El día Jueves 23 de Noviembre del 2016 estaré impartiendo un taller en la ciudad de Lima, Perú sobre "Forense Digital Ofensivo", el cual se dictará desde las 8:30am hasta las 12:30pm con una duración total de cuatro horas, en las instalaciones de la Universidad Inca Garcilaso de la Vega. Esto con motivo de realizarse PERUHACK2016NOT.

Muchas organizaciones tienen desplegadas infraestructuras LAN inalámbricas, debido al hecho de ser un medio flexible para ofrecer a sus empleados acceso hacia la red. Sin embargo, muchas LAN inalámbricas han sido desplegadas sin cuidado, sin los mecanismos adecuados de seguridad para prevenir los atacantes obtengan tráfico sensible o irrumpan sobre la red mediante lo inalámbrico.

creddump es una herramienta desarrollada en python para extraer diversas credenciales y secretos desde los archivos colmena “hives” del registro de Windows. Actualmente extrae; Hashes LM y NT (Protegidos con SYSKEY), contraseñas en “cache” del dominio y secretos LSA (Local Security Authority).

Esencialmente realiza todas las funciones hechas por bkhive/samump2, cachedump y lsadump2, pero de una manera independiente de la plataforma.

iSMTP es una herramienta para realizar la enumeración de usuarios mediante los comandos "RCPT TO" y "VRFY". Además permite evaluar “spoofing” interno y retransmisores SMTP abiertos (open relays).

Un retransmisor (relay) abierto de correo electrónico es un servidor SMTP configurado de tal manera permite a cualquiera sobre Internet enviar un mensaje de correo electrónico a través de si mismo, y no sólo correo electrónico destinado para u originándose desde usuarios conocidos. Estos servidores se volvieron impopulares debido a su explotación por spammers y gusanos.

Similar a una inyección SQL, un ataque de inyección XPath ocurre cuando un sitio web utiliza información proporcionada por el usuario para construir una consulta XPath por datos XML. Enviando información intencionalmente deformada hacia el sitio web, un atacante puede encontrar como se estructuran los datos XML, o acceder hacia datos los cuales normalmente no debería acceder. El atacante puede incluso ser capaz de elevar sus privilegios en el sitio web, si los datos XML están siendo utilizados para la autenticación (como un archivo de usuario basado en XML).

El realizar un análisis forense sobre una imagen montada permite verificar todos los archivos y directorios; es decir permite realizar una visualización lógica. Pero, ¿Y el espacio no asignado y el espacio de holgura o residual?; es decir la visualización física. Por esta razón se procede a analizar la imagen forense por si misma, pues la copia bit a bit contiene los datos en las áreas no asignadas del disco.

Para visualizar archivos de texto y archivos de datos durante un análisis forense utilizando Linux, se podría utilizar los comandos “cat”, “more”, o “less”. El comando “cat” concatena archivos y los imprime sobre la salida estándar. El comando “more” es un filtro para la paginación a través de texto sobre la pantalla; es un comando primitivo y se sugiere utilizar el comando “less”. El comando “less” es un programa similar a “more”, pero permite movimiento hacia atrás y hacia adelante sobre el archivo.

Cuando se está buscando por algún tipo de archivo en particular durante un análisis forenses, existe la probabilidad del nombre del archivo haya sido cambiado o la extensión sea errónea. Para tratar de solucionar esto es factible utilizar el comando “file”. El comando “file” evalúa cada uno de los argumentos definido para intentar clasificarlos. Se realizan tres conjuntos de pruebas; pruebas del sistema de archivos, pruebas “mágicas” y pruebas de lenguaje. La primera prueba exitosa causará la impresión del tipo de archivo.

Durante un proceso de análisis forenses se tendrá el requerimiento de listar todos los archivos, sus propietarios y permisos sobre el sistema de archivos bajo análisis. El comando “ls” es muy importante para realizar este procedimiento. En la página del manual del comando “ls” se puede encontrar información detallada para conocer sus diversos usos y opciones.

Para la siguiente demostración se utilizará una imagen forense obtenida desde un disco flexible previamente montada.

Durante un proceso de análisis forense, se requiere frecuentemente obtener los hashes correspondientes a cada uno de los archivos residentes en un disco o dispositivo de almacenamiento. Para este propósito es factible utilizar el comando “find”, y una opción la cual permita ejecutar un comando sobre cada archivo encontrado. De esta manera será factible obtener una lista muy útil de los hashes para cada archivo.

Para el siguiente ejemplo se utiliza la imagen forense capturada desde un disco flexible.