blog

Tal vez el aspecto más importante en cualquier investigación forense es por donde iniciar. Algunas veces se tendrá suerte al contar con una pista la cual pueda ser seguida; otras veces se enfrentará con una posición difícil al abordar una tarea como; "Algo podría estar mal aquí y se desconoce que. Se necesita realizar una investigación". Esto no es ideal, pero aún es manejable si se estructura la perspectiva alrededor de algunas de las preguntas más típicas para una investigación.

Evaluación de Daños: ¿Qué se robó, cuándo fue robado, hacia adónde fue, cómo se lo llevaron, y quién lo hizo?. Esta es probablemente la familia de preguntas más comunes solicitada a cualquier profesional DFIR, a las cuales debe responder. Las víctimas tienden a estar más interesadas en (o se les exige rastreen) detalles sobre los datos robados. Aunque la atribución no suele ser la pregunta más importante, conocer quienes podrían ser los posibles ciberatacantes ayudará a comprender sus intenciones y capacidades, y por lo tanto sobre cuales datos estarían más interesados capturar

Aunque claramente es de interés conocer sobre el compromiso o eventos de robo por si mismos, frecuentemente es de mucha ayuda conocer más sobre los eventos ocurridos inmediatamente antes o después del evento. Esto puede proporcionar al profesional un contexto muy útil sobre porque otras observaciones pueden ser importantes o no, así como si existen otros sistemas en el entorno los cuales también podrían estar comprometidos.

Una de las preguntas más frecuentes es sobre como se originó un evento de malware: ¿Llegó el malware a través de una descarga automática desde una red publicitaria comprometida? ¿Se incitó al usuario abra un archivo adjunto, o hacer clic en un enlace de una campaña de phishing o spear phishing?. La perspectiva de red puede frecuentemente proporcionar respuestas claras sobre como se inició el evento, lo cual puede caracterizar la intención y las capacidades de un ciberatacante.

Por último puede ser excesivamente útil comprender lo cual estaba sucediendo a través del entorno de la víctima al momento del evento sospechoso o malicioso. Este es un excelente método para detectar actividad maliciosa en un proceso conocido como definición alcance. Es raro una sola observación represente todo el alcance sobre una actividad maliciosa, por lo tanto observar cuales otros sistemas exhiben comportamientos conocidos o comportamientos los cuales se creen asociados con un evento de interés, puede proporciona una excelente ventana hacia cuan extenso puede ser un compromiso.

Fuentes:

https://ec.europa.eu/programmes/erasmus-plus/project-result-content/696…
 

OSINT por si mismo no es ni bueno ni malo; simplemente es. Lo cual el profesional realice con los datos puede ser luego descrita como algo bueno o malicioso. Las personas utilizan OSINT de diversas maneras, con propósito de ayudar y por muy buenas razones éticas.

Ciberataque: El reconocimiento es el sello distintivo de un excelente ciberataque. Realizar OSINT sobre objetivos y víctimas potenciales puede ayudar a los ciberatacantes ganen acceso hacia cuentas en línea, conocer patrones de las víctimas, y recolectar información importante para su uso posterior en futuros ataques de phishing, vishing, pretexting, y robo de identidad. Los ciberatacantes pueden encontrar información en internet sobre cuales sistemas de cómputo utilizan los objetivos, cuantos existen, como están configurados, y sus posibles debilidades.

Robo: Las funcionalidades de actividad en línea como publicación y geolocalización permiten a los ciberatacantes conocer donde están las víctimas y donde no. Existen ataques documentados contra la propiedad de usuarios utilizando software para rastreo de actividad.

Extorsión: Utilizando la información recolectada en línea, los ciberatacantes pueden descubrir información sensible, información privada sobre las víctimas, e intentar utilizarla para influir en las victimas.

Asalto/Secuestro: Con la vasta cantidad de datos de registro para geolocalización publicados por los usuarios en internet, los ciberatacantes pueden encontrar patrones en sus comportamientos, y utilizar estas observaciones para reunirse con sus víctimas para herirlas o secuestrarlas.

