martes, mayo 06, 2008

La puerta trasera

Esto es lo que pasa cuando alguien tiene un Blog de investigación basado en leer cosas de Internet y no tener ni puta idea de Seguridad Informática.

Todos habréis oido, o leído, sobre la famosa "puerta trasera" que el equipo de Spectra "ha abierto" a los cuerpos de seguridad del estado para que investigen sobre que películas porno te has bajado, con quién chateas en el messenger o si tienes pagada la licencia del Office 2003.

Esa supuesta "puerta trasera" no son más que un recopilatorio de herramientas de análisis forense tuneadas para ayudar en la labor a un profesional que tiene que hacer un análisis forense Online de una máquina. Sí, el "Computer Online Forensic Evidence Extractor"es un conjunto de herramientas, las cuales tuve la oportunidad de ver en vivo hace ya más de tres años (sí, una versión mucho más vieja) en un MVP Security Summit en RedMon, que lo único que recogen es la información que cualquier analista recogería.

Yo vi "la puerta trasera" en acción para detectar un malware y hacía cosas "tan fraudulentas y malosas" como sacar las conexiones TCP/UDP, como mirar la tabla caché de direcciones ARP, como sacar listados de los ficheros más importantes del sistema ordenados por fechas, buscar archivos en cachés, listados de procesos (esto debe ser muy chungo), etc... Luego lo metían en una herramientita que hacía cosas malas, como ordenar por fechas, por procesos, por accesos, etc... y en mi caso, descubrir como un bicho se había colado en la papelera de reciclaje de forma oculta.

Sólo cosas que un analísta, con permisos de administración de una máquina, puede buscar Online. Sí, la O de Cofee es Online e implica acceso a comandos a nivel de administración. Podría haber sido O de Offline y realizar lo mismo que miles de herramientas realizan Offline, como por ejemplo copiar el pagefile, ordenar por fechas, buscar ficheros en caché, sacar los procesos de la memoria RAM, etc..., pero no es el caso. (Aunque me ha parecido oir en un rincón que hay gente en Spectra que tiene pendrives con herramientas de análisis forense offline y le llama CÖFEE...o tal vez no).

Para todos los fantasticos que buscan el fin de la encriptación, sólo quisiera recordaros que, si la máquina está arrancada... Bitlocker ya desencripta el disco duro, pues, como muchos sabéis (algún técnicoless aún no) Bitlocker protege el sistema contra atáques, y análisis forenses, Offline.

No creo que haya que justificar que un equipo de seguridad recapitule un montón de herramientas forenses en un pendrive y se lo entregue a alguien (creo que existen cientos de distros y conjuntos de herramientas para auditoría y análisis forense en Internet tanto para Windows como para Linux), pero en mi opinión creo que lo único que ha hecho el equipo de seguridad es intentar ayudar a los analistas forenses que tan puteados se encuentran (y lo digo con conocimiento de causa..) con el análisis forense offline de las máquinas con Bitlocker porqué... NO, tampoco hay una "puerta trasera" (cómo muchos especulaban) que Spectra haya dado a ningún país/estado/dictadura/Republica_Independiente_de_mi_casa que permita descifrar el Bitlocker de forma automática.

Sin embargo, los técnicoless de turno, los bloggers de postín y mal follamiento, los amantes de la conspiranóia que Investigan/Opinan y se kriptonizan cuando se encuentran con palabros complejos como FORENSE ONLINE, rápidamente descubren "la puerta trasera de Windows". Por favor, como seguro que ya estará en algún sitio publicada (a pesar de ir bajo NDA, como el que tienen los MVPs), que alguien haga un debugger en ASM y publique... "LA PUERTA TRASERA".

Yo recuerdo una película que me gustaba que también tenía una puerta, se llamaba... "Detrás de la Puerta Verde" y ahí si que vi meter cosas por la puerta trasera.

PD: ¡Qué triste ver cómo muchos copian y pegan las mismas tonterías!

Saludos Malignos!

17 comentarios:

Anónimo dijo...

Hola Maligno,

No es a eso a lo que me refería sino a lo que te copié de bugtraq que también publican en tu página favorita según acabo de ver.

Otra cosa, ¿qué opinas de infocard/cardspace?

Un saludo

Anónimo dijo...

n se por que te mosqueas todavía con cosas de estas, si el problema es qu los tontos del culo de los que hablas solo se enteran de las cosas cuando el eco les vuelve de años atras..algunos de ellos hoy incluso gracias a post como el tuyo descubrirán cosas como el orph-crack y pijaínes así...

Cuidado con la blogosfera que muerde jajaja :P

Anónimo dijo...

Chema!

Personalmente soy usuario y defensor de software libre.

Sin embargo, apoyo gran parte de tu moción ya que se ha hecho moneda corriente la crítica fácil y rápida a Microsoft.

Repito que personalmente tengo mis criticas hacia la empresa pero considero poco ético para un profesional en informática semejantes acusaciones con con pocas pruebas técnicas.

En fin, no comento mucho porque no siempre estoy de acuerdo pero quería manifestar mi acuerdo en este caso.

Anónimo dijo...

[ironic = on]Tanto microsoft, tanto linux, pero !!!SE va a colapsar internet!!! [ironic =off] http://www.20minutos.es/noticia/375783/0/internet/video/colapso/

Anónimo dijo...

¿Un link de descarga, please?

Anónimo dijo...

