Mi conferencia en Campus Party!

Pues ya finalmente la publicaron hace un par de días, pero hasta ahora me dió tiempo de subirla a mi blog:

http://www.youtube.com/v/rgD46Hz4hBY&hl=en_US&fs=1&

Espero les guste y espero sus comentarios al respecto!

Mi experiencia en Campus Party México

Tengo que ser sincero, llegué a México el viernes en la noche de unas merecidas vacaciones sin haber terminado mi presentación para CampusParty. Sin embargo, me dió mucha curiosidad darme una vuelta para entender cómo funcionaba y la mecánica de las conferencias.

Estando ahí, pude ver algunas conferencias y a algunos amigos que hacía tiempo no veía. Uno de ellos Pablo Berruecos , de FREAK (Cadena 3 – Sábados a las 4 PM), quien me entrevistó para su programa. –La verdad me habia pedido una entrevista desde hace como 3 meses, pero ahora si, vamos a empezar a hacer cosas de manera más periódica –

Fue hasta el domingo en la mañana cuando me senté a hacer y terminar mi presentación no sin antes pasar al Starbucks…

La conferencia estuvo increíble, nunca pensé que llegara tanta gente, reímos, nos asombramos y la pasamos super bien.

Quiero agradecer a todos los asistentes, lamento que muchos estuvieran parados toda la conferencia!! Y también agradecer a todos los que se acercaron después y quienes twittearon acerca de ella!

Después de la conferencia, di varias entrevistas para Televisa, Canal 22, Cablevision, etc. -Espero poder conseguirlas para compartirlas!-

Porfavor a todos los que asistieron, ayúdenme a pasar la voz, creo que todos podemos poner un granito de arena para mejorar la situación y para generar conciencia!

Entonces, ¿qué opino de CampusParty? Pues que son estos eventos clave para darnos cuenta de que en México hay capacidad, de que tenemos mucho potencial pero que muchas veces por conformistas, ignorantes o con falta de visión no lo explotamos. Personalmente viajo mucho a eventos y la verdad en este me quedé sorprendido de la facilidad en que se pudo reunir a miles de talentos, y la mayoría mexicanos.

He recibido muchos twitts y comentarios que para mayor facilidad respondo por medio de este blog:

URL’s de las que hablé en la conferencia:
– PIPL (Búsqueda de Personas)
– Lococitato (Correlaciona amigos en MySpace)
– TinyEye (Comparación de imágenes en Internet)

¿Qué necesito saber para iniciar como un Examinador Forense Digital?
Obviamente que requieres de mucho ingenio, ganas de aprender y de vivir un reto diario. Sin embargo, en el tema de conocimientos, es importante saber muy bien redes, sistemas de archivos y sistemas operativos. Para poder presentar una pericial ante la autoridad es necesario que tengas cédula profesional, por lo tanto, a titularse lo antes posible!

¿Dónde puedo estudiar Computación Forense?
Lamentablemente en México no hay mucho para donde ir. Existen carreras en Estados Unidos y Europa dedicadas a las Investigaciones Digitales. Yo soy profesor de la Universidad de Tecnologías Avanzantes de Phoenix (UAT) donde imparto algunas materias dentro de la carrera de Ingeniería con especialización en Seguridad de la Información. Dentro de MaTTica, puedes encontrar algunos cursos de certificación que pueden ser interesantes. (Vamos a poner los cursos de 2010 en diciembre)

¿Dónde puedo encontrar el PPT de tu conferencia?
Estoy viendo si la gente de CampusParty va a poner mi conferencia en algún lugar o dónde poner mi PPT. Dénme un poco de tiempo y les avisaré por medio de este blog.

¿Cómo te puedo contactar?
Puedes contactarme por mi twitter o al mail: a…@m…a.com

¿Cómo le puedo hacer para que vengas a dar una conferencia a mi escuela/empresa?
Puedes contactarnos enviando un email a:r…@m…a.com donde te solicitarán cierta información para ver si puedo acudir. Mi agenda es muy apretada, por lo es importante que nos avises con tiempo. -Este mail yo no lo veo, lo ve mi gente de relaciones públicas-

Si tienes alguna pregunta que no haya sido contestada aquí, envíamelo por comentario aquí en mi blog! También espero sus comentarios de la conferencia aquellos que fueron!

Quiero agradecer públicamente a Paola Villareal por la invitación a participar en este evento tan interesante y a Luis Daniel Beltrán por la foto que esta en este post!

Ahora si, a dormir un poco!

#InternetNecesario – Y lo que falta…

Voy llegando de un viaje a Colombia, lugar desde donde me percaté que los diputados del gobierno mexicano habían aprobado el 3% de impuesto al uso de Internet.

Me enteré por Twitter…

Y no sólo me enteré por ese medio, sino que también compartí comentarios a #InternetNecesario e incluso pude ver por streaming (aunque tuve que cancelar una reunión) cómo los Twitteros eran recibidos por los Senadores.

Me dió mucho gusto ver a personajes que hace mucho no veo, ni hablo (sólo por Twitter) como Alejandro Pisanty, Paola Villarreal, etc.

Hubo momentos en que realmente lamenté no haber podido ir a dicha reunión. No sólo el Internet es mi día a día; el poder realizar estudios, el poder hablar e intercambiar comentarios con los pocos especialistas que comparten la disciplina que desarrollo; sino también me quedé pensando «¿Cuántas cosas he hecho por que México tenga especialistas, conocedores o incluso sólo personas que entiendan que el Internet tiene que ser regulado y en él se cometen delitos como en la vida real?»

Dentro de ese momento de reflexión, llegué a re-encontrarme con una brecha digital tan grande -ahora explotada por los Diputados y Senadores-, en donde diario una persona se aprovecha de otra simplemente porque conoce más de sistemas y que al denunciar el proceso se estanca por el desconocimiento de la autoridad.

En la reunión muchas veces se habló de la necesidad primaria que es el Internet para muchas personas – completamente de acuerdo – y de la aprobación de una ley de privacidad para los usuarios de Internet.

Pero desde mi punto de vista, si no existe una ley o código de procedimientos que explique tanto el proceso de investigación como de aceptación de la prueba digital; las demás leyes no podrán ser aplicadas.

Es tan sencillo, como el que una persona se le robe su tarjeta de crédito por medio de un phishing (situación que es muy común actualmente) para que no tengamos manera de probarlo, que los proveedores no guarden la información y no exista un procedimiento de resguardo con integridad y que al final de la cadena, el Ministerio Público no pueda entender lo que tiene que solicitar.

Hace unas semanas tuve la oportunidad de ir a un evento *********** (CONFIDENCIAL), donde tuve la oportunidad de instalar, configurar y probar una BotNet para robar contraseñas y obtener información confidencial.

Realmente me preocupé de lo fácil que puede ser. Por otro lado, puede llegar a ver que también existe la posibilidad de investigarlo y llegar a ellos; sin embargo, como está la situación actual, donde se piensa que el Internet es un lujo y que probablemente nuestros Diputados y Senadores (de toda Latino América) probablemente nunca han usado, estamos en el hoyo.

Parecería que estoy enojado y es una consigna… creo que no es así, me he tomado un tiempo para pensar todo esto y es el resultado de dicha búsqueda.

Sólo me queda seguir dando clases gratuitas a Ministerios Públicos, Policías, etc.; seguiré explicándole al Juez mi dictamen pericial, aunque él quiera que le solucione su problema de que no puede escuchar MP3 en su computadora y desde atrás de un teclado e Internet, no dejaré de pensar cómo hacer de Latino América una región fuera de la impunidad de la ley en Internet.

Y tú, ¿qué haces para que esto cambie?

P.D. Además de contestar la pregunta anterior, quisiera que me dejaran sus comentarios con temas que les gustaría que cubriera. He andado con mil cosas en la cabeza y a veces no puedo aterrizar tantas cosas. Espero que puedas ayudarme con temas!

El mundo desconocido de las contraseñas de Hotmail, Gmail y Facebook…

El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.

Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.

Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo

Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.

Expliquemos un poco más a detalle.

Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)

Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.

Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)

Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?

1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?

La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.

2. Que la autoridad lo persiga!

Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.

Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.

Pero bueno…..

La realidad y para terminar, aquí están los tips:

TIPS de Contraseñas

– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.

«Las contraseñas deberían ser como la ropa interior: No se dejan tiradas en cualquier lado, no se prestan ni a los mejores amigos y se cambian regularmente»

La Vida de un Examinador Forense Digital es recompensada…

La Vida de un Examinador Forense Digital es recompensada cuando en el trabajo puedes recuperar datos eliminados para probar que los inocentes son inocentes y que los culpables son culpables…

La Vida de un Examinador Forense Digital es recompensada cuando te llama alguien para agradecerte por tu trabajo ya que sus ahorros fueron recuperados después de dos años…

La Vida de un Examinador Forense Digital es recompensada cuando al presentar pruebas, una madre obtiene la custodia de sus hijos debido a la evidencia de maltrato en una computadora…

La Vida de un Examinador Forense Digital es recompensada cuando puedes dormir porque lograste calmar un cliente y decirle: «No se preocupe, todo estará bien…»

La Vida de un Examinador Forense Digital es recompensada cuando un Ministerio Público te agradece el tiempo que pasaste con él, explicándole desde qué es un mega byte hasta cómo se guarda información en una memoria de USB.

La Vida de un Examinador Forense Digital es recompensada cuando te das cuenta que las computadoras no son más que tú…

La Vida de un Examinador Forense Digital SIEMPRE es recompensada porque como Examinador Forense Digital aprecias el poder ayudar y generar conciencia de lo que sucede con la tecnología, explicarle a los niños de los peligros en Internet, y a la sociedad de lo que se avecina…

Bloqueando la estación de trabajo

Hace unos meses, alguien me comentó de una aplicación para poder bloquear tu laptop cuando llegaras con algún dispositivo de Bluetooth. Después de hacer varias búsquedas en Google, pude llegar a esta página:

PHOENIX FREEZE

Lo interesante es que puede hacer uso de cualquier dispositivo, ya que el software corre directamente en la laptop o PC.

El punto importante a delimitar, es que creo que se basa en la MAC address del dispositivo para poder desactivar y activar el software. Y si hacemos un Mac Spoofing?

Bloqueando los USB’s para adquisiciones

Una pregunta muy común con respecto al proceso de adquisición de evidencia, a veces llamado generación de imágenes forenses, es cómo se puede hacer con bajo presupuesto.

Si bien muchas veces recomiendo el uso de un protector contra escritura como los Firefly y UltraBlocks de Tableau, FastBlock de EnCase, LockDown de Paraben, etc.; muchas veces es costoso el tener este tipo de herramientas.

Obviamente uno de las razones más importantes que me impulsan a siempre recomendar un protector contra escritura o writeblocker, es el hecho de que es un elemento externo a la estación forense y que en muchas ocasiones es posible tomar una fotografía para mostrarle a las personas y explicar el proceso que sucede en esa pequeña caja negra.

Con el paso del tiempo, también estamos viendo el incremento en la existencia de duplicadores de discos, que permiten generar imágenes forenses de disco a disco, así como de disco a imagen sin la necesidad de una estación forense como el Talon o Dossier de Logicube, el TD1 de Tableau, etc.

Pero si no tengo el presupuesto para realizarlo, otra opción es el uso de un sistema en Linux (o incluso booteable) que me permita montar los discos en sólo escritura para poder generar la imagen forense. Personalmente este caso lo considero a veces peligroso, ya que si no se tiene el cuidado y experiencia, uno puede perder el control y empezar a modificar el disco evidencia con el disco destino. Adicionalmente que uno debe conocer perfectamente los comandos que serán ejecutados en ese momento.

Para aquellos que no sean linuxeros y que la cartera no les permita obtener un duplicador o un protector contra escritura, mi recomendación es un truco de modificar el registro de Windows para convertir los USB’s a sólo escritura.

Cabe mencionar que si uno tiene 4 puertos USB, todos los puertos se convertirán de sólo lectura, por lo que es necesario tener suficiente disco duro local para generar la imagen forense. 

Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
«WriteProtect»=dword:00000001

Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.

Mi recomendación es hacer uno de FTK Imager de AccessData, que es una herramienta completamente gratuita y que se puede descargar de la misma página de AccessData para poder generar la imagen forense.

Ahora, si no sabes cómo modificar el registro de Windows, no deberías estar haciendo forense. Pero si eres un poco flojo, aquí hay una aplicación que te permite habilitar y deshabilitar los puertos con sólo apretar un botón.

http://www.netwrix.com/usb_blocker_freeware.html

No me da mi Navidá? (HELIX pidiendo donaciones)

Hace un par de semanas recibí en mi correo un anuncio del nuevo CEO de e-fense solicitando donaciones para que se mantenga libre la herramienta forense HELIX.

Creo que no había hablado antes de esta herramienta, y la verdad cuando empecé a escribir esta entrada, pensaba en ligar el hecho de la donación con las fechas navideñas.

Pero he decidido darle una vuelta y realmente hablar de la excelente herramienta que podríamos usar en caso de requerir una del tipo «respuesta a incidentes» para equipos encendidos y apagados.

HELIX no es otra cosa que una distribución booteable de linux, como muchas que hemos visto, sin embargo, tiene una línea de acción hacia el cómputo forense, la respuesta a incidentes y el e-discovery.

Fue hasta hace un par de años que pude experimentar al 100% las ventajas de dicha herramienta, no bastó un sólo día para ver todas las funcionalidades que brinda esta herramienta; sino que pasé cerca de una semana averiguando y probando cada una de las herramientas que estaban dentro de el CD.

