Ken Mizota

El departamento de Tableau de Guidance Software recientemente lanzó Tableau™ Password Recovery, una solución de hardware y software para acelerar los ataques a contraseñas de archivos protegidos, discos y otros contenedores.

Siempre es divertido jugar con nuevos “juguetes”. Cuando el nuevo juguete es un gigante construido especialmente para romper contraseñas y escalable linealmente, ¿cómo podríamos jugar sin compartirlo? Investigué un poco durante la ejecución de una configuración de Tableau Password Recovery con dos servidores para pruebas en nuestros laboratorios aquí en Pasadena, California, y aunque he encontrado muchas buenas herramientas y tutoriales para el descifrado de contraseñas, hallé difícil diferenciar lo teóricamente posible de lo realmente práctico. Aquí, presento algunas ideas formuladas durante este proceso.

Cambiando las Propiedades de Archivo de Su Agente EnCase

Como ya hemos comentando en nuestro blog, todas las soluciones EnCase utilizan el mismo agente pasivo para tener visibilidad completa de la actividad dentro de los dispositivos de una organización. Este pequeño agente, que por ejemplo en Windows solo pesa 1,4 MB y consume solo 5 MB de memoria RAM, es el encargado de recopilar toda la información de los servidores, computadoras de escritorio, laptops y dispositivos móviles, permitiendo utilizar todas las posibilidades investigativas que ofrecen las distintas soluciones EnCase.

Desde la versión 7.08 de EnCase se ha adicionado una opción que permite cambiar las propiedades de archivo del agente EnCase. Esto es especialmente útil si su organización desea desplegar los agentes de manera secreta, ya que minimiza la cantidad de datos identificables disponibles a los usuarios de los dispositivos.

EnCase 7.09.04: Extrayendo Contraseñas de Llaveros OS X

EnCase 7.09.04 está disponible ahora y contiene varias mejoras para hacer de su investigación más eficiente y comprensiva. Las investigaciones digitales de hoy presentan una lucha constante para mantener conjuntos de habilidades investigativas comprensivas mientras mejora continuamente la eficiencia haciendo frente al crecimiento exponencial de la evidencia y la diversidad de malversación. EnCase 7.09.04 hace de los reportes más eficientes con la Plantilla Flexible de Reportes y reduce el esfuerzo del investigador al habilitar el descifrado de los dispositivos con encriptación McAfee con EnCase Examiner de 64 bits. EnCase 7.09.04 expande las capacidades investigativas más fuertes basadas en Windows de las máquinas OS X, aumentando la habilidad de descifrar y extraer contraseñas de llaveros OS X.

Para tener acceso a éste lanzamiento registre su dongle  y recibirá un email de MyAccount con los links de descarga.

En este artículo, revisaremos la información que puede ser extraída de los llaveros al mismo tiempo de proveer muestras  de técnicas basadas en EnScript para exponer estos datos en EnCase.

Hace poco menos de un año, Simon Key de la División de Entrenamiento de Guidance Software publicó un blogpost informativo sobre el descifrado de llaveros OS X. Este post se hizo bastante popular ya que miles de investigadores absorbieron la técnica. Subsecuentemente, la aplicación dumpkeychain en EnCase App Central, usada para analizar y extraer datos de llavero se convirtió en una de las aplicaciones más descargadas. Si no ha revisado el post de Simon en su totalidad, le proporcionaré la versión condensada.

Las Habilidades de los Investigadores Forenses Digitales son Críticas a Medida que las Investigaciones Se Hacen Más Complejas

La evidencia forense digital está desempeñando un papel mayor en determinar la culpabilidad o inocencia de los acusados tanto en asuntos civiles como criminales. Mientras la tecnología captura movimiento, mensajes, fotos y en sí una vasta mayoría de lo que se hace en las laptops, smartphones y tablets, es mucho más difícil para los criminales cubrir su rastro digital.

Por otro lado, con los discos duros incrementando su tamaño, el número de aplicaciones en un sistema explotando, datos siendo movidos a la nube y aplicaciones como CCleaner destruyendo datos valiosos, los investigadores están constantemente desafiados a mejorar sus habilidades para así poder localizar y entender la evidencia potencia más relevante. El asunto es que la especialidad de análisis forense digital se centra cada vez más en descubrir los datos electrónicos relevantes al caso y el armado de los eventos para que así los hechos estén claros para el juez y el jurado.

