Webs Amigas

Webs amigas, 20 años después. Aún recuerdo hace años, cuando Internet era 1.0 y funcionaba en html. Cuando los que teníamos páginas web eran “domésticas” y funcionaban bajo un dominio gratuito de aquél archipiélago de pescadores llamado Tokelau a través de una línea de 56kbps, que se cortaba cada vez que alguien descolgaba el teléfono, linea que por cierto, mas que en par de cobre, parecía que estaba fabricada en oro puro, y no lo digo por la velocidad, si no por las facturas de teléfono que llegaban a final de mes, curioso si pensamos que hoy en día por ese mismo precio, podemos alquilarnos varios VPS para todo un año y aun estaríamos ahorrando dinero. En aquella época en la que nos dedicábamos a intercambiar las URL de nuestra web con la de todo aquél que estuviera dispuesto a enlazar nuestro sitio en su página web. Hoy en día igual no se entiende todo esto, pero la finalidad de todo aquello era sencilla: cuantos más sitios enlazaran a nuestra página web, más altos estaríamos en el famoso “Page Rank” de Google y por lo tanto nuestro sitio recibiría más visitas procedentes de Google. Lo que venía siendo un bonito mercadeo de “referrers”, junto a las “black keywords” y otras estratagemas de Black SEO hicieron a Google y al resto de buscadores tomar cartas en el asunto para evitar este tipo de “trampas” en el posicionamiento web. Todo aquello no se hacía ni por ganar ingresos por publicidad (que apenas había), ni por ser el “influencer” de la red, ya que por aquellas muchas de esas webs eran anóminas: apenas se podía saber quien o quienes estaban detrás de ellas. Todo aquello simplemente se hacía por engordar aquel contador de visitas javascript que por cada página vista, sin importar si era el mismo usuario o no, sumaba un punto, un palote, una nueva visita. Hoy en día ya no tendría sentido todo esto, además que practicamente no merece la pena realizar este tipo de actividades irregulares para aumentar el posicionamiento de una web.

Fig 1. Glider retro

Por eso, lo que presento en este apartado de GLIDER.es no es un sistema de mercadeo de refferes, es otra cosa, una cosa bien distinta. Es una forma de agradecer a amigos y conocidos el trabajo que realizan de forma totalmente desinteresada compartiendo sus conocimientos, proyectos y quebraderos de cabeza a través de sus webs y blogs personales. Es una forma de compartir el trabajo que, de forma periódica realizan alimentando sus páginas web, con el trabajo que todos sabemos que esto conlleva. Simplemente, este será ese lugar, el lugar de las Webs Amigas.

 

Silvia Barrera https://sbarrera.es/ Una web de mi compañera y amiga Silvia, en la que trata temas de actualidad sobre cibercrimen, ciberseguridad y redes sociales. Además en este sitio podrás comprar su libro premio Circulo Rojo: “Claves de la Investigación en Redes Sociales”.

 

El blog de Angelucho http://elblogdeangelucho.com/ El blog de mi buen amigo Ángel, el que desde un punto de vista de un ciudadano cualquiera, o del internauta básico, irá lanzado consejos de seguridad, para que todo el mundo pueda encontrarse seguro en el mundo de Internet. Si lo que quieres es tener todos esos consejos reunidos en un único libro, no dudes en descargarte su libro: “X1Red+Segura Informando y Educando V1.0!”

 

Aratech https://www.aratech.es/ El blog de mi compañero de batallas, Oscar Navarrete, si te gusta el hacking de redes, este será tu blog. Eso sí, cuidado con el lado oscuro y no cruzar esa delgada línea roja.

 

Yolanda Corral https://www.yolandacorral.com/ El blog de Yolanda, una periodista especializada en ciberseguridad, artífice del programa Palabra de Hacker.

 

Palabra de Hacker https://www.youtube.com/ Canal divulgativo en temas de ciber seguridad, en el que sin bucear mucho encontrareis entrevistas muy interesantes.

 

Informático Forense https://www.informaticoforense.eu/ Un muy buen blog sobre Informática Forense, escrita por Jose Aurelio, el Maese.

 

Kinomakino http://kinomakino.blogspot.com.es/ Blog de este murciano llamado Kino, en el que si no quieres sentirte inseguro en internet, deberás añadir a tus RSS.

 

Blog Protegerse https://blogs.protegerse.com/ Uno de los referentes en España, en cuanto a contenidos divulgativos de ciber seguridad. Como no podía ser de otro modo, con la esencia de Josep Albors.

 

Hacking Ético https://hacking-etico.com/ Un blog escrito por mis amigos cordobeses. Si el hacking ético y el pentesting te interesa, es un blog que tienes que comenzar a seguir si todavía no lo has hecho.

 

Gurú de la Informática http://www.gurudelainformatica.es/ Como su propio nombre indica, Álvaro es un Gurú de la informática, un especialista en gestión de redes que de forma periódica nos cuenta en su blog técnicas para mejorar la eficiencia y seguridad de nuetras redes.

 

Computación Neuronal https://computacionneuronal.com/ Si quieres aprender a base de bien sobre Redes Neuronales e Inteligencia Artificial, este es tu blog. En el, Jose Luis os irá contado y explicando todas sus invesigaciones sobre este apasionante campo.

 

Security by Default http://www.securitybydefault.com/ Uno de los blogs pioneros de seguridad informática en España, un referente para muchos apasionados de la ciber seguridad.

 

FWHIBBIT https://www.fwhibbit.es/ ¿Todavía no sigues al conejo blanco? Este es un blog muy fresco, que aún a pesar de llevar muy poco tiempo online, ya tiene en su haber ni más ni menos que un premio Bitácoras. Seguir leyendo

Whatsapp: no solo de SQLite vive el hombre.

Posiblemente si pensamos en análisis forense de dispositivos móviles, lo primero que se nos viene a la cabeza es la idea de lograr ver las conversaciones de la aplicación de mensajería online Whatsapp, y esto no es nada nuevo, ya que Whatsapp lleva años estando a la cabeza en el ranking de aplicaciones de este tipo mas usadas en todo el mundo. Este mérito tienes sus consecuencias, una de ellas es que los mensajes enviados a través de esta aplicación se puedan convertir en pruebas de un crimen y por lo tanto será necesario extraer estos mensajes del teléfono, de tal forma que puedan ser utilizados en un eventual procedimiento judicial, es decir, realizar una correcta adquisición forense de estos mensajes. Además, que Whatsapp sea una de las aplicaciones mas usadas en todo el mundo, la convierten en objetivo de todo tipo de ataques y pruebas para tratar de desvirtuar una prueba o indicio criminal obtenido a través de la misma.

Últimamente se está hablando mucho de lo sencillo que puede resultar modificar o alterar una conversación de Whatsapp, para que dónde diga “Diego”, diga “digo”, no seré yo quien diga que esto técnicamente no se puede hacer, ya que es bien conocido el funcionamiento de un base de datos SQLite y como se pueden llegar a modificar los datos de una de sus tablas para volver a inyectarla a dicha aplicación y que efectivamente dónde decía “Diego”, ahora diga“Digo”, cosa bien distinta es lograr realizar esta manipulación sin llegar a dejar ningún rastro que un analista forense no pueda o sepa detectar. ¿Como era la frase…?, todo contacto deja un rastro, ¿no?. En este caso el mérito es localizar ese rastro de manipulación. Hoy no os voy a hablar de esos “lugares” recónditos en los que poder detectar una manipulación de una base de datos de Whatsapp, porque: “haberlos haylos, o caso é encontralos”, os voy a hablar de otra potente fuente de información que tiene Whatsapp, que desde mi punto de vista no siempre se explota suficientemente, y esta no es otra que los LOGS, que Whatsapp genera diariamente.

Lógicamente, el “core” de un análisis forense de Whatsapp, se deberá centrar en las distintas bases de datos SQLite en las que se van almacenando todas las conversaciones de Whatsapp. Pero a veces esto no es suficiente, ya sea porque estas bases de datos no registran lo que estamos buscamos, o porque se han eliminado y ya no podemos disponer de ellas. Así que en el artículo de hoy, voy a tratar de desmenuzar y exprimir el fichero LOG de Whatsapp (El Registro Central de nuestro Whatsapp) que se almacena en la ruta por defecto: “/com.whatsapp/files/Logs/whatsapp.log” de nuestros teléfonos móviles Android, así podréis ver toda la información que en un momento dado podemos obtener de este fichero tan desconocido en algunos casos.

