Analisis forense de dispositivos USB

Leo vía Guru de la informática la existencia de dos interesantísimas aplicaciones para poder auditar el uso (o abuso) que se ha hecho de los puertos USB en un equipo PC.
Esta es a día de hoy una de los grandes agujeros por donde se escapa la información corporativa de las organizaciones dado que por su extendido uso, es políticamente incorrecto un muchos sitios cortar el acceso.
Si como responsable el acceso USB no puedes evitarlo, al menos trata de detectar, monitorizar o disponer de información sobre qué ha sido conectado vía USB.

La primera de ellas se llama USBDeview, freeware, es una pequeña aplicación ejecutable de 84kb que suministra la siguiente información sobre el dispositivo: nombre, descripción, tipo de dispositivo, letra de unidad, número de serie, fecha de instalación, fecha de última conexión y desconexión. También permite bloquear los dispositivos que seleccionemos, desinstalarlos o bloquear todos los dispositivos USB que se conecten al sistema. Puede ser descargada en USBDeview.


La segunda es DeviceLock Auditor, freeware, que funciona en los sistemas Windows 2000/XP/2003 Server. Permite establecer filtros y exportar los resultados en hojas de cálculo. Es una herramienta muy útil para controlar los dispositivos USB, FireWire y PCMCIA, que se conectan en una red. Esta puede ser descargada en DeviceLock Auditor.

Control de versiones en documentos personales

Leo vía DiarioTi la existencia de la aplicación "AutoVer" que permite un control de versiones para los documentos propios de un usuario normal. Esta pequeña aplicación freeware crea copias automáticas de los archivos de trabajo en una carpeta espejo utilizada para backup. Permite por tanto una gestión de versiones para uso doméstico similar a la utilizada en entornos profesionales mediante aplicaciones como CVS o Subversion.

Tal como explican en DiarioTI, "el programa AutoVer procura crear una copia de seguridad automática del archivo cada vez que éste es modificado. El pequeño programa monitoriza sólo los directorios o carpetas que el propio usuario desea monitorizar y éstas pueden ser guardadas donde el usuario desee, como por ejemplo en un disco duro externo, unidad en red, o memoria flash. De esa forma, si la computadora sufre un desperfecto, los archivos estarán protegidos en otro lugar.

También es posible para el usuario determinar en qué momento los archivos han de ser borrados definitivamente, si su intención es borrarlos en algún momento. Por ejemplo, puede programar que éstos sean borrados después de 90 días, o almacenados en un archivo comprimido, o simplemente que nada ocurra con ellos. El usuario decide y el programa ejecuta tales instrucciones. Cada vez que el usuario hace clic en el botón de almacenar del programa con el que trabaja, AutoVer crea una copia en otro lugar determinado por el propio usuario. La copia tiene el mismo nombre que el original pero incluye además un “sufijo" numérico, como por ejemplo midocumento.doc.080324123301.doc. La cifra en cuestión indica año, mes, día, hora, minutos y segundos. De esa forma la lista de archivos es fácilmente clasificable en el explorador de Windows.



El programa puede ser descargado en Autover

El modelo humano de gestión del riesgo

Leo en el blog de Schneier este mes un interesante artículo sobre cómo el ser humano gestiona de manera innata el riesgo. El primero de ellos, reflexiona sobre el riesgo que supone conocer el riesgo valga la redundancia.
El artículo entero puede leerse en Schneier on Security: Risk of Knowing Too Much About Risk y merece la pena destacar que las personas que más creen controlar o conocer los riesgos pueden cometer errores o tomar decisiones no adecuadas basadas en una confianza o conocimiento de la situación que puede no ser tal.
El miedo es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos.Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

• La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuición de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.

• La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.

Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional.

