Bro: La herramienta de análisis forense de pcaps que debes conocer

Una de las partes fundamentales en el análisis dinámico de códigos maliciosos es la obtención de información a partir de una captura de tráfico. Para lograr este objetivo además de las opciones para hacer gráficos, el uso de filtros en Wireshark para detectar actividad maliciosa suele ser una de las alternativas más utilizada.

Pero no es la única herramienta para lograrlo, por ejemplo Malcom permite examinar estructuras de redes maliciosas facilitando el análisis de las relaciones entre las diversas direcciones IP, dominios y servidores DNS que toman parte en una comunicación C&C, permitiendo procesar rápidamente los datos recolectados y creando gráficos intuitivos que ponen en evidencia las conexiones entre equipos en red. Otra interesante opción para analizar archivos pcap es CapTipper, desarrollada en Python tiene una serie de características que facilita la lectura de estos archivos permitiendo ahorrar tiempo y optimizando el trabajo de auditoría.

Dentro de todo el arsenal de herramientas que se podrían encontrar para realizar este tipo de actividades encontramos Bro, pensado como un sistema de detección de intrusiones (IDS) que corre en plataformas UNIX/Linux y cuyo principal objetivo es permitir el análisis del tráfico de red en busca de actividad sospechosa. Ya de hecho la habíamos utilizado para extraer información de archivos pcap y visualizar las capturas de tráfico de botnets con OpenGraphiti, además de servir para procesar y simplificar la identificación de patrones entre los bots durante la Operación Liberpy.

Dado que es una herramienta bastante útil y que por su facilidad para hacer scripts resulta bastante flexible y adaptable, sobre todo para el análisis forense de una gran cantidad de datos. Vamos a hacer escribir una serie de post con información de cómo utilizar Bro y algunas ideas que podrían resultar relevantes.

Bro 101: Por dónde empezar

Esta herramienta permite analizar la actividad de red a nivel de aplicación para ir comparando este comportamiento con patrones que pudieran ser considerados sospechosos ya sea por el tipo de paquetes que se intercambien o las características de su contenido.

Para iniciar nuestros análisis solo debemos ejecutar el comando para copiar el repositorio directamente desde GitHub. Con estos además de asegurarnos que tenemos la última versión se nos facilitará su actualización:

git clone --recursive git://git.bro.org/org

Una vez tenemos el repositorio en nuestra máquina, solo nos queda instalar algunas dependencias y ejecutar la instalación de nuestra herramienta. Esta herramienta es conocida por sus funcionalidades de IDS, pero en este caso nos va interesar darle una mirada a las características para extraer información de las capturas de tráfico.

Dentro de las características que vale la pena resaltar en la capacidad para analizar grandes volúmenes de tráfico. El funcionamiento de la herramienta como ya lo mencionamos se hace a través de scripts, con los cuales se hace la extracción de información que se esté buscando.

Como resultado de aplicar Bro sobre un archivo pcap resultan varios archivos con información más específica y organizada de acuerdo a las características de cada script. Utilizando la opción más básica de Bro podemos obtener una gran cantidad de información discriminada por protocolos:

bro –r [ruta_archivo_pcap]

Ahora tenemos varios archivos con la información organizada de diferentes manera. Por ejemplo en el archivo http.log se pueden encontrar filtradas las peticiones HTTP de la captura de tráfico. Como se puede ver en la siguiente imagen, algo que puede llamar la atención durante un análisis es la descarga de un archivo ejecutable:



El string que está resaltado en amarillo, nos va a permitir hacer seguimiento de este evento en particular a través de los demás archivos generados por la herramienta. Por ejemplo si vamos al archivo conn.log y buscamos esta cadena de caracteres vamos a obtener más información sobre la conexión como el momento en que se llega el primer paquete, las ip y puertos utilizados, la duración de la conexión, el origen de la conexión, entre otra información que podría resultar interesante para el análisis:

Hasta este punto con el manejo de Bro podemos obtener información similar a la que podríamos encontrar en otras herramientas como Wireshark o CapTipper, solo que organizada de una manera diferente. En nuestro próximo post, vamos a ver como apoyarnos en scripts de Bro para reunir información de diferentes fuentes y que nos quede disponible para su análisis.


Créditos imagen: © Mike Mozart/Flickr
Fuente: http://www.welivesecurity.com/la-es/2015/07/30/bro-la-herramienta-de-analisis-forense-de-pcaps-que-debes-conocer/

Trucos para hacer un análisis forense a un android

Buenos días.

Sea por motivos de curiosidad o simplemente motivos laborales nos hemos encontrado con una pregunta interna! ¿Donde almacenara android las contraseñas?, si bien podemos notar cuando usamos un móvil con este sistema operativo que automáticamente programas como facebook, gmail, what'sapp entre muchos otros, no solicitan credenciales una vez logeados la primer vez y siempre están allí conectados esperando a ser usados.

Bueno es simple saberlo, el ahorro de la "pereza" de estar ingresando credenciales de autenticación tiene sus riesgos de seguridad, pero en este caso para saber las contraseñas prácticamente necesitaríamos acceso físico lo cual reduce a cierto punto el robo de información personal.

La siguiente tabla va ser muy útil cuando hacemos estas búsquedas, si no eres informático y no entiendes la tabla es de seguro que debas buscar estos dos temas: Root android y Sqlite.

System	Synchronised Accounts	Android (E,D)	Use file '/data/system/users/0/accounts.db'. Profile picture is also supported for Extraction.
System	Phonebook Contacts	Android (E,D)	Use file '/data/data/com.android.providers.contacts/databases/contacts2.db'.
System	Call logs register	Android (E,D)	Use file '/data/data/com.android.providers.contacts/databases/contacts2.db'.
System	Call logs register (Samsung)	Android (E,D)	Use file '/data/data/com.sec.android.provider.logsprovider/databases/logs.db'.
System	Samsung SMS snippets	Android (E,D)	Use file '/data/data/com.sec.android.provider.logsprovider/databases/logs.db'.
System	SMS messages	Android (E,D)	Use file '/data/data/com.android.providers.telephony/databases/mmssms.db'.
System	Wi-Fi passwords (WPA-PSK/WEP)	Android (E,D)	Use file'/data/misc/wifi/wpa_supplicant.conf' from rooted extraction, or 'flattened-data' from backup extraction.
System	Default Browser Passwords	Android (E,D)	Use file '/data/data/com.android.browser/databases/webview.db'.
System	Default Browsers History	Android (E,D)	Use file '/data/data/com.android.browser/databases/browser2.db'.
System	Emails (Default application)	Android (E)	-
App	Chrome History / Archived History	Android (E,D) iOS (D)	Use files '/data/data/com.android.chrome/app_chrome/Default/History', '/data/data/com.android.chrome/app_chrome/Default/Archived History'. Databases from other operating systems (Ubuntu/Linux/Windows/Mac OSX) are supported for decoding the data.
App	Chrome Login Data (Passwords)	Android (E,D) iOS (D)	Use file '/data/data/com.android.chrome/app_chrome/Default/Login Data'. Databases from other operating systems (Ubuntu/Linux/Windows/Mac OSX) are supported for decoding the data.
App	Blackberry Messenger (BBM) Chat Messages	Android (E,D) iOS (D)	Use file '/data/data/com.bbm/files/bbmcore/master.db'.
App	Facebook chat / messenger messages	Android (E,D)	Use files '/data/data/com.facebook.katana/databases/threads_db2', '/data/data/com.facebook.orca/databases/threads_db2'
App	Skype Calls / Messages	Android (EAB,D)	Use files '/data/data/com.skype.raider/files/<account_name>/main.db'
App	Facebook user notifications	Android (E,D)	Use file '/data/data/com.facebook.katana/databases/notifications_db'.
App	Facebook viewed photographs	Android (E,D)	Use file '/data/data/com.facebook.katana/databases/photos_db'.
App	Kik Messenger chat messages	Android (E,D)	Use file '/data/data/kik.android/databases/kikDatabase.db'.
App	WhatsApp Contacts	Android (E,D)	Use file '/data/data/com.whatsapp/databases/wa.db'.
App	WhatsApp Calls	Android (E,D)	Use file '/data/data/com.whatsapp/databases/msgstore.db'.
App	WhatsApp Messages	Android (E,D)	Use file '/data/data/com.whatsapp/databases/msgstore.db'.
App	Grindr messages and users	iOS (D)	Use file 'Grindr.sqlite'
App	Viber calls register	Android (E,D)	Use file '/data/data/com.viber.voip/databases/viber_data'.
App	Viber chat messages	Android (E,D)	Use file '/data/data/com.viber.voip/databases/viber_messages'.
App	Tinder Matched Users	Android (E,D)	Use file '/data/data/com.tinder/databases/tinder.db'.
App	Tinder Messages	Android (E,D)	Use file '/data/data/com.tinder/databases/tinder.db'.
App	MeowChat Messages	Android (E,D)	Use file '/data/data/mobi.mgeek.TunnyBrowser/db/browser.db'.
App	Dolphin Web Browser History	Android (E,D)	Use file '/data/data/com.minus.android/databases/com.minus.android'.

Legend: E = data can be extracted and automatically decoded
E^AB = data can be extracted and automatically decoded via AB method only
D = data can be decoded through "Decoders"

Ya con esto tenemos todos los datos en nuestro poder :)

Fuentes:

http://andriller.com/decoders
https://www.androidpit.com/app/fahrbot.apps.undelete
https://gist.github.com/jbinto/8876658
http://www.higherpass.com/android/tutorials/accessing-data-with-android-cursors/
http://www.dunkelheit.com.br/android/forense/curso/curso/Android%20Forensics%20-%20A.%20Hoog%20(Syngress,%202011)%20WW-%20blz146.pdf

Si quieres borrar tu huella en Internet sigue estos consejos

Si estás pensando en borrar la huella de tu paso por la red, te explicamos algunas consideraciones a tener en cuenta para tratar de completar lo más a fondo posible una limpieza de tu alter ego virtual. De esta forma podrás optar por desconectar por un tiempo o empezar (casi) de cero en las redes sociales, servicios online y páginas webs que hayas estado usando anteriormente.


Hacer desaparecer totalmente nuestro rastro digital en Internet es una tarea titánica y la mayoría de veces imposible de realizar por completo. No obstante, tenemos a nuestra disposición diversas herramientas y procedimientos que nos ayudarán a deshacernos de nuestro legado en la red.

Google, ese maldito detective

Desde mayo de 2014, la presencia de las identidades de personas  en el buscador Google ha desatado una fuerte polémica. El Tribunal de Justicia de la Unión Europea reconoció el derecho de las personas a solicitar a la compañía de Mountain View que no se mostraran los enlaces a resultados de búsqueda con información obsoleta o incorrecta. Hay que recordar que esto no evitará que podamos seguir apareciendo en la fuente original, pero al menos evitaría algunas búsquedas embarazosas. Google permite solicitar este servicio a través de un formulario en su web.

El buscador será también un gran aliado ya que nos va a ayudar también a detectar aquellas páginas o servicios en los que debemos darnos de baja. Así mismo podremos solicitar que elimine cierta información de los resultados de búsqueda sobre otras páginas web, a modo de evitar que se muestren datos como una imagen de nuestra firma o un número de cuenta.

Redes sociales

Otro de los grandes apartados que tenemos que afrontar a la hora de minimizar la presencia en la red son las redes sociales. Muchas de ellas ofrecen servicio de eliminación y protección de cuentas, incluso después del fallecimiento. En el caso de Facebook, se ofrece la opción de desactivar la cuenta, de este modo las personas que están en Facebook no podrán ver el perfil ni buscarnos, aunque los mensajes que has enviado a tus contactos seguirían estando visibles para los demás. Otra opción es eliminar la cuenta por completo, este proceso debe ser solicitado a Facebook y puede tardar hasta 90 días dependiendo del volumen de información a retirar.

En el caso de Twitter, podemos borrar nuestra cuenta mediante la opción “desactivar cuenta” que encontraremos en el menú configuración de la red social del pájaro azul. Este proceso será instantáneo una vez que lo confirmemos pero puede que durante algunas horas o días siga apareciendo el contenido hasta quedar borrado por completo. Disponemos de 30 días para recuperar la cuenta eliminada.

Eliminar cuentas de correo electrónico e-mails

De modo similar a las redes sociales, para borrar nuestras cuentas de correo electrónico debemos acceder con nuestras credenciales y solicitar este proceso desde el menú de usuario. Es un método similar en los principales clientes de correo como Gmail o Yahoo, pero hay que tener en cuenta que en esta ocasión todos los correos que hayamos enviado previamente pueden permanecer en poder del destinatario. Algo muy útil es aprovechar los enlaces para darnos de baja en la suscripción a los servicios de e-mails recibidos.

Desaparecer de los foros

No suele ser habitual usar nuestro nombre real en los foros de Internet, pero sí que podemos vincular los perfiles de usuario con otros servicios que puedan incluir datos personales nuestros. En cualquier caso será necesario comprobar uno por uno todos los foros en los que hemos podido participar o asegurarnos que nuestro alias no refleja ningún dato real de nuestra persona. Siendo así no habrá problema en mantener activo. Si tenemos algún tipo de problema para eliminar algún contenido publicado en un foro, podemos contactar con el administrador o moderador del mismo para solicitarle la retirada de cualquier mensaje.

Borrar el rastro en páginas web

Si gestionamos nosotros mismos alguna página web, debemos proceder eliminar la misma dando de baja el servicio de alojamiento que estemos utilizando. En este caso es recomendable contactar también con cualquier empresa que tenga alguna relación con los portales web que gestionemos para solicitarle la retirada de la información deseada. En la página de webmasters de Google disponemos de distintas opciones para reducir la visibilidad de dicha página en el buscador, a través de una solicitud de eliminación de nuestra URL.

Si por el contrario aparecen datos nuestros en una página de terceros, será recomendable contactar directamente con el administrador del portal para solicitar la retirada de dicha información. Como personas anónimas nos ampara legalmente el derecho a la protección de nuestros datos personales según la Ley Orgánica de Protección de Datos, un caso diferente al de ser información de una personalidad pública sobre la que pueda prevalecer el derecho a la libertad de expresión.
Lo más importante a la hora de querer borrar nuestro rastro en Internet es tener claro que el anonimato total no existe, a pesar de utilizar herramientas de navegación privada que podamos tener al alcance.


¿Habéis tenido problemas alguna vez a la hora de eliminar información personal en Internet?

Fuente: http://www.adslzone.net/2015/06/18/si-quieres-borrar-tu-huella-en-internet-sigue-estos-consejos/

Certificación bases de .net

http://gyo.cs.buap.mx/material-certificacion-para-examen-70-536-de-certificacion-mcts-net-framework-2-0/

http://vicrodg.blogspot.com/2010/10/comenzando-con-70-536-en-espanol.html

ftp://ftp.certiport.com/Marketing/Mta/docs/

http://www.academia.edu/8632281/Como_Programar_C_2da_Edici%C3%B3n

En español:
http://naldog.blogspot.com/2013/11/el-examen-70-536-de-nombre-ts-microsoft.html

Porque es tan difícil crear empresa en Colombia?

Buenos días.

Hoy estuve leyendo una gran entrada referente al título de hoy, porque es tan duro? si cada momento nos dicen " sea emprendedor" , "el gobierno ayuda a montar empresa" , "los prestamos son condonados si la idea es exitosa" entre muchas afirmaciones que suenan bonitas en papel pero que en la hora de enfrentarse con la realidad tiene muchos inconvenientes.

Me parece que la entrada del blog que leí contiene todo lo necesario para leer, así que hago un aparte del texto para que se animen a leerlo:

Cuanto cuesta contratar una persona por el salario mínimo?


En Colombia contratar a un empleado con el salario mínimo le cuesta a una empresa aproximadamente 1.021.000 Mensuales, de los cuales el empleado recibe solamente 616.000 pesos mensuales y dos veces al año que llega la prima recibe 924.000 pesitos. ¿Por Que?

Por Esto, en la siguiente tabla les explico claramente los impuestos que debe pagar una empresa por un trabajador con el salario mínimo:

Eso quiere decir, que si voy a contratar un empleado, debo subir por lo menos los ingresos de mi empresa de $ 4.000.000 a $ 6.000.000 para poder pagarle al empleado sin generar ninguna ganancia para mi compañía. 

Esto es solo un aparte (copia y pega) de la fuente original, para leer con mas detalle ir a: 

Fuente: http://aguzmanma2.blogspot.com/

Privacidad?, algunos tips para mantenerla

Buenas noches.

En tiempos atrás cuando no habían tantos foros, páginas, vídeos  y demás medios sociales hablando sobre la supuesta Deep web, la información que se encontraba era buena pero llegaron todos los curiosos y terminaron cerrando todo lo que ya existía.

Es de anotar que hay foros con información asquerosa y poco gustosa para gente cuerda, a no ser de que nosotros seamos los locos, en todo caso no se a quien va dirigido esa información siendo mejor no pensar en ello. Pero es de rescatar foros de buenas técnicas de seguridad, conspiraciones y demás.

Todo se hacia bajo Tor, después de la gran popularidad que obtuvo muchos sitios fueron cerrando y muchas personas fueron siendo capturadas todo por supuesta mente un "fallo" de javascript.

