Volatility Framework Installer

Estándar

Hola a tod@s!!

Hace tiempo que salió al público el estupendo trabajo de muchos investigadores que dio como resultado la herramienta Volafility Framework.

Los que me conocéis, sabéis que yo llevo dando por saco con el tema de la memoria RAM desde hace bastante tiempo. Gracias a Dios, que conforme más tiempo pasa, más información sobre este tema hay.

Yo mismo he dado algún que otro Webcast en Microsoft sobre este mismo tema, he hablado en las FIST, y en algún que otro Asegur@IT.

El Framework está escrito en su totalidad en Python. En su día, para hacer funcionar la herramienta, tanto en Windows como en Linux o MAC, tan sólo hacía falta instalar Python y vualá! Ya teníamos el Framework en funcionamiento.

Hoy día la cosa ha cambiado bastante. Existen multitud de Plugins que hacen de la herramienta una tool muy poderosa para analizar por completo la memoria RAM, pudiendo ahorrar costes en tiempo en un análisis forense corporativo o por proyecto. E incluso por diversión!!

El problema para gente que está empezando en esto, es que a día de hoy existen tantos plugins y dependencias, que instalar la herramienta desde cero, y dotarla de una funcionalidad aceptable, puede conllevar una inversión de tiempo importante.

Esto lo pensó en su día Jamie Levy (aka Gleeda), colaboradora habitual en el desarrollo de Volatility Framework, y desarrolló, entre otros impresionantes plugins, uno con la posibilidad de descargar todos los plugins de un tirón. El script para la versión 1.4 de la herramienta, e instalación bajo Linux, lo tenéis disponible aquí.

Yo he realizado mi particular script (en batch! con dos cojones!! jaja) para la total instalación de Volatility Framework, junto con todas sus dependencias. Entre las “capacidades” del Script de instalación se encuentran los siguientes puntos:

  • Descarga e instalación de Python, MinGW
  • Descarga e instalación de YARA (Gracias Hispasec!!), PYGame, PIL (Python Image Library), Distorm3
  • Descarga e instalación de Volatility Framework 1.3 (Versión estable)
  • Descarga e instalación de Plugins válidos para la versión 1.3
  • Compilación automática e instalación de diversos plugins
  • Procesado de Logs de todo lo que se descarga
  • Procesado de HASH (MD5 y SHA1) de todo lo que se descarga
  • Inclusión de rutas en PATH para dotar de máxima funcionalidad
  • Inclusión de shell de comandos con el botón derecho del ratón para facilitar el análisis (Open cmd Here)

Ahora mismo, el script es totalmente funcional para instalarlo en Windows XP/Vista/7, y, como hoy en el FTSAI nos vamos a “pelear” con la memoria y todos sus componentes, me ha parecido buena idea colgarlo por aquí.

En su día, hablando con Lympex de opensec.es, éste me pasó una versión que desarrolló para Linux, la cual todavía no he puesto en el proyecto, debido a que tiene que actualizarse. Me ha prometido que cuando la tenga funcional la colgará en el proyecto.

El proyecto está alojado en Google, y ahora sí…. No tienes excusa para seguir ampliando conocimientos en materia Forense, porque documentación hay, y facilidades también!!

http://code.google.com/p/volatility-installer/

Esta semana he empezado a realizar el mismo script en PowerShell, debido a que como batch tiene muchas restricciones, he tenido que “tirar” de herramientas de terceros, como 7zip, wget y HashMyFiles para hacerla totalmente funcional. El script es muy sencillo de utilizar y no requiere parámetros. Sólo doble clic, y a jugar….

Nota: Tanto Python, como las dependencias, junto con MinGW, se instalan de manera interactiva con el usuario. Las instalaciones son del entorno Next–>Next, menos MinGW, que necesitaremos marcar las opciones de MAKE, más el compilador. Este paso de “interacción” es necesario, ya que de manera desatendida no se compilan bien algunas bibliotecas en Python bajo Windows.

Doy por supuesto (y por invitado!) que colaboraciones y ayudas, serán muy, pero que muy bien recibidas…..

Update.- Chema, de opensec, ya me ha pasado el script de instalación y está subido al proyecto. Su script soporta la instalación de Volatility Framework en los sistemas Arch, Debian y FreeBSD!

Buen fin de semana a tod@s!!

Y todo para nada…

Estándar

Las líneas de negocio están para eso, para abrir negocio donde antes no lo había, o había poco. Se puede destruir empleo por un lado, pero lo que sí es seguro es que generará empleo por el otro lado.

Pero todas las líneas de negocio existentes se van a tomar por el ·@%%&&.  Porque llega el articulazo del siglo. Donde esté un ordenador barato, que se quite uno potente.

Reflexionemos un poco…

Microsoft hace sistemas operativos y sus programas cada vez más pesados, que necesitan cada vez más recursos del sistema. Así todos son felices. Microsoft vende sus sistemas operativos, sus Office, etc, y, como los computadores en un momento determinado no los corren bien, la gente migra más rápidamente a procesadores más rápidos para correr estos programas. Así viene pasando desde Windows 95.

El problema, y el fracaso de Vista, es que ahora las cosas son un poco diferentes…

Por un lado, Vista exageró demasiado en cuanto a los recursos que necesita, no pudiendo correr sino solo en los procesadores más avanzados, impidiendo de esta manera las actualizaciones de XP a Vista. Era necesario comprar una máquina nueva y costosa. Por otro lado, XP sigue siendo suficientemente bueno y no justifica comprarse un nuevo computador para poder disfrutar de Vista.

Sí, sí, sí, sí…. Spectra es malísima. Muy mala. Una cabrona vamos. Cada día hace sus programas más gordos (Creo que les dan harina y maizena), que necesitan más recursos y todos felices. Como los equipos antiguos no pueden, pues a comprar hardware nuevo.

Vista es un fracaso. Y del bueno te digo yo.

O sea, a ver si lo he entendido. Que donde esté un Windows95 o una mini-distribución de Linux, que se quiten las demás. Que donde esté mi procesador 486, que se quiten los demás. Porque todavía tengo uno en casa y le podría instalar un Windows 95. Creéis que ligaría en un bar si le digo a una chica que he instalado un Windows 95 en un 486… Y que funciona?

Me lloran los ojitos porque leo por primera vez en la ciudad de los Krispis que XP sigue siendo suficientemente bueno…. Se estarán pasando poco a poco al lado del mal?

Huelo a conspiración….

Por otro lado, dado el enorme poder de los microprocesadores de hoy, pueden aparecer computadores muy baratos (de menos de $300) y no tan potentes, pero que pueden hacer todo el trabajo cotidiano de oficina (procesador de palabras, hojas de cálculo, presentación gráfica, etc), además de navegar por Internet, correo, mensajería instantánea, etc.

Estos computadores baratos pueden trabajar bien con un sistema operativo no tan pesado como Vista. Funcionan bien con XP o Linux. Y aquí es donde está el problema de Microsoft y la industria en general.

Los computadores pobres de hoy en día pueden hacer el 99% del trabajo cotidiano de oficina y del hogar. ¿Para qué comprarse lo último?. En la mayoría de los casos no se justifica.

Entonces tenemos dos extremos. Por un lado, un computador muy sencillito pero que puede ejecutar el 99% de las cosas, y por el otro, uno muy poderoso (necesario para alimentar a Windows Vista).

En cuanto al primer párrafo no tengo problemas. Es totalmente cierto. Tengo en casa otro PC con 512 RAM y procesador de 1GB y rula con Debian y XP de maravilla. Pero sigo sin ver el problema.

Spectra tiene, para aquellos que se quieran dejar engañar, porque es muy mala, una página dedicada a esos equipitos que no llegan al mínimo para poder acostarse con Vista, y son los llamados Vista Capable.

Lo de los dos extremos me queda muy clarito.

Microsoft se ve forzado a prolongar el XP porque de no hacerlo pierde el mercado de los computadores más sencillos, mercado que crecerá mucho en los próximos años.

No hay aplicaciones que usen tanto poder proveniente de los microprocesadores de hoy. Solo Windows Vista, los juegos y el procesamiento y edición de video, pero en pocos años, todo procesador, hasta el más pobre será capaz de manejar estas cosas. Así que el extremo de computadores muy poderosos, para uso personal tenderá a morir, quedando sólo los computadores económicos de menos de $200. Nadie necesitará un procesador de 16 núcleos, porque no habrá aplicaciones que necesiten tanto poder (para uso personal).