Para reflejar este hecho, se realizó un estudio sobre las causas con mayores probabilidades de muerte que representa la imagen superior. El tamaño de cada círculo representa el riesgo relativo de morir por la causa enumerada. Una de cada cinco muertes es por enfermedades del corazón. El infarto cerebral es un círculo alrededor de un tamaño cinco veces menor que la enfermedad de corazón. Los círculos más pequeños siguen documentando otras causas de muerte más raras y menos frecuentes. El círculo más pequeño en este mapa es la muerte de accidentes con fuegos artificiales, un destino sufrido por una de cada 350000 personas, representado por unos pocos píxeles en la pantalla. Nuestro cerebro empieza a ignorar los riesgo que son solo éso, dificiles de ver o comprender. Pero lo importante es que aunque nuestro cerebro los ignore, siguen estando ahí, con su probabilidad intacta y por tanto, deben ser también gestionados.

Cláusulas de confidencialidad en los correos electrónicos ¿sirven para algo?

Leo en iAbogado un texto extenso de Javier Muñoz sobre la pertinencia y utilidad de esas largas cláusulas de confidencialidad que las empresas suelen incluir al pie del correo electrónico.
Este recurso, como otros muchos de los usados en seguridad de la información tiene por objetivo más aparentar que realmente proteger. Como explica extensamente Javier Muñoz, estas cláusulas suelen tener más o menos un texto como:

"Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial cuya divulgación no está permitida por la ley. [bla, bla, bla..] . En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo electrónico y proceda a su eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que [más bla bla bla]…. “

Estas severas advertencias vienen muchas veces acompañando a contenidos nada serios pero además, según Javier Muñoz son jurídicamente cómicas, por varios motivos:

• El remitente no puede establecer unilateralmente, y sin la conformidad del destinatario, condiciones que obliguen a éste a hacer o dejar de hacer tal cosa.


• Decir que “este mensaje va dirigido, de manera exclusiva, a su destinatario” es una tautología como un piano de cola. Salvo, claro está, que se demuestre la posibilidad opuesta, es decir, que se puede dirigir un mensaje a alguien que no es su destinatario.


• La mayoría de estos mensajes vierten sobre el receptor, en tono amenazante, dos exigencias contradictorias. Por un lado dicen que si no soy el destinatario, tendré prohibido copiar el mensaje, reenviarlo, hacer esto y lo otro. Y al mismo tiempo, se requiere que avise al remitente del error y elimine el mensaje. Pero ¿en qué quedamos? El remitente me dice que no puedo hacer nada con su correo, y al mismo tiempo me ordena que haga algo con él.

El texto completo puede ser consultado en Los avisos de confidencialidad en los correos, esos engendros jurídicos, por Javier Muñoz.

El efecto "Microsiervos" sobre el blog

Ya hablé en el anterior post del "efecto Axe" sufrido cuando Sergio Hernando cuando trabajaba en Hispasec nombró como referencia a esta url como parte de los links para ampliar información en relación a la continuidad de negocio.
El viernes pasado, Alvy de Microsiervos dedicó un post ha hablar del blog y los efectos han sido espectaculares.


La otra vez hubo un pico de 346 visitas en el día de la referencia, pero lo de Microsiervos pulveriza todos los records de visitas al presente blog.



Como se puede ver por las estadísticas de Google Analytics, el pasado viernes el blog recibió un pico de 1635 visitas que gracias a estar en Blogger hizo que la página no muriera de éxito. Espero que aunque las visitas no van a mantener ese ritmo al menos algunos de los nuevos visitantes consideren interesantes los contenidos y se animen a participar en el grupo de trabajo de Google.

Apuntes de Seguridad de la Información en Microsiervos

Acaba de llamarme un amigo para informarme que mi humilde blog aparece como una entrada en Microsiervos. Es un honor realmente que en general la gente considere mis comentarios interesantes y dignos de mención. Estaba ayer precisamente hablando de los milagros de la Red porque lo que uno da lo recibe multiplicado por mil. Este fenómeno que llamamos Web 2.0 en el fondo es una nueva cultura que yo llamo persona 2.0 donde la gente entiende que no vale más quien más información tiene sino quien más comparte.

Recuerdo que ya comenté en la entrada El efecto AXE del sector blogero los efectos de haber aparecido en una noticia de Hispasec, y por lo que me cuentan, el efecto Microsiervos puede ser muchísimo mayor.



Gracias a quién haya elaborado la entrada y espero que estos pequeños consejos de seguridad y de concienciación contribuyan cada vez más a construir este mundo "personas 2.0" frente a "egoistas 1.0". Quiero también aprovechar este minuto de gloria para apuntar a "www.ISO27000.es" que son también un motor muy importante en la sensibilización y concienciación de la seguridad aunque con carácter más profesional y a la gente de U-company con su espectacular PapelaWeb por ser maestros Jedi de este joven Padawan.

Digitalización Certificada y Compulsa electrónica

Leo vía "Todo es electrónico" uno de esos excelentes apuntes a los que nos tiene acostubrado Julián Inza, hoy sobre la Digitalización Certificada y Compulsa electrónica. Su blog se ha convertido en el mini-google para temas de factura electrónica y e-Administración.
El caso es que leyendo los requisitos que establece la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP) en relación a la gestión de documentos electrónicos me ha venido a la mente la sensación que queda tras impartir los cursos sobre seguridad de la información cuando hablo de la integridad. En general en estos cursos se cuentan los conceptos relacionados con la seguridad: disponibilidad, integridad, confidencialidad y siempre me choca lo poco concienciados que estamos respecto a la importancia de la integridad en el tratamiento de información digital.


En general en la legislación, este requisito aparece siempre mediante la frase:

"Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados."

Como ejemplo resultón dispongo de un acuse de recibo escaneado, dado que este tipo de documentos se utilizan en trámites administrativos en relación a las notificaciones a los ciudadanos y da pie al inicio de ciertas actividades administrativas cuando a un ciudadano se le notifica un trámite.

Por desconocimiento técnico en general nadie duda que un documento es lo que se ve en pantalla. No suelo recrearme pero con algo tan trivial como el paint.exe que viene en Windows, uno puede alterar un documento escaneado y cambiar radicalmente su contenido y significación. En el caso del acuse de recibo, basta con modificar la fecha de entrega y la causa de la no notificación para que administrativamente signifique otra cosa.

Es algo trivial, mas sencillo que manipular un fax o fotocopia y sin embargo nadie exige a un documento digital unas garantías mínimas de validez (nadie salvo la legislación que habla de medios telemáticos claro).

La prueba de integridad es un requisito mínimo para poder utilizar un documento digital. Es por ello que la Administración Electrónica dispone de registros telemáticos que firman digitalmente el contenido y sellan en tiempo la entrega. También de esta necesidad surge la regulación entorno al proceso de digitalización certificada dado que es necesario tener absolutas garantias de no manipulación (alteración del contenido, autoría, fecha de elaboración) cuando algo en soporte papel se transforma en soporte digital.


Esta problemática me la encuentro también profesionalmente cuando estoy realizando una auditoría. En la observación o inspección de configuraciones muchas veces, requiero poder disponer de una captura de pantalla para poder referenciar la evidencia de auditoría (Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables) para luego usarla como hallazgo de auditoría (resultados de la evaluación de la evidencia de auditoria recopilada frente a los criterios de auditoría).

Como auditor esta información debe ser una evidencia y por tanto, si es un registro electrónico necesito poder acreditar su integridad. Estaría muy feo que capturara una pantalla y que luego el cliente pudiera repudiar la imagen alegando que puede haber sido alterada. Para ello voy a contar cómo de manera sencilla proporcionar ciertas garantías:

• Paso 1: Se recogen las evidencias digitales todas en la misma carpeta y todo ello debe realizarlo personal de la organización auditada. Todas las capturas de pantalla se vuelcan a un fichero Word y el resto de ficheros con resultados de pruebas se guardan en la carpeta. Finalmente disponemos de un conjunto de ficheros que serán nuestras evidencias.


• Paso 2: Se genera el resumen hash de todos los ficheros contenidos en la carpeta y se vuelca a un fichero de texto. Para ello, utilizo el programa md5deep freeware descargable en Sourceforge que calcula el MD5 de un fichero. Esto se consigue ejecutando:
  

  md5deep -r * >[Fichero salida]

  
  
• Paso 3: Se genera el resumen hash del [Fichero salida] y se vuelca al fichero [fichero salida].md5. Esto se consigue ejecutando:
  

  md5deep [Fichero salida] >[Fichero salida].md5


Con esto tenemos lo siguiente:
- Fichero salida: todos los resumenes md5 de todas las evidencias.
- Fichero salida.md5: md5 del fichero de control de integridad de las evidencias.


• Paso 4: Es necesario que el cliente ahora acredite la autenticidad de las pruebas. Para ello, usamos el Word. Abrimos el contenido del [fichero salida] y lo copiamos al portapapeles. Posteriormente lo pegamos sobre el documento Word y le pedimos al cliente que firme digitalmente este documento. De esta manera, el cliente no podrá negar la autenticidad de los resumenes md5 recogidos en el [fichero salida].
  
  
• Paso 5: Finalmente todos estos documentos son grabados en un CD o DVD que se aporta como material en el informe de auditoria.
  
  Si a posteriori surge la duda sobre alguna, los documentos a consultar estarán en el CD o DVD que por la naturaleza del dispositivo no habrán podido ser alterados a posteriori. Por otro lado, todos esos documentos ahí almacenados tienen una prueba de integridad que permite demostrar su no manipulación. Si cualquiera de las evidencias digitales quiere ser contrastada, comparando la existente en los sistemas del cliente con la utilizada en el informe de auditoría, el comando md5deep nos permite hacerlo. Podemos comparar el contenido de la carpeta en el cliente con el contenido del [fichero salida] almacenado en el CD. Para ello, ejecutamos:
  -md5deep -x [Fichero salida md5] -r * (suponiendo que nos encontramos en la carpeta donde están las evidencias)

El comando md5deep implementa las funciones hash correspondientes a los algoritmos MD5, SHA-1, SHA-256, Tiger, or Whirlpool. El manual podéis consultarlo en este enlace.
Este mismo programa puede ser usado para mediante un sencillo script crear un verificador de integridad de las carpetas de un sistema de archivo. Basta con programar la ejecución diaria de md5deep -r * >[Fichero salida] y cada día, realizar la comparación del resultado md5 de una carpeta con el fichero salida del día anterior. Os animo a dejar el script en los comentarios...a ver quien lo consigue.

Goolag, herramienta de chequeo de vulnerabilidades usando Google

Schneier se hace eco del anuncio por parte del grupo de hacking "Cult of the Dead Cow (cDc)" de la herramienta de chequeo de vulnerabilidades Goolag.


cDc logró su mayor notoriedad por el famoso Back Orifice que fue clasificado por los fabricantes de antivirus como un caballo de Troya.

La idea de Goolag es sencilla, utilizar Google para hacer Google hacking.

Para ello, utiliza la potencialidad de los nuevos servicios de "custom Google". La herramienta permite a los usuarios con conocimientos fundamentales de programación, auditar sitios web o dominios de Internet, para localizar vulnerabilidades que podrían ser explotadas. Cuando se ejecuta, permite utilizar a Google para buscar vulnerabilidades en los dominios o sitios que el usuario desee. Lo hace enviando ataques simulados, de acuerdo a una base de datos de múltiples exploits. El programa de código abierto cuenta con alrededor de 1500 consultas de búsqueda de Google personalizado embebido por defecto para ejecutar búsquedas vulnerables de las aplicaciones Web, erróneas de los servidores Web con puertas traseras abiertas, sensibles nombres de usuario y contraseñas, y otros documentos expuestos accidentalmente en la Internet.

La herramienta es de código abierto, de tal modo que no es improbable que muy pronto estemos viendo usos maliciosos de la misma.

Aunque el blog de Schneier no lo recoge, Google ha tratado de poner freno a este uso/abuso del buscador que realiza el escaner de vulnerabilidades. Según recoge Laflecha.net, después de intentar corroborar algunas de ellas, la dirección IP del solicitante es bloqueada por el propio sitio de Google, con un mensaje como el que muestra la imagen.


Después de ello, tanto para continuar con cada una de las pruebas, como para realizar cualquier nueva búsqueda en Google, es necesario ingresar una clave mostrada en una imagen (o sea un "captcha").