Crimen organizado: Encontrar objetivos quienes puedan aceptar sobornos o ser fácilmente coaccionados, es solo una de las razones por la cual las organizaciones criminales podrían utilizar OSINT.

Terrorismo: Desde la detección de patrones de tráfico e imágenes digitales sobre una localización física, hasta la comprensión de cuando ocurrirán ciertos eventos y las oportunidades para reclutamiento, los terroristas utilizan la OSINT para alcanzar sus metas.

Acoso, hostigamiento, intimidación y delitos contra la propiedad. Se tienen diversos métodos para rastrear las actividades de las personas, y algunas veces descubrir información privada sobre ellas. Los acosadores y quienes desean dañar a otros pueden aprovechar esta misma información para encontrar vulnerabilidades en sus víctimas y explotarlas.

Fuentes:

https://digistream.com/stories/osint-for-evil
https://www.bellingcat.com/resources/2024/04/25/oshit-seven-deadly-sins…
 

Las agencias de inteligencia a nivel mundial recopilan diariamente enormes cantidades de OSINT. Recolectan, procesan, analizan, y reportan sobre ocurrencias OSINT de varios objetivos, desde personas y empresas hasta adversarios y aliados. Desde los atentados terroristas del once de septiembre de año 2001 en Estados Unidos, se ha puesto un mayor enfoque en las agencias de inteligencia y en aquello lo cual cual pueden y no pueden recolectar, de donde la recolectan, y quien utiliza esta información. Parte del OSINT recolectado es utilizado para:

• Encontrar terroristas y definir sus redes. Así como las fuerzas del orden utilizan OSINT para mapear las afiliaciones criminales, las organizaciones de inteligencia hacen lo mismo con grupos terroristas y extremistas, rastreando sus actividades y movimientos a través de internet.
• Cuando ocurre un ciberataque o un ataque real, las agencias de inteligencia buscan comprender que persona o grupo lo realizó. OSINT puede ser útil en esta búsqueda.
• Los gobiernos requieren conocer donde se encuentran las fuerzas militares adversarias, donde han estado, y hacia donde podrían dirigirse a continuación. Las fotografías aéreas y las publicaciones de las tropas en redes sociales divulgan estos datos. La vigilancia de estos grupos a largo plazo también puede ser una meta.
• Las agencias de inteligencia algunas veces se encargan de localizar objetivos para ataques, ya sean cibernéticos, de reclutamiento humano, o ataques físicos. El análisis de datos de fuente abierta proporciona información de apoyo para este trabajo.
• La recolección de investigaciones técnicas y científicas sobre empresas o gobiernos puede ser el enfoque de actividades OSINT.

Fuentes:

https://www.dia.mil/About/Open-Source-Intelligence/
https://www.osint.uk/content/how-uk-government-agencies-use-osint
 

Las personas en el mundo mundo empresarial aprovechan OSINT también para sus propios propósitos. Este proceso de recopilación OSINT es usualmente más formalizado comparado con una persona quien solo busca información utilizando Google sobre su pareja. Algunos conductores y escenarios comunes donde una empresa puede buscar datos OSINT son:

• Para encontrar inteligencia competitiva sobre sus rivales. Descubrir sobre cuales nuevos productos un competidor está trabajando, a quien está contratando y en cual puesto, y cuales precios cobra a sus clientes, puede ayudar a una organización rival a adelantarse a su competencia.
• Realizar búsquedas sobre candidatos de trabajo durante el proceso de contratación, puede resaltar tópicos los cuales pueden ser un conflicto de interés o requerir más clarificación.
• Examinar aquello lo cual los empleados actuales hacen en sus vidas “fuera del trabajo”, puede revelar patrones sospechosos de comportamiento, afiliaciones peligrosas, e instancias en las cuales una empresa podría tener un infiltrado malicioso.
• Algunas compañías pueden utilizar OSINT y SOCMINT para encontrar empleados quienes deberían estar en el sitio de un cliente, oficina remota, o de viaje, pero nunca llegaron a su destino.
• Durante las fusiones y adquisiciones, se puede investigar a los líderes de una compañía la cual se pretende adquirir. Los resultados de estas búsquedas podrían revelar tratos indebidos, asuntos judiciales, y otros tópicos preocupantes.
• Cuando una compañía conduce una investigación de fraude, los analistas OSINT puede ser llamados para proporcionar SOCMINT, y otra inteligencia para descubrir aquello lo cual está sucediendo realmente.
• Muchas de las investigaciones corporativas OSINT las cuales son conducidas, se realizan para apoyar a departamentos legales o entidades externas.
• Los reclutadores y fuentes intentando ocupar posiciones abiertas, utilizan medios sociales y consultas avanzadas a motores de búsqueda para encontrar sus objetivos.
• Los ciberdefensores utilizan OSINT para detectar atacantes, comprender sus motivos, y examinar sistemas y malware.

Fuentes:

https://www.forbes.com/councils/forbesbusinesscouncil/2024/10/02/how-bu…
 

La autenticación básica fue una de las primeras formas de autenticación en la web. Fue definida en el RFC 2617, y tienen un diverso número de problemas. El primero y principal son transmitidos sobre la red utilizando codificación en Base64, lo cual es trivial de revertir. Por pereza o ingenio, muchas herramientas y sitos revierten la codificación con un clic.

A continuación se delinea el proceso de autenticación HTTP Básica:

El cliente solicita una página

El servidor devuelve un código estado 401, lo cual indica el cliente necesita autenticarse.

El cliente envía la petición nuevamente para la página, pero estas vez incluye la información de autenticación ingresada por el usuario. El nombre de usuario y contraseña están codificados utilizando Base64 (No encriptados).

Entre las perspectivas del atacante para la autenticación HTTP Básica:

• La autenticación básica no tiene concepto para el bloqueo de cuentas ni número máximo para intentos de login
• La autenticación se realiza en texto plano, fácilmente factible de ser interceptado y factible de ser interpretado si no se pasa mediante HTTPS
• Puede ser fácilmente retransmitida
• Suplantar el sitio web para engañar a los navegadores a proporcionar credenciales de autenticación
• No se puede hacer logout sin cerrar el navegador

Fuentes:

https://datatracker.ietf.org/doc/html/rfc2617
 

Navegar directorios es una falla común de fuga de información. Permite a un ciberatacante “fugarse” del servidor web, y navegar el sistema de archivos subyacente.

Existen diversas búsquedas utilizando Google (Google Dorks) factibles de ser utilizadas para descubrir fallas sobre fuga de información. Por ejemplo la búsqueda.

site:gob.pe intitle:"index.of" "last modified"

Se sugiere revisar la Google Hacking Database para encontrar más información.

También se sugiere ser muy cuidadoso al realizar este tipo de búsquedas, pues Google podría “bloquear” las peticiones detectándolas como maliciosas. En este caso Google presentará un CAPTCHA, el cual está diseñado para determinar si se es un ser humano o un bot/script

Es posible visualizar un listado de los contenidos de un directorio. El listar directorios puede revelar scripts ocultos, archivos de inclusión, archivos de código fuente, etc. Lo cual puede ser accedido para revelar información sensible.

En este caso en particular se ha encontrado un servidor probablemente accedido de manera no autorizada.

Fuentes:

https://cwe.mitre.org/data/definitions/548.html
https://www.exploit-db.com/google-hacking-database
 

Las fallas de fuga de información son bastante comunes y ayudan a limitar el enfoque de las etapas posteriores de ataque, incluidas el adivinar nombres de usuario y la inyección SQL. Ya sea la información sobre la versión del sistema operativo cuanto la del servicio forman parte del análisis de vulnerabilidades, y sirven como entradas en la fase de explotación.

phpinfo

Genera una gran cantidad de información sobre el estado actual de PHP. Esto incluye información sobre las opciones de compilación y extensiones de PHP, la versión de PHP, información del servidor y el entorno (si se compila como un módulo), el entorno PHP, información de la versión del sistema operativo, rutas, valores maestros y locales sobre las opciones de configuración, encabezados HTTP y la licencia de PHP.

Debido a que cada sistema está configurado de manera diferente, phpinfo() es comúnmente utilizado para verificar los ajustes de configuración, y las variables predefinidas disponibles en un sistema determinado.

phpinfo() también es una valiosa herramienta para depuración, pues contiene todos los datos EGPCS (Entorno, GET, POST, Cookie, Servidor).

Versión completa del Kernel de Linux

Directorio y archivo de configuración de PHP, además de su estructura de directorios subyacente

Directorio raíz

Uso de MySQL y versión MySQL

Fuentes:

https://www.php.net/manual/en/function.phpinfo.php
 

Fuzzing es una técnica la cual consiste en enviar una gran cantidad de datos hacia un objetivo (Frecuentemente en forma de entradas no válidas o inesperadas).

ZAP permite hacer fuzz sobre cualquier solicitud utilizando:

• Un conjunto integrado de Payloads (cargas útiles)
• Payloads definidas por complementos por add-ons (complementos adicionales)
• Scripts (Guiones) personalizados

Para acceder al cuadro de diálogo Fuzzer, se puede ya sea:

• Hacer clic con el botón derecho en una petición ubicada en una de las pestañas de ZAP (como History o Sites), para luego seleccionar “Attack / Fuzz…”
• Resaltar una cadena en la pestaña Petición, hacer clic con el botón derecho y seleccionar “Fuzz…”
• Seleccionar el elemento de menú “Tools / Fuzz…” para luego seleccionar la petición sobre la cual se requiere hacer fuzz

Generadores de Payloads

Los generadores de payloads generan valores en bruto o ataques los cuales el fuzzer envía hacia la aplicación de destino.

Se administran a través del cuadro de diálogo Payloads.

Procesadores de Payloads

Los procesadores de Payloads pueden ser utilizados para cambiar Payloads específicas antes de ser enviadas.

Se administran a través del cuadro de diálogo Procesadores de carga útil.

Procesadores de ubicación para Fuzz

Los procesadores de ubicación para Fuzz pueden ser utilizados para cambiar todas los Payloads antes de ser enviados.

Se administran a través del cuadro de diálogo Procesadores de ubicación.

Procesadores de mensajes

Los procesadores de mensajes pueden acceder y cambiar los mensajes siendo utilizados para fuzz, controlar el proceso de fuzz, e interactuar con la interfaz de usuario de ZAP.

Se administran mediante la pestaña "Procesadores de mensajes" del cuadro de diálogo Fuzzer.

Algunas de estas funciones se basan en el código del proyecto OWASP JbroFuzz, e incluyen archivos del proyecto fuzzdb.

Anotar han omitido algunos archivos fuzzdb pues causa los escáneres antivirus comunes los marquen como contenedores de virus.

Pueden ser reemplazados (y actualizar fuzzdb) descargando la última versión de fuzzdb y expandiéndola en la librería "fuzzers".

Fuentes:

https://www.zaproxy.org/docs/desktop/addons/fuzzer/dialogue/
https://www.zaproxy.org/docs/desktop/addons/fuzzer/payloads/
https://www.zaproxy.org/docs/desktop/addons/fuzzer/processors/
https://www.zaproxy.org/docs/desktop/addons/fuzzer/locations/
https://www.zaproxy.org/docs/desktop/addons/fuzzer/options/

Conforme las aplicaciones web evolucionan, algunos desarrolladores dejan funcionalidades deshabilitadas. Estas frecuentemente revelan secciones previas o futuras de un sitio. Consecuentemente estas necesitan ser evaluadas y reportadas.