Este inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico del clima y otras similares, pero nunca una persona en su procesador de palabras, hoja de cálculo o incluso editando video.

Una alternativa para el uso de tanto poder, que es válida incluso hoy en día (en donde un procesador con 2 núcleos de 2 Ghz es mucho más de lo que se necesita en tareas cotidianas) sería que el computador tuviera 2 ó 4 salidas de video, y sus teclados y ratones respectivos. Así un computador manejaría 4 usuarios simultáneamente.

Un computador Core Duo está el 99% del tiempo sin uso, así que con los 4 usuarios estaría de una manera muy similar, y los 4 sentirían todo el poder para cada uno de ellos como si los demás no existieran (salvo en algún que otro momento en donde habría pequeños cuellos de botella).

Si se configura Linux para manejar estos 4 usuarios simultáneamente en un computador, sería el final de Windows, porque con sólo añadirle unas cuantas tarjetas de video (con sus respectivos controladores de teclado y ratón) se abaratarían los costos del computador para las empresas, escuelas, etc: 1 computador $400 + 4 tarjetas de video sencillas $25 c/u dan un total de $500, dividido entre cuatro personas, sale a $125 por “terminal”.

Spectra es que es así. Se acojona y tiene que prolongar un producto. A mi también me lo dijo un primo de la novia de un amigo mío. Lo que no me dijo el primo de la novia de un amigo mío es que en la página de soporte de Spectra, tienes todos los datos de soporte, y de ahí es de donde se sacan los DATOS. Si quieres mirar hasta cuando vas a tener soporte (normal y extendido) te puedes pasar para recabar datos malignos. Los tienes para Windows XP e incluso para Windows Vista, así seguro que tienes datos para vaticinar el fin de Windows Vista. Pero claro, eso a una empresa se la repamplinfa. Se la suda que un Windows tenga un soporte de casi 14 AÑOS. Donde esté un Ubuntu licenciado con soporte a 3 años que se quite lo demás. Que me llega una incompatibilidad con una aplicación en mi Ubuntu? pues nada. O MIGRO a una distribución más novedosa, o tiraré de FOROS. Ya estoy viendo un problema de nivel 5 (O sea jodidísimo para la empresa), el soporte Server Ubuntu que se ha terminado (5 añitos), y el SysAdmin de la empresa poniendo todos sus recursos en un forero de 17 años. Qué hijadeputa es Spectra que te da casi 14 AÑOS para que te plantees una migración, te planta los Virtual Lab para que te vayas haciendo a la idea, los recursos para profesionales como los WebCast. Además son malísimos, porque si te has perdido uno, te los graban!

Y claro, el inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico de clima….. Y para  predecir el futuro creo…. Esto es gracioso, porque yo tengo un procesador de 1GB en casa, pero mi tía que quiere el ordenador para llevar sus tareas de costura “al día”, se fue a comprar un equipo, y de menos de dos núcleos no había nada…. Aunque claro, también se puede pasar por DELL y comprar un Ubuntu de igual precio y menores características.

Sobre los dos últimos párrafos…. No comment…. Este no sabe lo que es un AS/400, ni SAP, ni Operations Manager, ni IBM Tivoli Security Operations Manager, ni SMS, ni Dynamics

O sea, que a ver si no lo he entendido tampoco. Un equipo antiguo, pongámosle (512/256 RAM con un Pentium IV) y un cliente de correo electrónico, la consola de SAP que conecta con un servidor (Ya sabes, definido en el Saplogon.ini), la consola 5250 del AS/400, el office (Word, Excel, PPT, etc..) y accediendo en todo momento a recursos compartidos (Para tenerlo todo un pelín más seguro) va de puta madre no? Y ya no digo de puta madre (que puede ir según el caso y la metodología de trabajo de cada uno), sino que irá de puta madre repartiendo recursos en 4 pantallas tontas. Que eso de la inversión y el reciclado de equipos es una panacea y no vale para nada. Que es preferible un equipo que “gaste” 256 de RAM y los otros 256 de RAM que me sobran (si es que tiene de sobra) lo tengo “por si las moscas”. Windows Vista gasta más RAM porque el acceso a ella es MAS RÁPIDO, así deja al disco tranquilo para que nos dure más. Eso de los discos duros híbridos con una memoria de precarga es otra panacea. Otro sacaero de dinero.. Total, el acceso a disco según tú es más rápido que el acceso a RAM. Si se peta seguro que es por un “cuello de botella”.