 

1.) Números de teléfono registrados en Whatsapp: Como seguro que ya sabéis, Whatsapp, solamente permite iniciar sesión con un solo número de teléfono al mismo tiempo en un único dispositivo móvil, es decir, por regla general no se puede tener vinculados en Whatsapp dos números de teléfono en el mismo dispositivo móvil, del mismo modo, que tampoco se puede tener el mismo número de teléfono, vinculado al mismo tiempo en dos dispositivos distintos (siempre y cuando no sea con la versión web). Pero esto no implica, que en un mismo teléfono móvil, no se pueda usar Whatsapp con diferentes números de teléfono en distintos momentos, es decir, registramos un número, lo usamos, desconectamos ese número y registramos otro distinto. Quizás, que alguien en un momento dado vincule a su teléfono móvil, el número de otra persona (con, o sin su consentimiento), puede ser indicador de muchas cosas, buenas y malas. ¿Pero, como lo podemos detectar?, tan fácil, como irnos a nuestro: “whatsapp.log” y buscar la cadena “register/phone/cc”. Con esta búsqueda no solo encontraremos los números de teléfonos que se han vinculado a la aplicación de Whatsapp, si no que podremos determina la fecha y la hora a la que se realizaron estas vinculaciones. En la siguiente imagen podéis ver como el mismo número de teléfono se vincula cuatro veces distintas en fechas muy dispares, y entre medias, se registra otro número distinto que comienza por 62XXX. Esto no es lo habitual, ocurre en este caso, porque se trata de uno de los dispositivos que tengo para realizar este tipo de pruebas y el número de teléfono asociado lo utilizo con otras cuentas. Un usuario normal, no debería tener mas de un “Inicio de Sesión” en todo el log, y si los tiene, será porqué vinculó o desvinculó a propósito el número de teléfono en cuestión.

Fig.1 Verde: Fecha. Azul: String. Magenta: Teléfono registrado en Whatsapp.

 

2.) Determinar si un teléfono se encontraba encendido en un momento dado: Como dije anteriormente, en ciertos casos a alguien se le puede ocurrir tratar de manipular un dato dentro de un smartphone por el motivo que sea, esta alteración puede ser mas o menos sencilla de realizar, lo que si que no es para nada sencillo, es lograr realizar esta manipulación sin que nadie la pueda detectar. Por ejemplo, imaginemos que yo ayer a las 2:00 de la madrugada cuando estaba en el Summer Boot Camp de Incibe en León, hago algo que no debo con mi teléfono móvil, y como soy muy listo, se me ocurre modificar el LOG de mi teléfono, en el que se registran los encendidos y apagados del terminal, para que parezca que mi teléfono a las 2:00 de la mañana estaba apagado. Sin embargo, llega un analista forense competente, analiza mi dispositivo, y descubre que aunque el LOG de funcionamiento de mi teléfono dice que se apagó a las 00:30 horas y hasta las 08:00 horas no se volvió a encender, el log de funcionamiento de Whatsapp, con el string “msgstore/backup” registra la copia de seguridad automática de la base de datos de conversaciones msgstore.db a un fichero cifrado tipo .db.crypt12, nombrado con la fecha de creación. Quedando registrada esta acción en el log de Whatsapp, como se muestra en la siguiente imagen (además la fecha de creación del fichero .db.crypt12 será a las 2:00 de la madrugada). Como podéis ver, las mentiras suelen tener la patas muy cortas, además, con el número de aplicaciones que existen hoy en día instaladas en un solo dispositivo móvil, es muy difícil realizar una alteración en un de ellas, y que este alteración no quede registrada en otra aplicación o en otro lugar del teléfono móvil.

Fig.2 Verde: Fecha. Rojo: Backup creado a la 2:00 horas.

 

Seguir leyendo

Forense a un café con hielo

Si lo recordáis, hace unos días escribía un artículo sobre un comando Linux de 300€, en este artículo os contaba toda la información que se puede recopilar de una unidad de USB y el uso que se le puede dar a esta. Pero sorprendentemente lo que más llamó la atención a los lectores del artículo no fue toda la información que almacenan los pendrives, si no el hecho de que yo me calentaba la leche del café para luego echarle azúcar e hielo. Este es el famoso extracto del articulo donde contaba mi receta para hacer un Café con Leche y Hielo:

Fig 1. Recorte articulo “Comando Linux de 300€”