El problema no es que no sepa, que nadie nace sabiendo. El problema es que cuando le explican que no tiene razón lo único que hace es enrocarse. Ningún investigador, de ningún tema, puede tener esa actitud.

Admin que Admin dijo...

y que le vas ha hacer, tanto micro es malo, tanto micro es el demonio, tanto hablar sin saber o cortar y pegar sin saber, pero al final, las otras grandes son peores pero no estan de moda, el ultimo ejemplo como Sun va liquidar Mysql delante de las narices de todos, o el monopolio de IBM, pero como no estan de moda.

Anónimo dijo...

¿entonces el motivo de que sea online es para evitar el Bitlocker? Porque en realidad siempre es mejor arrancar con un CD y así estar seguro de que no alteras nada del sistema, ni quedará registrado ningún movimiento del forensic. ¿Me equivoco?

Por otro lado, ¿hasta que punto sirve como prueba lo que un policia obtenga con un USB con un software privado que nadie conoce el código? y, en general, ¿hasta que punto sirve como prueba lo que un policia obtenga con un USB?

saludos,
Emili

Anónimo dijo...

Steve Riley lo decía en el último TechEd: "si hubiera una puerta trasera, quién más la tendría? ... pues los malos! Es más, serían los primeros en tenerla." (Aunque él no entraba en la ironía del malo/maligno/spectra.)

Por cierto, veo que nos gusta el mismo tipo de cine ;-)

Asfasfos dijo...

"los amantes de la conspiranóia que Investigan/Opinan y se kriptonizan".

Chema, eso va con doble sentido no? jaja. Estoy totalmente de acuerdo contigo, la gente lee dos palabras y ya están publicando estupidamente sin tener ningún sentido y sin tener idea de lo que dicen, y mas cuando es un sitio que lo leen miles de personas...eso es lo triste :(

Anónimo dijo...

...Y siempre son los mismos nuestro querido experto en seguridad, conocedor perfectamente del comando ping y profesor de empresas en ratos libres E.dans, el médico que entre paciente y paciente usa linux de kriptopolis y lo que más jode es que son los que más visitas reciben y claro un usuario medio que lea eso se lo cree.

Chema Alonso dijo...

¿Rectificar? Para que.. ¡¡si seguro que alguna otra cosa mala habrán hecho estos de Spectra!!

Además, para que van a espiarles si pueden leer su twittelll

evilteq dijo...

Lo bueno de las teorias conspiranoicas es que, primero no tienen que ser probadas, que ya es un comienzo cojonudo; y segundo, que son imposibles (por definición) de probar su falsedad, pues toda prueba en su contra una prueba más de la ocultación de la verdad.

Al igual que no se puede probar que NO hay cuerpos de alienígneas en el Area 51, que Elvis sigue vivo, o que yo NO maté a Kennedy (incluso pese a no haber nacido en ese momento), no se puede probar que windows NO tenga una puerta trasera.

El código cerrado, y más el que está diseñado para que sea complicado desemsamblar, es genial para alimentar estas teorías conspiranoicas (al igual que las bases militares ultrasecretas).

Internet y la famosa blogosfera vienen de vicio tambien.

Anónimo dijo...

"Tras la puerta verde".

¡¡¡Mira que hay que ser burreras e inculto para equivocarse de esta manera!!!

Anónimo dijo...

De la escoria informativa
que campea por España
va el tecnicoless con su verborrea
torpe y blanda que os engaña

Tú, plomizo y pavisoso
todo bodrios sin razón
por web o por RSS
por web o por RSS
miran siempre tus reveses
con pura resignación

Tecnicolesssssss Tecnicolesssssss
esperamos con pasión
tu siguiente post en blog
Tecnicolesssssss Tecnicolesssssss
A cagarla otra vez
defendiendo tu opinión
Tecnicolesssssss Tecnicolesssssss Tecnicolesssssss

Anónimo dijo...

y dice que...

AVISO DE PRIVACIDAD: Cuando el software busca software malicioso ("malware") en el dispositivo, se recopila información del dispositivo con el fin de informarle si se detectó y se eliminó malware. Sin embargo, Microsoft puede recopilar y publicar datos generales acerca del uso del software. Si así lo decide, puede deshabilitar la funcionalidad de información del software siguiendo las instrucciones que se encuentran en http://go.microsoft.com/fwlink/?LinkId=39987.

Anónimo dijo...

Me parece que tenemos un nivel bastante extraño en la blogosfera celtibérica cuando dicen que este sr. Dans nos representa como arquetipo nacional, según leí en 20 minutos edición digital. Claro que a estos de "1200 segundos" también hay que echarlos de comer a parte con sus cruzadas antiMicrosoft y su fanatismo proSony_Play3, por el artículo nº 33 aka "por mis putos cojones", que dirán los redactores P.F. y D.A., a juzgar por los atropellos columnísticos que suelen cometer, que apártate tú farruquito...

Yo también me sumo a la queja que se repite en tantos posts: lamento que acaparen toda esa atención en la web para la penosa aportación que están haciendo, a base de especulaciones, confusiones y cerrilidad.

Es un alivio encontrar el excelente blog de Chema Alonso: escrito con un estilo ameno y actual pero desde la experiencia y el savoir faire. Con tanta sabiduría, que deslumbra como si miráramos directamente al sol. Aparte de que los colaboradores y posteadores suelen estar a la altura en casi todo momento: con respeto y sensatez, pero sin perder un ápice de frescura y originalidad, que ya quisieran para sí otros muchos blog.

Deberíamos tener muchos más blogs así en España.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares