/*codigo slider*\

lunes, 7 de julio de 2014

ElevenPaths Blog: Cómo y cuándo se ataca a Microsoft: análisis de vu...

Cómo y cuándo se ataca a Microsoft: análisis de vulnerabilidades

Microsoft ha publicado un par de artículos muy interesantes en su blog de seguridad, donde se desgrana quétipo de fallos de seguridad son los más atacados y cuándo se ha descubierto un exploit para ellos. Pretenden dejar claro que han mejorado (y es cierto), pero veamos algunos detalles que no mencionan y reflexiones derivadas de la evolución mostrada en los últimos años.

Lo primero, ha sido estudiar las causas de las vulnerabilidades más graves (las de ejecución de código) en su software desde 2006 a 2013. Según la raíz del problema, la vulnerabilidad será más o menos difícil de explotar por un atacante, aunque todas concluyan con la posibilidad de controlar del sistema. Es un estudio interesante porque:

  • Se centra en vulnerabilidades graves y explotables. Nada de números camuflados entre las "no explotables" o la gravedad.
  • No se compara más que con sus propios productos.
  • Las vulnerabilidades estudiadas no se encuentran contaminadas por el comportamiento del usuario. En este caso no importa qué haga ni qué ejecute (tan solo un poco qué visite, quizás, pero no parece relevante).

El estudio se resume en esta gráfica.

Causa de las vulnerabilidades de ejecución de código en Microsoft desde 2006

Lo primero que se observa es un descenso pronunciado de los desbordamientos de pila clásicos. Estas son las más sencillas de explotar... y detectar por el equipo de programación. Es cierto, Microsoft ha librado una lucha contra este tipo de fallo y al pensar en la seguridad desde el diseño, ha prohibido el uso de técnicas de programación que puedan derivar en este método y de librerías de C que se sabían inseguras. Incluso incorporan un "banned.h" para que el compilador avise directamente. Parece que da resultado...

Pero nada desaparece sin que lo sustituya otra técnica, puesto que los niveles de explotación se mantienen.Use-after-free es un fallo más complejo de detectar programando, y por eso Microsoft no puede detenerlo tan fácilmente. Si los atacantes no encuentran desbordamientos de pila, acuden a este fallo de manejo de objetos que puede derivar en ejecución de código. Además, da la "casualidad" de que este tipo de vulnerabilidades se encuentra más en los programas "cliente" y en concreto en el navegador, el tótem preferido por los exploiters: ejecución de código en IE implica tener el control del cliente con solo visitar una web.

Los exploits que evitaban la carga de DLL desde otras rutas fue una moda desde que se detectó el método, pero era fácil de corregir y dos años después ya casi no se encuentran programas que lo hagan mal (al principio la lista fue interminable, tanto de Microsoft como de otros). El desbordamiento de heap, más difícil de detectar en tiempo de programación (y de explotar), se mantiene invariable en estos años.

¿Han descendido las vulnerabilidades?

Una de los métodos que tiene Microsoft para luchar contra las vulnerabilidades de ejecución de código son DEP y ASLR, introducidos en Vista en 2006. Son las armas implementadas de forma predeterminada para amedrentar a los exploiters. Pero no tanto. La aparición de ROP, las fugas de direcciones de memoria, o el uso de librerías que no son compatibles con ASLR ha permitido a los atacantes seguir sacando provecho de estas vulnerabilidades. Pero aunque el el statu quo se ha mantenido, "huyendo" a otros tipos de vulnerabilidad o con la aparición de métodos nuevos... parece que según Microsoft, el número de vulnerabilidades de ejecución de código explotadas ha descendido un 70% en los últimos tres años en el software de la compañía. Este gráfico así lo muestra:

¿Cuándo se ha detectado un exploit para una vulnerabilidad de ejecución de código en Microsoft?
Esta imagen explica que, de las 20 vulnerabilidades que fueron explotadas en 2013 en sus productos, 13 se descubrieron siendo explotadas en forma de 0-day. 6 vulnerabilidades se descubrieron siendo explotadas durante los 30 días siguientes al anuncio del fallo, y solo una más tarde. Y, aunque en Microsoft destaquen sus bondades y la interpretación de estadísticas y barras se preste a todo tipo de argucias argumentales, este gráfico es muy curioso por varias razones. Algunas que consideramos relevantes.