Fueron muchos los lectores  los que a través de redes sociales comentaron que no era necesario calentar la leche para disolver el café soluble o el azúcar, ya que tanto el azúcar como el café se disuelven en un liquido sin importar la temperatura de este. La verdad que estos comentarios me dejaron desconcertado, a lo mejor llevo años perdiendo el tiempo calentando la leche para luego echarle hielo sin que realmente sea necesario. Es la típica verdad que asumes desde pequeño, pero que nunca llegas a comprobar fehacientemente. Pero… un momento, como seguro que ya sabéis, yo soy gallego, y en Galicia hay una bebida espirituosa muy conocida que se llama “aguardente de herbas” (orujo para el resto de los mortales), y este aguardiente se hace en un alambique, a poder ser de cobre, en el que con fuego de roble lentamente se va cociendo el bagazo mezclado con una serie de hierbas secretas que reposan sobre una cama de vid y paja. El alambique genera un vapor que se condesa en un serpentín de cobre y gota a gota, va llenando un cuenco de liquido amarillo, pero este liquido todavía no se puede considerar aguardiente de hierbas, ya que todavía le falta añadir el azúcar, y este se añade de la forma mas tradicional que existe: verterlo directamente sobre la aguardiente. (Un secreto: un kilogramo de azúcar por cada Ola de aguardiente). ¿A qué viene que os cuente todo esto?, pues que si de pequeño no me hubiera pasado horas y horas ayudándole a mi abuelo a remover con un palo el azúcar que se tenía que disolver en el aguardiente que estaba a temperatura ambiente (frío), si me podría creer que el azúcar se disuelve con la misma eficacia tanto en un líquido caliente como frío.

Fig 2. Pote de aguardiente gallego

Pero la explicación que os he dado no es muy científica ¿no?. Bueno, para explicar el motivo por el cual el azúcar se disuelve más rápido en un líquido caliente que uno frío, me tengo que remontar a mis clases de química. Por cierto, si algún químico está leyendo este artículo y detecta que en algún dato “me he columpiado”, agradecería que me lo comentase, ya que algunas clases de química me las pase en el “laboratorio” haciendo experimentos con el café, la leche y el tute. Joven padawan que estás leyendo este artículo, por favor, deja de hacer experimentos en el “laboratorio” de tu Universidad o Instituto y no faltes a clase, en serio, a la larga no merece la pena.

La explicación científica de porqué el azúcar se disuelve mejor en un líquido caliente que en uno frío, la tenemos en la energía de las moléculas que forman el líquido, cuanto mayor sea la temperatura del líquido, sus moléculas tendrán más energía o lo que es lo mismo, se moverán más rápido y por lo tanto le resultará más sencillo romper los enlaces que mantienen al azúcar unido. Por eso, si además removemos el liquido, el soluto (azúcar) se disolverá de una forma más eficaz en el disolvente (leche).

Tanto hablar de enlaces moleculares, moléculas y demás cosas pequeñas, me ha recordado una curiosidad que siempre tuve y hasta no hace mucho no pude resolver, y esta no es otra que como se almacena la información en los discos duros magnéticos. No me refiero a la teoría, que si un bit puede ser cero o uno, que si se almacena en sectores o que una aguja lee y escribe esos bits sobre un disco. Mi curiosidad era a más bajo nivel, yo quería descubrir como se podían “almacenar” físicamente esos bits en una superficie como la de un plato metálico de un disco duro. Así que lo que haré es tratar de explicar de la forma más sencilla y comprensible posible como se almacena la información en los discos duros. Seguir leyendo

кофе с молоком

Este es un artículo programado automáticamente, así que si lo estáis leyendo, significará que es el día 1 de junio de 2017 y que no me he podido conectar a una red segura en Moscú (Rusia) para publicar la entrada que tenía pensado. Como seguro que ya sabéis, estos días me encuentro en la ciudad de Moscú, para dar una charla en el primer evento español de ciber-seguridad en Rusia: MoscowC0N. Este es un evento privado al que solamente se podrá asistir con invitación. El evento durará todo el fin de semana. El viernes comenzaremos visitando los lugares más característicos y emblemáticos de la ciudad moscovita, el sábado, durante toda la jornada se celebraran las distintas ponencias, comenzando por David Marugán, experto en seguridad y radiocomunicaciones, Javier Conde, detective y especialista en TSCM, Eduardo Arriols, investigador de seguridad y profesor universitario en U-tad y UCLM, Juan Antonio Frago Amada, Fiscal de delitos económicos, Pedro Sánchez, responsable del equipo de Incident Response de Deloitte, Mª José Montes, auditora de seguridad y cofundadora de QurtubaCON, Luis Jurado, abogado especializado en derecho penal y delitos telemáticos, y Gabriel Bergel, CSA de Eleven Paths. Mi ponencia versará desde un punto de vista eminentemente técnico sobre la evolución de las técnicas de distribución de señal de televisión, hasta llegar al “Card Sharing TakeDown!“.

