Hola.
Seguramente han escuchado y leido en varios lugares que se recomienda el uso de contraseñas para el protector de pantalla, con lo cual se obliga al inicio de sesión. A pesar que esta ‘buena práctica’ existe desde antes que windows 3.1, mucha gente sigue sin utilizarla.

Basicamente, cuando alguien se levanta del puesto y el equipo no tiene actividad de teclado o ratón, se enciende un contador y a determinado tiempo, se bloquea la sesión de usuario para que nadie puede utilizar el equipo, excepto el usuario válido. Esto previene contra personas malintencionadas que utilizan la estación de trabajo mientras el dueño no está.

Ahora, hagan la prueba en la oficina, colegio, universidad, o cualquier lado. Miren si al levantarse ell vecino (o la vecina) de su puesto, bloquea la pantalla… o en otro caso, si hay un protector de pantalla, presionen una tecla o muevan el mouse.

Si estando solos frente a un pc se desbloquea la sesión con solo mover el mouse, ya se puede intentar hacer cosas en el equipo, como agregar usuarios, borrar archivos, entrar a sistemas de información, etc.

Ahora la historia real de hace dos horas antes de escribir este post:

Estaba caminando feliz y tranquilo por un pasillo lleno de computadoras, en la sección de contabilidad de esa empresa. De pronto, moví el mouse y ¡oh sorpresa!, la sesión estaba abierta en un lindo windows xp sp3.
Silbando la canción de las Valquirias de Wagner, me acerqué al teclado y escribí:

Windows + R
cmd
ipconfig
net user admin2 Clavedeadmin1 /add
net localgroup administradores admin2 /add
exit

Luego de eso, fui a la sala wifi (que no estaba segmentada) y con CAIN me conecté a ese equipo, deshabilité el antivirus, instalé abel, obtuve las claves LM locales, quité abel, abri la unidad c$, borré los rastros de abel, exporté las claves LM, le di formato pwdump, lo pasé por un cracker gpu, conseguí la clave de administrador local, hice un nmap para buscar el puerto 139 abierto en la red, con hydra busqué cuales equipos tenían la misma clave de administrador para smb, exporté la lista, estaba el administrador de la red, inicié sesión en su máquina como administrador, quité el antivirus, instalé un keylogger y luego de eso obtuve la clave del dominio de windows.

Esto se evita si:
1. La sesión está bloqueada
2. El usuario no tiene permisos de administrador local

Lo anterior funciona en cualquier sistema operativo. Adicionalmente para windows:

3. Se desactiva el uso de LM

PD. En un rato salgo a almorzar con el admin de la red y le voy a contar lo que pasó.

Ayer estaba haciendo mucho frio y me puse una chaqueta que abriga bastante. Iba caminando tranquilamente por la calle, cuando al meter mis manos en los bolsillos, me encontré dos condones marca Today de la serie Hot Sensation. De inmediato me pregunté por qué estaban esos condones ahí, sobre todo porque hace mucho que no salgo con alguien como para tener que usarlos.

Luego me dije, ‘bueno, está bien, dejemos eso así y después averiguo de donde salieron los condones’.

Al llegar a casa, hice una encuesta entre mis amigos para saber si alguno había dejado esos condones en mi chaqueta, pero las respuestas fueron negativas.

Sigo con la duda, no tengo idea por qué habían dos condones en el bolsillo de una chaqueta que poco utilizo, menos aún de una serie que no he vuelto a comprar (prefiero la serie Punto G).

Al mirar desde la ventana, me encontré una linda luna llena.

Luna a las 5 pm

Fotografiar nubes me parece difícil por los intensos contrastes que existen y ajustar la luz es algo complicado. Sin embargo, lo intento.

Guatavita Cundinamarca

Guatavita Cundinamarca

Volando

Cartagena

Desde hace muy poco tiempo, cuento con un modesto equipo de fotografía que consta de una cámara Sony DSLR A230 con un lente 18-55, un filtro uv de protección, un filtro naranja para contrastes de blanco y negro, 12 gb entre dos memorias y un trípode.

Estoy intentando tomar buenas fotos, probando, intentando, leyendo, viendo videos, entendiendo conceptos…. voy lentamente aprendiendo cosas nuevas.

Por el momento, he encontrado un dvd muy bueno llamado ‘curso de fotografia tripode‘ que enseñan lo básico. También he leido algunos tutoriales, pero aún me falta mucho.