¿Qué se deduce del gráfico?

  • En los titulares, Microsoft habla de la caída de vulnerabilidades desde 2010, pero no de la subida desorbitada hasta ese año, ni sus razones. ¿Por qué esa explosión de un año a otro? En 2010, con Windows 7 y IE8 ya en el mercado, el número de vulnerabilidades se dispara... fue un año convulso en Microsoft, y también para los atacantes. La creación de exploits les costó más esfuerzo (muchos más se crearon dentro de los 30 días posteriores al anuncio de la vulnerabilidad). Quizás sea porque estaban naciendo las nuevas técnicas para eludir DEP y ASLR, ya implantados con Windows 7, que se introducía en el mercado en ese momento y al que necesitaban llegar los atacantes. O también cabe otra teoría. ¿Puede ser que muchas de esas vulnerabilidades fueran encontradas por la propia Microsoft y luego los exploiters crearan el ataque? Esto en realidad sería positivo, una especie de "cura" interna por parte de la compañía para eliminar puntos débiles.
  • Si se habla desde 2006 es porque fue cuando se introdujo Vista, el primer sistema operativo con medidas de seguridad reales de serie... Si miramos de nuevo el gráfico, vemos que el número de vulnerabilidades de ejecución de código para las que se ha encontrado exploit, no ha variado sustancialmente desde 2006. Quizás, tras la desaparición de XP y la introducción de mejoras sustanciales de seguridad en el sistema, se podría esperar una caída más pronunciada en los exploits contra Microsoft... pero no parece que sea el caso. Como decíamos, el statu quo se mantiene. Las defensas mejoran pero los ataques son más sofisticados.
  • Echamos de menos especificar a qué software se refieren exactamente en las gráficas. Pero aunque no lo mencionen, sí es cierto que el número de vulnerabilidades de ejecución remota de código explotadas en programas servidor de Microsoft (Exchange, MSSQL, IIS, etc) es casi anecdótico desde hace años.
  • El número de vulnerabilidades descubiertas en forma de 0-day (siendo explotadas) no ha descendido en absoluto desde 2006. Son las más peligrosas y las que más daño causan a los usuarios.
  • En 2013, los exploits posteriores a los 30 días ya no tienen apenas presencia. No sirven a los atacantes. Y aquí quizás entra en juego el parcheo rápido y automático de Windows, que tanto bien ha proporcionado a los usuarios.
  • Se nota un descenso pronunciado a partir de 2012 del número de vulnerabilidades. ¿Microsoft ha mejorado o es que ya no suponían mucho interés para los atacantes? Un poco de todo. Recordemos que a partir de 2012 ocurrió algo muy interesante en el mundo de la seguridad: Java y sus fallos. Un auténtico caos que, hasta 2013, lo dominó todo (Oracle fue objeto de mofa durante dos años). Lo más sencillo para los atacantes era crear exploits triviales para Java y conseguir resultados óptimos. Solo hace falta ver el gráfico más abajo para comprender qué ocurrió en 2013. Entonces, desde el punto de vista de los atacantes ¿para qué analizar tanto el software de Microsoft (que además se hace más complicado cada vez) si se dispone de Java para mantener los niveles de infección y poder explotar? Ya sabemos que la correlación no implica causalidad, pero puede ser una teoría interesante. Habría que ver qué ocurre durante este año y el próximo para confirmar.

Fuente: Kaspersky

Pero en resumen, no se puede decir que Microsoft no haya mejorado. Es un hecho que explotar IE es ahora mucho más "caro" para un atacante, entre otras razones. Un detalle que mencionan, casi de pasada, es queaunque el número de 0-day en 2006 es parecido a los de 2013, no son de la misma "naturaleza": una buena parte se han encontrado atacando a objetivos muy específicos, es decir, hablamos de ciber-guerra. A medida que un 0-day tiene más valor, los atacantes no lo "malgastan" en el usuario medio... lo aprovechan para usos más "lucrativos" y potentes.

Sergio de los Santos
ssantos@11paths.com

miércoles, 25 de junio de 2014

Un informático en el lado del mal: Todas las herramientas de Black USA 2014 Arsenal

Todas las herramientas de Black USA 2014 Arsenal

Esta semana se ha publicado la lista de herramientas que van a componer el Arsenal de Black Hat USA 2014, y este año parece que han batido records en cuanto a número de ellas propuestas, ya que el número que hay es ingente. Entre ellas hay herramientas de compañeros y amigos como ProxyMe de nuestro compañero Manu "The Sur"WhatsApp Privacy Guard de Jaime Sánchez y Pablo San Emeterio para ayudar evitar los ataques de quienes quieren espiar WhatsApp o Voyeur de Juan Garrido "Silverhack" para auditar un Active Directory usando PowerShell y sin necesidad de cuentas administrativas.

Figura 1: Herramientas en Black Hat USA 2014 Arsenal

La lista es larga, y cuenta con herramientas de gran calado y utilidades pequeñitas pero que pueden resultar más que prácticas para muchos entornos. Aún no están disponibles en la web de Black USA 2014 Arsenal, pero la mayoría de ellas se pueden encontrar en sus repositorios de desarrollo. Este es un resumen que he hecho por si te puede ayudar a localizarlas mejor.

- ANDROID DEVICE TESTING FRAMEWORK: Framework y APIs para auditar Android
- AUTOMATED MEMORY ANALYSIS: Plugins para Cuckoo Sandbox
BEEF (Browser Explotation Framework): JavaScript Botnets Control Panel
- BREWSKI (BURP RHINO WEB SCANNER): Plugin para Burp scriptable
- C-SCAD: Herramienta de explotación de un cliente SCADA
CHIPSECAuditoría de plataforma (Secure Boot, BadBios, etc..)
CLASSIFY6: Command Line Tool que clasifica una dirección IPv6
CYNOMIX: Proyecto de clasificación de malware en familias
- DAMM: Análisis diferencial de malware en memoria
DEPENDENCY-CHECK: Analiza dependencias entre apps y librerías
DRADIS: Plataforma para consolidación de datos en auditorías
- FILIBUSTER: Analiza puertos filtrados en firewalls
FLOWINSPECTAnálisis e inspección de tráfico de  red con reglas
- FSEXPLOITME: ActiveX vulnerable para enseñar Browser Explotation
HEYBE: Herramienta de pentesting para redes empresariales
- ICE-HOLE: Framework para auditar tests de phishing en auditoría
IDB: Herramienta automatizada para auditar apps en iOS
- IMAS: iOS Mobile Application Security Libraries
IMPACKET: Clases en Python para herramientas de hacking de red
- ISPY: Herramientas de auditoría de Apps para iOS
JTAGULATOR: Herramienta de auditoría de chips en hardware
MALTRIEVERecuperar malware desde la fuente en que se sirve
- MELKOR: Herramienta de Fuzzing para formato de fichero ELF
MODSECURITY: Popular WAF OpenSource. Lo usamos en FOCA.
- MORNING CATCH: Virtual Machine para enseñar ataques client-side
MOZDEF THE MOZILLA DEFENSE PLATFORMPlataforma SIEM de Mozilla
- NFCULT: Auditar y explotar NFC ultralight en Android
- OOPS, RFIDID IT AGAIN: Pentesting de RFID
OWASP PCI TOOLKIT: Herramientas OWASP para aplicar PCI
OWASP ZED ATTACK PROXY (ZAP): Popular Proxy para pentesting
POWERSPLOITMetasploit-like escrito en PowerShell
PRAEDA: Explota impresoras multi-función y saca credenciales
- PROXYME: Proxy HTTP-s con plugins scriptables para auditoría web
- REGEORG: Creación de túneles vía HTTPs a puertos de red
- RICKROLLING YOUR NEIGHBORS WITH GOOGLE CHROMECAST: hacking Chromecast
- SECURESCAN SAAS FREE SCANNER: Vulnerability Management Cloud-Service
SERPICO: Crear informes con datos de herramientas de auditoría
- SHINOBOT SUITE: R.A.T. Simulator para auditar sistemas
SIMPLERISK: Herramienta de gestión de riesgo para empresas
- SMARTPHONE PEN-TEST FRAMEWORK: Hacking de usuarios con smartphone
SNOOPYSonda para recolectar información de dispositivos con cercanía
SPOTLIGHT INSPECTORAnálisis forense de BBDD Spotlight de OSX
- TAINTLESS: Detección y explotación de SQL Injection
THREADFIX: Gestión de vulnerabilidades y parches
VEIL-FRAMEWORK: Herramienta para pentesting en equipos
- VIPER: Herramienta de gestión de scrips para reversing
VIPROY: Herramienta para hacking de VoiP
VOLATILITY FRAMEWORK 2.4: Nueva versión de memory forensics
- VOYEUR: Auditoría de Active Directory hecha en PowerShell
W3AF: Web Security Scanner
WATOBO: Herramientas para auditoría web
WHATSAPP PRIVACY GUARD: Cifrado de WhatsApp
- ZIG TOOLS: Librerías Python para desarrollo con Freakduino
- ZITMO NOM: Para auditar el despliegue de ZitMo vía SMS
Como veis, la lista de herramientas es grande, así que he intentado resumir en una sola línea información básica para que decidas si quieres conocer mejor esas herramientas o no, además de dejaros enlaces a algunos de sus repositorios y/o documentación disponible. Si quieres saber más de cada una de ellas, visita la web del Arsenal o busca la herramienta en su repositorio si está disponible y ponte a probarla.