EnCase® Forensic y EnCase® Enterprise v7.09: Investigaciones iOS Desde El Empaque

La mayoría de los investigadores está familiarizado con las capacidades de EnCase® Forensic o EnCase® Enterprise como herramientas para investigación de computadoras de escritorio, servidores y discos duros, pero, ¿sabía usted que desde que EnCase Forensic v7 y EnCase Enterprise v7 fueron introducido, ha provisto de soporte para sistemas operativos de teléfonos inteligentes desde el momento que lo saca de la caja? En la Versión 7.09, la última actualización, EnCase mejora la adquisición de teléfonos móviles, las capacidades de análisis y reporte al agregar soporte para dipositivos con iOS 7.

Como usted debe saber, el mercado de dispositivos móviles está dominado por iOS y Android. Más del 90 por ciento de los usuarios de teléfonos inteligentes tiene un dispositivo que soporta Apple o Google. Sin embargo, no obstante dentro de la mayoría, hay múltiples factores que los investigadores como usted debe considerar y, últimamente lidiar con, incluyendo:

EnCase Para Auditorías en Sistemas Linux: Cómo Encontrar Archivos Eliminados

Un tema muy interesante para auditores o examinadores forenses en el momento de analizar dispositivos de almacenamiento digital con sistema operativo Linux es  identificar los archivos que están en la papelera de reciclaje. Los archivos son muchas veces eliminados por los usuarios de manera  intencional con el fin de borrar las huellas de acciones indebidas que hayan sido cometidas. 

Continuando con nuestra serie sobre cómo realizar auditorías a dispositivos con Linux, expondremos un par de ejemplos sencillos que muestran cómo auditores y examinadores pueden recuperar archivos borrados en este sistema operativo de distintas maneras con la ayuda de las soluciones de EnCase. 

Transición de EnCase Forensic V6 a EnCase Forensic V7: Una Experiencia Placentera

Para muchos investigadores forenses el cambio de herramientas de trabajo puede ser bastante complicado, pero en otras ocasiones, puede ser todo lo contrario. Este es el caso de los investigadores que decidieron cambiar de EnCase Forensic V6 a EnCase Forensic V7. A continuación les mostraremos como una investigadora cuenta cómo se han mejorado aspectos claves en este nuevo EnCase Forensic V7.

En esta oportunidad nos ayuda una ex Perito Forense del Cuerpo Técnico de Investigaciones de la Fiscalía General de la Nación de Colombia, que lleva más de 10 años en el rubro, realizando este tipo de investigaciones. Ella siempre ha utilizado EnCase Forensic V5 y V6 para sus análisis, pero ahora se encuentra trabajando con Media Development S.A. que es una contratista para Guidance Software y que también trabaja con ARCCL (Alianza Regional Contra el Cibercrimen), debido a esto recientemente comenzó a utilizar EnCase Forensic V7 de manera regular. Después de un año de utilizar esta última versión de EnCase ella afirma que es mucho mejor que las versiones anteriores y a continuación hace comparaciones y observaciones de las características que tiene la V7 que la diferencian de la V6. 

Certificación Forense: ¿Cuál Es El Siguiente Paso?

En el artículo previo les comentaba acerca de la importancia para usted y su empleador de las certificaciones de TI. Ahora discutamos la cosa más importante, ¿cómo las pagamos?

Cuando se busca certificaciones, hay un par de caminos que se pueden tomar, pero todos ellos convergen en la inversión; invertir en usted mismo o la compañía que invierte en su persona. Veamos algunas formas de cubrir el costo de la certificación sin utilizar muchos recursos.

Invirtiendo en su persona

Esto es, por mucho, la razón más fácil de justificar el gasto de la certificación. Ha recibido el entrenamiento, adquirido el conocimiento y tiene la experiencia necesaria para tomar el examen. Estar Certificado es  “la cereza del postre” que demuestra a sus colegas y supervisores que usted tiene lo que se necesita para ser exitoso. El costo asociado con las certificaciones es pequeño en relación a lo que usted ya ha pagad por su educación.

EnCase Para Pequeñas Organizaciones: El Rastro Que Deja Outlook en Archivo .ost

El uso del correo electrónico corporativo, hoy en día es una de las principales herramientas de comunicación dentro de las organizaciones. Permitiendo intercambiar correspondencia con facilidad dentro y fuera de la organización. También existiendo ya políticas del buen uso dentro de ellas o como normas internas, pero que frecuentemente los empleados no tienen en cuenta. Convirtiéndose  el correo corporativo en fuente para poder cometer fraudes como es el hurto de correspondencia; así mismo, otro de los más comunes es el fraude por giros falsos, se inicia con algún tipo de correo electrónico y después el fraude termina con ofertas falsas, cartas o fraude nigerianos. También se presta para  chantajes, calumnias, entre muchos más actos delictivos que se cometen a través del correo electrónico. 

Los empleados de pequeñas empresas, conocen que al configurarles el correo corporativo (Outlook) se les deja creado un archivo con extensión .pst dentro de sus computadoras. Pero también empleados resentidos con la empresa, que siempre están pensando es cometer algún fraude o hacer algún mal a través del correo electrónico corporativo y que piensan que eliminando el archivo .pst están desapareciendo toda huella de los mensajes enviados o recibidos. Lo que desconocen  este tipo de empleados es que muchas veces por default cuando se configura  Outlook con el servicio de información de Microsoft Exchange Server, se guarda una copia en el disco duro local con todo el contenido del buzón. Almacenando en un archivo de datos de Outlook un archivo con extensión .ost sin conexión (tiene la capacidad de usarse de modo caché de Exchange).

Descubriendo Fraudes a Través del Archivo Index.dat

Hoy en día el uso de Internet dentro de las organizaciones es lo más común, pues muchos trabajos se realizan a través de él y se está convirtiendo en apoyo fundamental en algunas laboras.  Lo que no es normal es que algunos empleados lo estén utilizando para cometer fraudes para el beneficio de él o de terceros. Consultando páginas a través de Internet o bajando información sin autorización, infringiendo normas y políticas establecidas dentro de la organización.

Muchas organizaciones, pueden monitorear los equipos de la empresa, con el fin de establecer que están haciendo los empleados en horarios laborales en Internet. Esta labor es revisar el archivo Index.dat. Estos archivos son creados por Windows y son los encargados de guardar el historial del navegador de Internet Explorer. Los empleados creen que desocupando el historial de internet o los archivos temporales de Internet pueden eliminar lo que hacen en Internet. Pero ésta acción no siempre se eliminará por completo, siempre deja rastro en éstos archivos disponibles para examinarlos en el trabajo de auditoria o investigativos. Igualmente estos archivos también almacenan información de los documentos que se han abierto recientemente.

EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

EnCase Para Pequeñas Organizaciones: La Evidencia Que Se Encuentra En Skype

A medida que avanza la tecnología las comunicaciones también van un paso adelante. Años atrás para comunicarnos con otras personas debíamos hacerlo a través de telefonía fija o por correo aéreo. Pero esto cambio, ahora existen los teléfonos inalámbricos, teléfonos celulares de baja y alta gama. En vez de ir al correo aéreo podemos enviar cartas o mensajes a través de los dispositivos celulares o computadores es más, si queremos podemos establecer conversaciones viendo a  otras personas que estén en la misma ciudad o incluso fuera del país, esto gracias a la evolución de la tecnología.

Dichas conversaciones se pueden establecer a través de Skype un cliente VoIP desarrollado por Kazaa que también es una red P2P. Skype permite que los usuarios realicen llamadas de voz, envíen mensajes del texto y compartan archivos  a otros usuarios clientes de Skype. 

EnCase Para Pequeñas Organizaciones: Los Archivos Borrados Siempre Dejan Huella

Hoy en día en las pequeñas empresas y con el auge de la implementación del uso de nuevas tecnologías y de las comunicaciones a través de Internet, se están abriendo puertas para cometer delitos informáticos y éste tipo de organizaciones no son la excepción para que sus empleados se vean tentados a realizar fraudes e incidentes informáticos.

Un tema culminante en el momento de realizar investigaciones o auditorias en organizaciones pequeñas, que proporcionan una gran fuente de información valiosa en una investigación, es el hallazgo de información en archivos borrados. Estes archivos que han sido eliminados de  manera accidental o intencionalmente por los empleados para ocultar rastros de  hechos malintencionados en contra de la empresa. 

EnCase Para Pequeñas Organizaciones: Los Fraudes y Su Rastro en el Archivo NTUSER.DAT

El avance de la tecnología agiliza y facilita la mayor parte de las actividades cotidianas dentro de una organización. Sin embargo, también es usado para actos delictivos y obtener beneficios personales, por parte de algunos funcionarios que actúan de manera inescrupulosa. Esta actividad ha generado pérdidas económicas considerables tanto al sector empresarial como en los particulares durante los últimos años.

Para los examinadores y/o auditores el gran reto es identificar el delito qué está cometiendo un empleado dentro de una organización,  por el uso de Internet, como por ejemplo cuando se comete una amenaza y/o fraude. Para ello una fuente muy importante que suministra bastante información identificando de una manera clara en qué actividad estaba involucrado el usuario, lo que estaba haciendo, cuando lo estaban haciendo y por qué, es analizar la gran base de datos que suministra el archivo NTUSER.DAT, a continuación revisaremos algunos ejemplos de fraude y cómo podemos solucionar los problemas en los que se enfrentan los examinadores y/o auditores ante un incidente cibernético.

Monitoreo del Desempeño del Procesador de Evidencia

A través de los años, los investigadores digitales utilizando EnCase se han familiarizado íntimamente con el reporte de estados de EnCase para EnScrypts y, en años recientes, con Evidence Processor (Procesador de Evidencia). A través de los años, el reporte de progreso en EnCase se ha visto más o menos, así:

Si alguna vez ha copiado un número considerable de archivos en Windows, usted sabe cómo una cantidad mínima de información, puede, en su mejor momento, mínimamente útil y en su peor momento, frustrarle hasta el punto de ser engañosa:

Lo Básico En Investigaciones Forenses: Los Archivos Cifrados Y Su Identificación Dentro De Una Evidencia

Una gran interrogante para los investigadores forenses es saber interpretar cuando una evidencia contiene archivos cifrados, pero es más importante saber con qué herramienta se puede descifrar los archivos y conocer sus contraseñas. Hoy en día es común encontrar medios de almacenamiento digital y especialmente correos electrónicos cifrados con el programa PGP, un programa muy seguro porque requiere que el investigador conozca dos contraseñas para abrir los datos cifrados: una contraseña pública (más fácil de encontrar porque generalmente esta guardada en el computador donde descubrimos los datos) y una contraseña privada (raramente encontrada).

Investigaciones Forenses: Sistema de Archivos de Resiliencia (ReFS) en Windows

En otoño del 2012, Microsoft decidió hacer que el Servidor Windows 2012 quede prácticamente disponible con una funcionalidad sobriamente anunciada: Sistema de Archivos de Resiliencia o Resilient File System (ReFS).  Lógicamente, Microsoft no lanza nuevos sistemas de almacenamiento por casualidad, y cuando lo hace, los efectos y las repercusiones no se sienten mucho. NTFS ha estado generalmente disponible desde Windows NT 3.1, lanzado en 1993. Si uno ejecuta un centro de datos de cualquier tamaño y hace un trueque en el sistema subyacente de datos críticos y valiosos, no es una decisión que se toma a la ligera. En gran parte, esto justifica una complacencia general en nuestro campo de herramientas digitales forenses cuando se estudia cómo encarar un nuevo sistema de almacenamiento. Hoy, ReFS es un bicho raro: Los investigadores no lo experimentan muy seguido. Creemos que esto cambiará en el transcurso de este año.

Certificaciones para Computación Forense en Latinoamérica – Esta Usted Detrás del Espiral Gerencial?

La importancia de las certificaciones especializadas para los investigadores de Computación Forense es bien conocida y se ha convertido rápidamente en el estándar global para aquellos que desean operar y progresar en el campo de investigaciones de computación forense. Los días en que era suficiente que un investigador tuviera certificaciones de seguridad estándar, Security+, GIAC, CEH etc. son cosa del pasado. Mientras estas certificaciones son pertinentes a nuestra industria, estas ya no se relacionan con las especialidades en conocimiento y habilidades de un investigador en computación forense. 

Que Papel Juegan Los Metadatos Dentro De Una Evidencia?

En los estudios forenses de evidencia digital, existen hallazgos que son visibles al investigador y otros que son imperceptibles y que al descubrirlos juegan un papel importante durante el proceso de análisis y se pueden convertir en la prueba máxima (reina) de una investigación. De lo que estamos hablando es de los llamados “Metadatos” o “Datos sobre Dato”.

Al hablar de evidencias digitales, los metadatos son vitales para contextualizar un delito;  al descubrirlos podemos demostrar y mantener las características requeridas de integridad, autenticidad, conservación, trazabilidad  y permitir su acceso a largo tiempo.

Como Obtener Evidencia En Arreglos De Discos

El escenario común en una escena de delito cibernético, es encontrarse con equipos de escritorio, dispositivos extraíbles (USB, discos duros externos), entre otros. Pero cuando el investigador forense se enfrenta a una escena donde hay equipos de cómputo tipo servidores, como los arreglos RAID o un conjunto redundante de discos independientes, que hacen referencia a un sistema con gran capacidad de almacenamiento que usa múltiples discos duros (dichos sistema pueden contener un sinfín de información), es allí donde el investigador forense debe tener la sagacidad de qué información es la que requiere y como la va asegurar, manteniendo su integridad.