Inspirado en un artículo de iluminación de estudio, hace unas horas, hice un experimento utilizando fomi (espuma) de color blanco y la luz incandecente de 100w en el techo de la habitación. Ajusté el balance de blancos a tugsteno y para mi asombro, las fotos salieron cerca de lo que quería.

El pliego de fomi me costó $3.700 pesos colombianos.

Luego con la cámara en el tripode ajusté la exposición y salieron estas fotos:

Para ser la primer vez que lo intento, me siento muy satisfecho con el resultado. Considero que me hace falta una mejor iluminación, pero lo puedo arreglar en esta semana comprando las bombillas necesarias y haciendo algunos tutoriales al estilo ‘hagalo usted mismo’.

Suerte.

Happy Photo.

Se cumplió un año del registro de este dominio, pero los post que he escrito han sido muy pocos. Me di cuenta que llevaba un año porque me llegó un email diciendome que el dominio iba a expirar; entonces renové el dominio.

Mientras tanto, voy a ver que otras cosas publico por aquí… sin embargo, no creo que mucha gente lea este blog.

Si al realizar un análisis forense, nos encontramos con archivos de skype con extensión dbb, seguramente nos preguntaremos ¿y eso cómo se lee?

Afortunadamente, alguien más se lo pregunto y escribió un paper donde explica donde comienza el mensaje, el time stamp (bastante ofuscado) y el mensaje.

El PDF está aqui: http://www.lpcforensic.it/public_html/yabbfiles/Attachments/SkypeLogFileAnalysis.pdf y se puede ver en linea en: http://www.scribd.com/doc/9676016/Skype-Log-File-Analysis

Otra explicación sobre el time stamp: http://www.patrickmin.com/linux/tip.php?name=skype_timestamp

PERO como muchas personas no quieren ponerse a escribir programas para decodificar conversaciones de skype, entonces se puede recurrir a uno ya hecho. Para ver los archivos *.dbb de los chats de skype, solo basta usar el programa Skype Log View. http://www.nirsoft.net/utils/skype_log_view.html

In forensics, there are two diferents scenarios:

1. Dead analysis
2. Live analysis

Dead analysis are commons. It uses software like “Encase” or even linux distributions like “Helix” or “Caine”. But in dead analysis, you can’t know what a malware is doing or how a software instaled is working. So, you need to do a Live analysis.

If you have an image adquired through “dd”, you can mount it as a live pc system, in a vmware enviroment.  You need:

• Vmware Player (free) or Vmware Workstation (pay)
• Vmware Virtual Disk Development Kit VDMK (free) http://www.vmware.com/download/sdk/virtualdisk.html
• Live View (free) http://liveview.sourceforge.net/

Then, install vwmare player, VDMK and run Live View.

In Live View, select Image file, Output directory and select Start. After a little work, a vm is launched with ‘dd’ image as first hard disk.

Live View 0.7b

By other side, if you only need mount a “dd” image as a secundary hard disk into a vmware, you should try these options:

1. Use Pro Discover Basic (free) http://www.techpathways.com/Demo.htm In Tools>Image Convertion Tools>Vmware support for “DD” image
2. Make  your own vmware disk, filling the information about sectors, heads, cylinders and size, as same as the original disk. This information could be read from a “dd” image, using a hex editor.  Example of vmware disk.

# Disk DescriptorFile
version= 1
CID = fffffffe
parentCID = ffffffff
createType = "monolithicFlat"

# The Disk Data Base
#DDB

ddb.virtualHWVersion = "4"
ddb.geometry.sectors = "63"
ddb.geometry.heads = "16"
ddb.geometry.cylinders = "1"
ddb.adapterType = "ide" or "buslogic"

# Extent description
RW 156301488 FLAT "sdc-img.dd"0

Happy Forensics.

If you use EDPR, when you try to crack a cuda capable thing, EDRP only use the GPU instead GPU+CPU. But, there is a trick to use both. It’s quite simple, you only need to install a virtual machine, then install EDRP into vm.

Diferences? well, with gpu, speed cracking for LM was 22.5M/s, but after vm, it increases to 28.6M/s.

One screenshot.

EDRP GPU+cpu

¿Por qué es vulnerable su empresa si se tiene compatibilidad con windows 9x?

Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM.  Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).

Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.

¿Cómo evitar almacenar hashes LM?

Seguir las recomendaciones de microsot en su artículo: http://support.microsoft.com/kb/299656 el cual practicamente dice:

1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
3. Haga clic en Habilitado y después en Aceptar.