La verdad es personalmente me encanta ver la cantidad de gente que hay haciendo investigación en seguridad y que hace que cada día avance más el conocimiento. Con grandes herramientas, pequeñas soluciones o simplemente documentando y creando recursos para enseñar o agitar la mente de todos con nuevas ideas.

Saludos Malignos!

jueves, 8 de mayo de 2014

"El antivirus ha muerto" [Symantec]

"El antivirus ha muerto" [Symantec]


Brian Dye, CEO de Symantec (conocida por su antivirus Norton), ha declarado recientemente algo que no deja indiferente a nadie: "Los antivirus han muerto. Ya no pensamos bajo ningún sentido en los antivirus como generadores de dinero", dice. Y es por ese motivo que toda la compañía quiere reinventarse y evolucionar de la misma forma con la que han evolucionado los ataques a nuestros sistemas. 

¿Cómo? Dejando de intentar evitar esos ataques (que pueden venir incluso del gobierno para espiarnos) y pasando a minimizar sus consecuencias. Una estrategia que ya están siguiendo varias compañías, como los datos falsos que está introduciendo Juniper Networks en sus servidores para engañar a los atacantes o las protecciones extra en los números de nuestras tarjetas de crédito de Shape Security para que alguien que consiga acceso lo pase mal al intentar hacer una compra. 

Las firmas antivirus, en un intento por construir inteligencia artificial que ayudara a la detección, "inventaron" la heurística y enseguida los delincuentes respondieron con una superabundancia diaria de malware totalmente fuera de control y con servicios de cifrado on-the-fly y que hoy es uno de los más lucrativos.

"Los productos antivirus están ganando menos de la mitad de todos los ataques", dijo Dye, "lo que pone su empresa entre la espada y la pared porque nuestros productos antivirus aún componen aproximadamente el 40% de los ingresos de la empresa".

En los últimos meses, en colaboración con Symantec, IBM anunció una "nueva" forma de proteger las redes, mediante la detección de patrones irregulares en el tráfico de red.

La compañía formará próximamente un equipo de respuesta para asistir a aquellos negocios que hayan sufrido intrusiones. Symantec planea ofrecer a empresas informes de inteligencia que además de revelar los ataques existentes explicarán a los clientes qué objetivos tienen los hackers.