Fig 1. Cartel MoscowCON Seguir leyendo

El comando Linux de 300€

La historia continúa…  Jueves 25 de mayo de 2017, 18:00 horas, hora de la merienda, 32 grados de temperatura a la sombra, la cocina de mi casa. Me dispongo a preparar un rico café con leche y hielo (Sí, ¡es posible!, no pasa nada por mezclar leche con hielo, no se corta, no explota, no ocurre ninguna desgracia, y además está bueno). Suena el timbre de mi casa, fuera estaba mi vecino. Sí, el mismo vecino que os contaba en el artículo: “Mi Análisis de WannaCry“, que le habían robado dentro de su coche: un sobre con 300 euros para el cumpleaños de su hijo, un pendrive y unas gafas de sol, mientras él estaba en la piscina. Él me comenta que le acaban de llamar de comisaría para decirle que gracias a que había denunciado lo que le había sucedido, una patrulla localizó en las inmediaciones del lugar del robo a un hombre con un sobre de 300 euros y un pendrive del mismo color que el que le habían robado, el agente le dice que sería conveniente que aportara el número de serie del pendrive para confirmar que es el suyo, ya que al parecer cuando lo encontraron solo tenía unos ficheros de vídeo en su interior.

Fig. 1 Pendrive robado

Mi vecino, no muy ducho con las nuevas tecnologías, me había pedido hace un tiempo que le comprara ese pendrive por internet, ya que le salía muy bien de precio, pero él no se atrevía a meter su tarjeta bancaria en una página web. Al final se lo acabé comprando, pero claro, ahora me dice que si puedo contactar con la tienda online para que me proporcione el número de serie del pendrive que le habían vendido. Por desgracia la tienda no dispone de ese tipo de información, así que todo su gozo en un pozo.

Como siempre, a grandes males, grandes remedios. Utilizando un poco de “pensamiento lateral“, se me ocurrió que aunque la tienda no dispusiese del número de serie del pendrive. Mi vecino a lo mejor si lo tenía apuntando, aunque él no lo supiese. ¿Y dónde lo podía tener apuntado?, la respuesta es fácil, en su ordenador. En los sistemas operativos Windows, cada vez que se conecta una unidad USB al ordenador, insertan una clave en el registro del sistema con una serie de parámetros sobre el dispositivo conectado. Entre estos parámetros, se encuentra: el nombre comercial del dispositivo, fecha de instalación, número de serie, unidad asignada… así como otra serie de parámetros técnicos no menos importantes, pero que para el tema que nos ocupan no vienen al caso.

Le pregunté a mi vecino si había conectado ese pendrive a su portátil, me dijo que no lo recordaba, ya que solo lo utilizaba para guardar sus podcast preferidos e irlos escuchando mientras conducía. Por si acaso, le dije que me trajera el portátil y le echábamos un vistazo rápido.

Se trataba de un Windows 7, de 64 bits, por lo que solo tuve que abrir el Registro de Windows e ir a la clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. En esta clave quedan registrados todos los dispositivos de almacenamiento USB conectados al ordenador. Un pendrive, es un dispositivo de almacenamiento USB, así que si había conectado el pendrive a ese PC, tuvo que quedar registrado. Me comentó que era un pendrive marca SanDisk modelo Cruzer, rápidamente localicé entre todas las claves de registro una que se llamaba: “Disk&Ven_SanDisk&Prod_Cruzer_Blade&Rev_2.01“.

Fig. 2 Registro de Windows

¡Lo logré! blanco y en botella, ahí estaba el registro del pendrive , además en la clave también constaba el número de serie: “4C530103341021117100“, así que el trabajo ya estaba hecho y en tiempo record, mi vecino estaba con los ojos como platos. Me vine arriba, y le dije que también podía sacar la fecha de la primera instalación del pendrive en el ordenador, para esto tan solo es necesario exportar la clave de registro correspondiente a un formato tipo .txt, como se aprecia en la siguiente imagen: la primera vez que se conectó ese pendrive al portátil, fue a las 22:41 horas del día 27 de mayo de 2016, esto es, hace poco menos de un año.
Seguir leyendo