El otro día instalé un IIS 6 en un W2k3 en un PIII con 256 de RAM, un SQL Server 2000 como motor de BBDD y que servía una pequeña Web. Según tú, si me llama el cliente, le diré que cuando el servidor deje de servir páginas con rapidez, será por un “cuello de botella”… O también le puedo decir que los cuellos de botella empiezan cuando haya más de 15 usuarios en paralelo pidiendo servicios…

Microsoft no podría competir con esto. Primero su Windows Vista está hecho para consumir muchos recursos (y producir una obsolescencia planificada de todos los computadores), no sirve para computadores económicos. Por otro lado, a Microsoft no le interesaría vender una sola licencia de XP, por ejemplo, para que 4 usuarios manejen sus “terminales”, sino más bien una licencia por cada terminal. Sin embargo, Linux, que es liviano, y puede manejar estos 4 usuarios no tiene ningún problema, y con computadores tan baratos como $125 por persona, no tiene competencia en empresas, escuelas, cybercafés, etc.

Aquí sólo te puedo decir una cosa. En la Universidad tenemos Windows NT y solaris del año de la castaña, y una de las prácticas de Redes era conectar dos Windows 98 a través de una red AdHoc… La práctica de Linux era conectar varios equipos a través de recursos compartidos por Samba. En definitiva, sales con una base cojonuda para la vida real, y los ingenieros están preparados para afrontar un nuevo reto (pasar de una práctica con un Windows98 y WinNT, a un problema en la vida real en un entorno heterogéneo Win-Linux en sus últimas versiones).

En definitiva, creo que esta nueva línea de negocio, hará por fin que el departamento HelpDesk deje de recibir llamadas del tipo “Mi ordenador va lento”, “Se me traba”, “Esto va como cámara lenta”, etc…

Y ya dejo de escribir, porque me lloran los ojitos….

En definitiva, que nos hemos equivocado, y como quiero redimirme, cuelgo aquí la fotografía que me pasó mi hermano Maligno cuando estuvimos en el Asegur@IT II que se celebró en BCN. Como diría el Trianero….

Va por ustedes…

 Fotografía del evento (Renombrar PDF por HTML si la queréis guardar de recuerdo)

1Saludo!!

Los antivirus para los TLess. Yo soy un H4x0r…..

Estándar

Me encantan las T. Están las TBlonde, los tangas y las que le gustan a mi colega pepito… Las Tiin. Pero hoy vamos a hablar de los Técnico Less, vulgarmente llamados TLess. En la Web de Satán se están recolectando definiciones de lo que es un técnico less. Así que si no has puesto una ya estás tardando en exponerla…:)

Ya os he dicho en alguna que otra ocasión que me encanta Kriptópolis. Si fuese un usuario novato y leyese alguno de sus artículos principales, como éste, al que comento gustosamente aquí, te juro que le daría una patada a mi Windows y me instalaría de cabeza un Linux. Pienso que a sus editores se les va la pinza un poco en lo que a explicar se refiere. No sé si lo hacen para ganar visitas, o es que realmente piensan así. La entrada que se puede leer desde esta mañana es esta:

http://www.kriptopolis.org/pregunta-tipica-de-nuevo-usuario-de-linux-que-antivirus

En esa entrada, recopilan razones por las que un usuario debería migrar a Linux. El dejar de usar el antivirus. Ofrecen maravillas como estas:


Los permisos en Linux son universales. Cubren tres cosas que pueden hacerse con ficheros: leer, escribir y ejecutar. Y no sólo eso, sino que vienen en tres niveles: para el usuario root, para el usuario común logueado y para el resto del mundo. Típicamente, el software que puede impactar en el sistema como un todo requiere privilegios de root para ejecutarse.

Los Windows tienen unas cositas llamadas ACL, DACL, SACL y el funcionamiento es el mismo, pero un poco más avanzado. Quien quiera echarle un vistazo podéis descargaros lo siguiente:

Listas de control de acceso en profundidad

Writing Secure Code. De la MSDN

Microsoft diseñó Windows para permitir a los de fuera ejecutar software en su sistema. La empresa justifica ese diseño diciendo que enriquece la experiencia del usuario el hecho de que un sitio web pueda realizar acciones "guay" en su escritorio. Debería quedar claro que la única gente enriquecida por esa decisión de diseño es la que gana dinero proporcionando seguridad adicional o reparando los daños que provoca en el sistema.

Vamos a ver. Partiendo de la base de que no haya ningún elemento extraño (bug en el sistema) Se ejecutará algo si YO quiero que se ejecute no? Esas listas de control que he mencionado antes, más los cientos de políticas que puedes implantar en un Windows, impiden en mayor o menor medida (depende de quién lo administre), estos errores.


Algunos programas maliciosos requieren que se abra un adjunto. Otros ni siquiera necesitan que el usuario cometa ese error. Por las buenas o por las malas, el malware en Windows a menudo es ejecutado, infectando primero el sistema local y propagándose después a otros. Qué horrorosa vecindad. Me alegro de no vivir ahí.
En Linux existe protección incorporada contra esa tropa. Los ficheros recién descargados desde su programa de correo o navegador web no reciben privilegios de ejecución. Renombrar los ejecutables tampoco sirve, porque Linux y sus aplicaciones no dependen de las extensiones de los ficheros para identificar sus propiedades, de modo que no pueden ejecutar malware inadvertidamente mientras se interactúa con él.

Juas! Y por esa regla de 3 para qué necesito yo en mi Linux un comprobador de integridad de ficheros como trae RPM por ejemplo? Ahh claro, que un RPM o DEB no puede venir manipulado… Es imposible.

Por eso han elegido Linux, para liberarse de pagar una tasa de seguridad por protegerlos del malware, u otra posterior para que su sistema sea esterilizado tras haber sido infectado.

Ea, a pulular sin antivirus ni firewall por la Red.

Menos mal que al final del artículo muestra algo de inteligencia…


Los usuarios de Linux, como los de cualquier sistema operativo, deben siempre ser conscientes de los temas de seguridad. Deben actuar con inteligencia para mantener sus sistemas seguros. No deberían ejecutar con privilegios de root programas que no los necesiten, y deberían aplicar regularmente parches de seguridad.

Que sepáis que en Windows no se puede hacer esto OK? Debéis ejecutar siempre vuestro equipo como Administrador, y olvidáros del principio del mínimo privilegio, de las ACL, DEP para la protección de memoria, actualizaciones automáticas y demás chorraditas. En Linux si lo ejecutas todo como root no puede pasarte nada. Te lo garantizan estos chicos. Así que no seas tonto, pásate a Linux y NO le instales un antivirus. Y si te pasa algo parecido a esto:

http://www.linuxforums.org/forum/linux-security/29611-rootkit-infected.html

http://www.linuxforums.org/forum/linux-security/2510-linux-has-rootkit-problem.html

O lees algo de esto:

http://www.rediris.es/cert/ped/reto/01/Informe%20Tecnico.pdf

http://www.seguridad.unam.mx/eventos/reto/uno_tecnico.pdf

Quizás cambies de opinión….

En otro orden del día hoy estoy un poquito cabreado porque mi Debian se me ha jodido… Kernel Panic!. Y la verdad es que no tengo ni puta idea de por qué me ha pasado esto. No he instalado nada desde hace 2 meses más o menos. Lo único que he hecho ha sido crearme una partición desde Windows, para almacenar mis casi 10 máquinitas virtuales para pruebas. El caso es que también se me ha jodido el ratón y me he comprado uno superchulo que va a través de USB. Pero Linux se ha coscado y me ha dicho que nanay, que hay un cambio brusco de hardware en mi sistema. El caso es que no puedo entrar ni por shell ni nada. Así que si algunos linuxeros me podéis ayudar, estoy abierto a todas vuestras sugerencias… (Va en serio…)

Llegará el día en que alguien les diga a estos TécnicoLess las cosas… Como hay que decirlas y explicarlas? Os dejo con un vídeo gañanes!

Materiales Libres

Estándar

La UOC pone a disposición del público un curso bajo licencia libre de GNU/LINUX para su descarga directa en formato pdf.
Dejando a un lado si los cursos de la UOC tienen un elevado precio o no, aquí dejo los enlaces directos para descargar el curso.

Administración avanzada de Linux

Desarrollo de aplicaciones Web

Bases de Datos

Implantación de Sistemas

Redes de Computadoras

Aspectos avanzados de seguridad en Redes

Leido en barrapunto