Aunque oficialmente están “deshabilitadas” algunas veces tales funcionalidades puede ser invocadas. Estas pueden contener debilidades significativas en seguridad, pues frecuentemente obtienen menos atención comparado con otros componentes de un sitio o aplicación.

Incluso aunque estén “deshabilitadas” tales funcionalidades podrían conducir a socavar la aplicación por completo.

Tipos de Funcionalidad Deshabilitada

Es común encontrar enlaces comentados para no aparezcan en la página o el menú. Un ciberatacante se concentra en estos porque la mayoría de las veces proporcionan enlaces hacia cosas las cuales el propietario de la aplicación no desea sean vistas.

Las páginas ocultas más antiguas contienen funcionalidad no actualizada. Debido a la parte más importante de la sesión, la autenticación y la autorización es la consistencia, encontrar páginas antiguas las cuales pueden no ser tan seguras puede permitir  un abuso de la aplicación.

Las páginas ocultas más nuevas son comúnmente encontradas antes de un sitio sea actualizado. Los desarrolladores comenzarán a subir código en preparación, y al encontrar estas páginas, se tiene la posibilidad de encontrar código el cual no está completo o aún se está siendo probando. Es común la versión de prueba de las páginas muestre información para resolución de problemas, incluidas las consultas utilizadas. Se puede utilizar esta información para lanzar ataques.

Las páginas privilegiadas son partes del sitio a las cuales no se está autorizado de acceder. Algunas aplicaciones verifican el nivel de autorización del usuario y luego muestran un menú. Si se visualiza la fuente, algunas veces se puede ver enlaces hacia páginas administrativas, las cuales están comentadas porque el usuario no tiene acceso. Al navegar por las páginas, se puede encontrar las páginas no verifican el nivel de autorización.

El código comentado generalmente se divide en dos categorías:

• El primer tipo es el código reemplazado por código para el lado del servidor. Siendo capaz de visualizar la versión para lado del cliente, el ciberatacante puede identificar debilidades en el código.
• El segundo tipo es el código no utilizado. Este código puede apuntar hacia funciones o áreas del sitio no utilizados. Estas secciones del sitio pueden ser una debilidad factible de explotar.

Estas funciones son interesantes por un par de razones. Primero, pueden mostrar una debilidad la cual no era antes obvia. En segundo lugar, algunas funciones para el lado del cliente se trasladan hacia el lado del servidor, y luego quedan sin efecto en el código del cliente. Esto puede proporcionar una idea sobre como funciona el código para el lado del servidor.

Fuentes:

https://www.lawinsider.com/dictionary/disabled-functionality
 

BrowserLeaks es un conjunto de herramientas ofreciendo una diversidad de pruebas para evaluar la seguridad y privacidad de un navegador web. Estas pruebas se centran en identificar maneras en las cuales los sitios web pueden filtrar la dirección IP real, recopilar información sobre el dispositivo, y realizar una identificación del navegador.

Comprendiendo estos riesgos, se pueden tomar medidas adecuadas para proteger la privacidad en línea, y minimizar la exposición ante posibles amenazas.

Entre las pruebas realizadas se enumeran; Dirección IP, JavaScript, Prueba de exposición WebRTC, Huella de Canvas, Reporte WebGL, Huella de Fuente, API para Geolocalización, Detección de Características, Pruebas del Cliente SSL/TLS, y Filtro de Contenidos.

Como ejemplo, la siguiente imagen expone la información obtenida en base a la dirección IP.

Esta sección también presenta información sobre geolocalización.

Este sitio web no recolecta datos personales, no almacena huellas de usuarios, ni define cookies no esenciales. Es posible se realicen peticiones mínimas hacia terceros al utilizar determinadas API, siendo posible los servicios de terceros, como los de análisis estén activos temporalmente. Se puede controlar todo en la página Configuración del sitio.

Fuentes:

https://browserleaks.com/