Lo cierto es que, si miramos al típico programa antivirus como tal, no cabe duda de que ha quedado anticuado. La plataforma y su protección ya casi no importan, porque todos los ataques pueden venir a bordo de una web con código malicioso o a base de engaños en correos phishing. Pero eso no significa que ya no hace falta protegerse: recordad que vosotros mismos podéis aplicar medidas adicionales de seguridad en vuestros ordenadores.

Fuentes:  


miércoles, 26 de marzo de 2014

Algunos problemillas con IPv6

, 25 marzo 2014 | Imprime
(N.d.E. Hoy tenemos una entrada de Vicente Dominguez, un viejo amigo que hace algún tiempo que decidió comenzar un aventura por su cuenta, que esperamos que le vaya muy bien :)
Después de dar con la entrada de Nacho del mes pasado me fue inevitable eludir mi desviación profesional después de años y años trabajando en un centro de datos y recordé el sobre-esfuerzo que requiere la adaptación a la version 6 de IP para una mente humana que viene de la version 4.
Además de los magníficos problemas que en recursos requiere los 128 bits por cada dirección en su enrutado, las complicaciones para los IDS en recursos y firmas y el mal manejo de algunas utilidades de toda la vida, están los que yo sufrí: los de la mente humana. Éstos lo dejo para el final.

Si nos vamos a la seguridad, que es de lo que va el blog, se me ocurren algunos puntos a tener en cuenta sobre el “rocambolesco” mundo IPv6 con algunas utilidades. Sin pensar demasiado y como ejemplo:
  • Para empezar: las máscaras. Si metéis el típico /24 o /32 en IDS, firewalls o utilidades (por herencia pura) os vais a encontrar examinando 1000 millones o 4 mil millones de direcciones. Ojo con tener reglas que indican el guardado en BBDD de direcciones aplicando estas máscaras. Vais a necesitar mucho mucho espacio, amigos.
  • Más ejemplos: Nmap no permite rangos clásicos. Las formas 192.168.2.* y 192.168.2-30 no funcionan con IPv6. Ojo a esos scripts de autodiscovery de algunas redes.
  • Nping no funciona con rangos directamente en IPv6. Fyodor dice que: “CIDR and octet ranges aren’t supported for IPv6 because they are rarely useful” (Ref: http://nmap.org/book/nping-man-target-specification.html)
  • hping2 no tiene IPv6. O por lo menos no el que uso.
  • Lynx requiere de versión específica compilada.
  • Curl. Este es buenísimo. Las direcciones de IPv6 van entre comillas y entre corchetes aplicando el globoffporque si no, no “parsea” bien. ¡Oh! ¡Cuántos agentes de monitorización dirán adiós! (Ref:http://vicendominguez.blogspot.com/2014/03/curl-IPv6-common-errors-using-direct-ip.html)
  • Medusa en FreeBSD me da un segmentation fault. ¡Genial!
  • Necesitamos cambiar el bind de algunos servicios si están forzados a una interfaz concreta o no será posible alcanzarlos.
  • Iptables, ping y traceroute (entre otros…) usan nuevas utilidades específicas: ip6tables, ping6 y traceroute6.
  • El resto de utilidades requieren de parámetros específicos para invocar el uso de IPv6. ¿Alguna vez será este el uso por defecto de la tool? Quien sabe.
La consecuencia directa de todos estos cambios levanta un claro punto débil: la mente humana.
Es fácil pensar que si todo esto cambia es necesario volver a configurar todo lo ya configurado anteriormente, pero ahora, para este nuevo stack.
Como comentábamos. Las firmas de vuestros IPS, IDS, la cantidad de los datos a guardar y el rango de ips a monitorizar cambia en cualquier IDS que instaleis para este stack. Huelo a vectores de ofuscación fácil. Si no tengo firma o no escucho ahí, no lo veo. O caemos, o nos acordamos, o se nos escurren.
Scripts de monitorización basados en curl, ping, necat, socat etc etc… requieren o nuevas aplicaciones (ping6, traceroute6…) o nuevos parámetros (-6 esta intentando estandarizarse como parámetro de facto para la invocaciones para IPv6). Adaptarse o morir.
Las reglas de firewall tienen que aplicarse en ambos stacks: IPv4 y IPv6 compañeros. Y ambos deben de estar ON amigos. En el caso de linux iptables, pero ahora, ip6tables también.
Con todo esto llegamos de lleno a pruebas más reales. No espereis nada del otro mundo. O por lo menos no por aquí ;) (N.d.E. Voy a perdonarle a Vicente ese desliz…).
Es posible pedir a Hurricane Electric un tunnel IPv6 gratis. No cuesta nada pedirlo y es cero-cero configurarlo. En FreeBSD no me llevó ni dos minutos activarlo. No se como será el resto.
Hecho esto y habiendo leído parte del artículo, no tardamos en darnos cuenta de lo diferente que se comportan los sistemas.
Los IIS7 de las páginas del Ministerio de Industria actúan de forma diferente según stack. Cojo de ejemplobandaancha.es.
host www.bandaancha.es

www.bandaancha.es has address 193.146.1.84
www.bandaancha.es has IPv6 address 2001:720:438:400::84
Uso normal: Redirect!
curl -i -A Chrome http://www.bandaancha.es
HTTP/1.1 302 Redirect
Content-Type: text/html; charset=UTF-8
Location: http://www.minetur.gob.es/telecomunicaciones/banda-ancha/Paginas/Index.aspx
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Mon, 24 Mar 2014 07:39:25 GMT
Content-Length: 209
IPv4: Welcome
curl -i -A Chrome 193.146.1.84
HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Tue, 26 Jul 2011 15:34:53 GMT
Accept-Ranges: bytes
ETag: "ad1be390a94bcc1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Mon, 24 Mar 2014 07:38:03 GMT
Content-Length: 689





IIS7

lunes, 10 de febrero de 2014








Sergio Velázquez Juárez

Descripción: logo

miércoles, 5 de febrero de 2014

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.



En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

Es por ésta razón que las pequeñas organizaciones deben tener establecido en sus planes de auditoria o investigaciones, la revisión frecuente  de las imágenes contenidas en las computadoras corporativas. Para  así identificar y prevenir fraudes o el mal uso del recurso informático por parte de los empleados.

Mal Uso Informático: Nos referimos especialmente al realizar auditorías o investigaciones y se encuentran capturas de pantallas con imágenes de lo que los empleados están haciendo a través de la computadora corporativa. Como visitar páginas con contenido pornográfico,  revisión de páginas de bancos, realizar extorsiones, uso indebido de correo electrónico, entre otros, cometidos a través de los recursos proporcionados para el trabajo y no para otro fin.




Fraude Interno: Así mismo, los fraudes internos son cometidos por empleados de la propia organización de manera solitaria o en colaboración de otras personas, para obtener un beneficio por lo general de tipo monetario. También el fraude externo es el que realiza una persona ajena a la organización, como puede ser un proveedor o un cliente.  Estos incidentes pasan por la dificultad de administrar grandes cantidades de datos que se procesan en empresas u organizaciones.



Por lo anterior, para cometer fraudes dentro de una pequeña organización, una modalidad es la captura de imágenes de la pantalla, con el fin de guardar información que posteriormente les puede servir para cometer fraudes. Los más conocidos  son: almacenamiento de contraseñas de accesos de los usuarios, información de clientes, proveedores, entre muchos datos de interés para el empleado.  En vista de esto,  pequeñas organizaciones están complementando su seguridad con herramientas especializadas para realizar auditorías de manera remota. Previniendo  vulnerabilidades que puedan afectar la información de la empresa y vigilar que los empleados estén tomando información sin autorización para otros fines. Estas auditorías se realizan utilizando EnCase Enterprise o EnCase Forensic, herramientas que permiten monitorear de forma remota equipos dentro de la empresa y así prevenir fraudes o fugas intencionales o no intencionales de información.





Para éste tipo de casos y con el fin de monitorear  la red, los dueños o administradores de tecnología de pequeñas empresas,  pueden buscar información que revelen qué está tratando de cometer los empleados. Previsualizando si existe captura de imagen de la pantalla, en su gran mayoría son almacenadas en formato imágenes (archivos con extensión .jpg).  A continuación se muestran algunos ejemplos de los lugares que se pueden auditar o inspeccionar de una manera rápida en los computadores de  la organización:





En primer lugar, para inspeccionar  la computadora, una manera simple es realizar previsualización de las carpetas comunes de forma manual. Como por ejemplo las carpetas de usuario se encuentran todas en el interior del directorio con el nombre del usuario del equipo en la ruta C:\Documents and Settings\NombreDeUsuario\My documents(para Windows xp).  Por default algunas imágenes siempre se almacenan en ésta carpeta y allí es una manera fácil de ubicar carpetas o archivos.

También otras carpetas comunes o especiales para auditar rápidamente, son las que se encuentran en la rutaC:\Users\NombreDeUsuario (para Windows 7). Los Archivos temporales de internet (directorio donde se guardan los archivos temporales del navegador Internet Explorer, se almacenan tanto archivos html como imágenes de las páginas web visitadas). Cache de búsquedas hechas en Windows (Se almacenan todos los datos de las búsquedas hechas por el usuario):
  



Pero hay maneras más fáciles como previsualizar de forma remota el computador de un empleado y explorar si existe captura de imágenes de pantallas es la Galería de imágenes. La cual previsualiza todas las imágenes contenidas dentro del dispositivo auditado o examinado; así se puede dar una idea del tipo de imágenes que consulta y almacena el empleado de la pequeña organización:




También un sitio para visualizar archivos, es revisar la papelera de reciclaje, así se puede identificar lo que el empleado esta eliminado y determinar si existe probabilidades que este cometiendo algún tipo de fraude o mal uso informático:




Otra opción un poco mas avanzado para encontrar imágenes es crear una condición por tipo de archivo,  que filtre las extensiones de las imágenes buscadas. De ésta manera se visualiza sólo el tipo de archivo requerido como se muestra a continuación:



Un ejemplo mucho más avanzado donde el examinador forense profesional puede encontrar imágenes,  es realizar una búsqueda  por el encabezado del archivo, para éste caso imágenes en formato JPEG. Recordemos que si un funcionario está cometiendo algún delito, lo obvio es que esté eliminado cualquier rastro.  Por lo tanto,  buscar por el encabezado del archivo, a través de criterio de búsqueda  por palabra clave  y con clave tipo GREP. También en esta búsqueda se puede incluir espacio no asignado o clúster no asignado.  Éste procedimiento se debe hacer ubicando los códigos hexadecimales FF D8 FF seguido por ya sea de FEE1DB,E0, o EE. Conformando una palabra clave GREP como la siguiente:


\xFF\xD8\xFF[\xFE\xE1\xDB\xE0\xEE]








Es de resaltar que el resultado de ésta búsqueda de tipos de archivos JPEG, en algunos casos devolverán una imagen parcial cuando sólo ha sido posible recuperar una parte del archivo y ésta contiene el sector inicial. Por tal motivo encontrará archivos de imágenes incompletas, que también de una u otra manera proporcionan información de lo que están haciendo y eliminando los empleados dentro de la organización.




Como vimos en los ejemplos anteriores, una pequeña empresa a cargo del dueño, gerente o en su defecto el administrador de tecnología de la información, debe tener conocimiento al realizar auditoria de qué  y dónde buscar imágenes. Utilizando de una manera rápida herramientas como EnCase Enterprise y EnCase Forensic. Herramientas que permiten establecer que hacen los empleados, evitando así fraudes o fuga de  información confidencial a terceros consciente o inconscientes. 



Por eso no se puede dejar el patrimonio de las pequeñas empresas al cuidado de la buena voluntad de los empleados, mucho menos en situaciones de riesgo. De ahí que, proteger a la empresa de posibles fraudes se convierte, en buena medida, en un objetivo estratégico y evitar grandes pérdidas monetarias y de reputación.

Related Posts Plugin for WordPress, Blogger...