Una de las cosas que más me llamaron la atención, fue que no sólo maneja una herramienta para hacer cada cosa, nos dá varias opciones para poder desde generar una imagen forense del disco o de la memoria de la computadora, hasta recuperar archivos según sus cabeceras.

No me queda mas que donar a la causa y dar un par de dólares para que esta herramienta siga siendo gratuita. La herramienta me ha dado no sólo la posibilidad de hacer cómputo forense, sino de aprender de ellas.

Crónica de una Laptop Secuestrada

Hace casi un mes tuve que viajar a Estados Unidos a una conferencia. Normalmente, como siempre lo he comentado en conferencias y en eventos, recomiendo colocar nuestros documentos personales, así como de la laptop en la caja de seguridad.

No haré de este post una historia de cómo secuestraron una laptop, sino al contrario, cómo se desarrolló el encuentro.

Obviamente mis computadoras portátiles tienen miles de mecanismos de seguridad. Algunos que por lo mismo -seguridad- no nombraré. Pero uno de ellos si: LoJack.

Así es, igual que el LoJack de automóviles, existe el LoJack para computadoras. Cabe mencionar que conozco a varias personas de dicha empresa Canadiense (excelentes amigos por cierto), los cuales me regalaron una subscripción para probar dicho software un año antes de precisamente la conferencia a la cual estaba asistiendo.

Este software, permite aunque la computadora se haya formateado, el poder identificar la dirección IP de donde se está conectando.

Para poder recuperarla, es necesario iniciar una denuncia ante la policía para poder obtener la información de la IP y realizar la recuperación.

Miles de cosas sucedieron entre el momento en que mi laptop dejó de estar junto a mi. Otra laptop me ayudó a trabajar algunos días -gracias a mis respaldos-, una nueva llegó a mis manos en menos de 2 semanas, mientras la secuestrada no mostraba signos de vida. 

Vale la pena mencionar que un servidor, tuvo que ir a levantar su denuncia ante el Departamento de Policía, donde tomaron mi declaración y no hubo que decir: «Mi oficial, mi comandante, señor autoridad» o cosa por el estilo. En cuestión de minutos ya habían tomado mis datos y ya estaban asignando un detective a mi caso.

Al hablar con la gente de LoJack, los comentarios eran los mismos: Con todos los mecanismos de seguridad que tienes, lo más probable es que alguien haya tratado de entrar y al no poder, la destruyó.

Aún con esta información yo seguía firme a que podría encontrarla, por lo que hablé varias veces al hotel.

No fue hasta la semana pasada que supe que el Hotel había encontrado mi computadora, recibí una carta y llamé. El viernes la recibí en el viaje que realicé a Miami. está intacta…. sin batería, pero intacta…

Ahora tengo 2 computadoras por un rato, en lo que paso toda la información a una de ellas…..pero siempre hay una moraleja….. no deje su computadora donde los amigos de lo ajeno puedan tomarla.

En mi caso, la pude recuperar… en otros casos: cuando va a un lugar con Valet Parking y deja la computadora…. no sólo existe que roben su computadora por el valor físico de la misma…. y si le «sacan un clon» de su información mientras disfruta de una cena…. se daría usted cuenta?

Imágenes Forenses en Vivo con el Software Favorito

Hace un par de semanas pude probar este software forense.

Me llamó mucho la atención ya que una de las preguntas recurrentes que me hacen tiene que ver con la generación de una imagen forense en vivo.

Muchas de las veces recomiendo en el caso de que la máquina que no puede ser apagada sea Linux o Windows, el hacer uso de HELIX como herramienta para poder generar una imagen forense de los medios del equipo.

Si bien HELIX es una herramienta muy interesante que permite realizar imágenes forenses de memoria así como de discos duros; es necesario aprender cómo usarla y posteriormente ver por qué medio será almacenada (USB, red, netcat, etc.)

Me llamó la atención esta herramienta – F-Response -, ya que permite usar cualquier herramienta para generar una imagen forense que estamos acostumbrados en Windows (X-Ways, FTK Imager, EnCase, etc) al montar en sólo lectura el dispositivo remoto en la máquina que se quiere hacer el cómputo forense en vivo. Cabe mencionar que esta herramienta permite hacer imagenes forenses sólo de los discos duros de prácticamente cualquier sistema operativo!

Simplemente imagine que al correr el programa en la máquina evidencia, coloca un USB con el software, coloca la IP de la estación forense y desde la estación forense se monta un disco físico que usted puede analizar o generar una imagen forense.

Muy bien por la gente de F-Response!

Haré más pruebas y les diré mis resultados.