Es curioso si la popularidad de Tor no hubiera crecido, nunca hubieran capturado a tanta gente?, ya tenían esta técnica guardada y solo tenían que volver popular el sistema?. Bueno son cosas que pensar lo mismo la teoría de la desaparición de TrueCrypt donde dicen que no se libera ningún software de criptografia que ciertos gobiernos no tengan "clave tracera".

En todo caso tampoco nos vamos a volver paranoicos y tampoco vamos a tratar de esconder cosas que a simple vista el gobierno no estaría interesado pero si es bueno entrar al detalle de que se esta haciendo actualmente para combatir la falta de privacidad.

Existe un servicio que poco he probado pero tiene buenas referencias se llama i2p, el cual ofrece lo siguiente:

* intercambiar informacion a gran escala con BT/emule/GNUtella/archivos distribuidos

* mantener un blog con el sistema syndie
* sitios de cualquier contenido
* chat 100% anonimos
* email 100% anonimo y/o remailer
* ofrecer servicios
* pagar/recibir pagos con una moneda 100% anonima

  En resumen

- No es posible combatir al oligopolio Empresas + Gobiernos en su terreno
- La internet ya esta perdida, esta bajo el control total de los servicios de seguridad
- Todas las herramientas que dependan de servidores y que NO protejan la privacidad de los usuarios son ENEMIGAS

QUE NOS QUEDA?

Pasar al siguiente nivel de la internet: la deepweb (no confundir, ni mezclar con TOR) y usar aquellas herramientas libres, sin dependencias de servidores y que respeten la privacidad.

PERO NO CONSIGO ENTENDERLO DEL TODO, EXPLICAMELO

Ya nos bombardean con noticias del escandalo Snowden + NSA + Assange... es decir, los datos que estan en la internet abierta (clearnet) o semi-abierta (tor/onion) estan siendo monitoreados, analizados, claisficados y depurados con el fin de:

- conocer e identificar a TODOS
- neutralizar movimientos revolucionarios
- impulsar protestas en contra de gobiernos indeseables
- manipilar la opinion popular
- confundir a las masas cuando sea necesario
- desarticular potenciales movimientos sociales
- aislar a potenciales conflictivos usuarios
- "eliminar" a probables objetivos

Y QUE DEBERIAMOS HACER NOSOTROS?

Abandonar la clearnet y entrar en la deepweb real y comenzar a usar herramientas que

- No necesiten de servidores o hosting centrales
- Permitan y ayuden al anonimato
- Sean descentralizadas
- Permitan un alto grado de privacidad

Y QUE HERRAMIENTAS SON ESAS?

Veamos... por ahora existen

- I2P, un proxy que nos permite entrar en una red deepweb descentralizada y encriptada
- OpenNicProject.org, nos permite liberarnos del monitoreo de las consultas hechas via DNS
- TOX, mensajeria instantanea descentralizada
- Twister, red social descentralizada
- I2Pbote, servicio de email encriptado y descentralizado
- Syndie, foros descentralizados
- Tahoe, cloud social descentralizado y encriptado
- I2Pmessenger, messenger anonimo y descentralizado
- iMule, la mula para i2p, 100% anonimo
- Snark, el bittorrent para i2p, idem.

Y hay varios otros proyectos en desarrollo en esa misma direccion.

Y QUE MAS DEBERIAMOS EVITAR?

WINDOWS, MAC OSX, WINDOWS, MAC OSX, WINDOWS, MAC OSX... cualquier sistema que nos delate!

En conclusión:

Debemos tener cuidado con los datos que pasamos por internet pues estos en definitiva son monitoreados y/o pierde los derechos de si mismo, es decir, al compartir algo ya se sabe que se están perdiendo todos los derechos sobre el mismo.

Para que la privacidad?, bueno de cierta forma a nadie le gusta que le escuchen conversaciones sin ser autorizado, una empresa no le gusta desvelar sus secretos de operativa interna y demás casos que puedan presentarse.

En uso hacktivista la idea es velar por los derechos de privacidad y libre intercambio pero esta ultima parte es debatible por el simple hecho de derechos de autor.

Fuente: http://www.rebeldemule.org/foro/cursos-tutoriales/tema10512.html

Tuits developers divertidos

Buenos días.

Como es sabido los viernes es difícil concentrarse en el trabajo ya que la mente esta pensando en tomarse un descanso, aquí hacemos honor a este sentimiento y bienvenido sea el ocio viernesino.



















Fuente: http://www.genbetadev.com/genbeta-dev/los-tuits-developers-mas-divertidos-abril-2015