2013. július 30., kedd

P2V - Physical to virtual

Gép vizsgálata forensics eszközökkel:

Első lépés a gép lementése raw diszk image-be. Ehhez a WinFE-t lehet hasznáni.
(Lehet használni a Helix 2008R1 CD-t is, de a szakemberek azt mondják, hogy a WinFE a jobb választás)

Hagyományosan Window AIK (Automated Installation kit) használatával:
http://www.forensicfocus.com/downloads/WinFE.pdf

vagy Winbuilder alkalmazásával:
http://winfe.files.wordpress.com/2011/01/users-guide-to-winfe1.pdf

A WinFE bebootolása után FTK Imagerrel lementjük a merevlemezt (merevelmezeket) raw dd image formátumba.(leírása a fenti két dokisban megtalálható)

A lementett formátumból vdi file-t készítünk:
http://files.pinguin.lu/projects/HOWTO-BootingAcquiredWindows.pdf

Készítünk egy bootolható iso file-t (OpenGates) amit a virtuális gép bebootolása előtt fogunk használni. Az ISO file-hoz kell egy JÓ!!! Windows XP telepítő CD. Először egy magyar telepítővel próbálkoztam, de azzal nem működött!!!. Szóval kell egy angol Windows XPSP2 telepítő CD (jelszómester.hu-n van ehhez pontos link, ide most nem rakom be) Az OpenGates leírása megtalálható itt: https://www.pinguin.lu/index.php

Miután bebootoltuk az iso fájlt, a legtöbb kérdésre válaszoljunk "y"-al.
Utána próbáljuk bebootolni a gépet. ha nem megy, akkor próbáljuk meg F8-at nyomni és csökkentett módban elindítani. A bootolás előtt a virtuális gépen letiltjuk a hálózati interfészt, így nem tud kimenni a netre. és így nem tud kapcsolódni semmilyen szerverhez.

Ha kék halált dob a gép, akkor valamilyen ingyenes videorecorderrel vegyük fel a dolgot és nézzük meg, hogy mi a gond :) (nekem nem sikerült megállítani a képernyőt ahol kellett volna)

Miután sikeresen bebootoltuk a virtuális gépbe a fizikai gépet, abortáljuk el a hardver telepítő folyamatokat és kezdjünk hozzá az adatok összegyűjtésének.

A nirsoft.net-en megtaláljuk a szükséges programokat (LastActivityView, WebBrowserPassView, satöbbi) A szükséges programokat Folder2iso-val írjuk ki egy iso fájlba (vagy másoljuk fel egy usb-re)

A bebootolt virtuális géphez adjuk hozzá a felmountolt iso fájlt vagy az usb meghajtót és futtassuk le a programokat. Az outputot tegyük el egy helyre és a végén mentsük ki az usb-re (vagy agyből tehetjük oda is)

Ennyi.

A lementett raw diszk image-t lehet még vizsgálni a SANS SIFT- forensics workstationjével is,
http://computer-forensics.sans.org/community/downloads ez akkor működőképes, ha nem tudjuk kiütni a jelszót vagy nem sikerül bebootolni a virtuális gépet. De a leghatékonyabb, ha bebootoljuk az eredeti gépet a virtuális gépbe és ott vizsgáljuk mindenféle toolokkal, mintha csak az eredeti gépen lennénk....

Ha jelszavas a gép, akkor az OpenGates-el azt is ki tudjuk ütni. Vagy megpróbáljuk a hash-eket kivenni és visszafejteni a jelszót. Vagy ophcrack-al feltörjük...

A gépet vmware-s eszközökkel is le lehet másolni, de azt még nem tudtam rendesen kipróbálni, így arról nem tudok nyilatkozni.

Tanulság: Ha valaki fizikailag hozzáfér a gépünkhöz (annyi időre, hogy a merevlemezt le tudja másolni) és a merevlemez nincs levédve merevlemez titkosítással, akkor gyakorlatilag bármilyen adatunkhoz hozzá tud férni.... Lementi a diszket és utána a gépet bebootolja virtuális környezetbe és ott tudja vizsgálgatni...

2013. július 28., vasárnap

GPU hűtés - Cooler Master U3 + egy kis forensics

Nemrégiben találtam egy működőképes megoldást a laptop gpu túlmelegedése ellen. Úgy hívják, hogy Cooler Master U3
http://www.argep.hu/popup.asp?pid=233764422&pnr=10001&foto=1

Nagyon hatékonyan hűti a gépet. Kipróbáltam és körülbelül 70-80 foknál többre nem megy fel a gpu hőmérséklete még ebben a rettentő melegben sem.(38 fok van kint)  Cuda-hashcat-al próbáltam ki és egy több órás jelszóvisszafejtést engedtem rá. (150 millió kérés másodpercenként)  De a hőmérséklet egy bizonyos értéknél (77-78 fok) nem ment feljebb.
A GPU-Z-vel pedig folyamatosan lehet figyelni, ha a gpu melegedne. (mondjuk ezt kézzel is lehet érzékelni...de a program számszerű információt nyújt)

Amiért még írok az az, hogy érdekes módon találtam két olyan ártalmatlannak tűnő alkalmazást is amelyek viszont anélkül tudták felforrósítani a gépet, hogy a gpu számottevő műveletet végzett volna. Ezt nem is igazán értem, de biztos van rá valamilyen elfogadható magyarázat. Az egyik a Browser Defender a másik meg a Search Protect Conduit. (Az is kérdés, hogy ezek hogy kerültek egyáltalán a gépre, mert én ugyan nem tettem fel egyiket sem. Valószínűleg valamelyik feltelepített tool "hozta magával" mind a kettőt - persze kérdés nélkül.)

A lényeg, hogy anélkül ment fel a gpu hőmérséklete, hogy a gépen bármit csináltam volna és bármilyen gpu aktivitás lett volna... A gép bekapcsolása után elindult ez a két sz@r és a gpu hőmérséklete rövid időn belül 70-80 fokra felment. Miután uninstalláltam a két tettest a cooler használatával gpu használat nélkül tartósan 50 fok alatt maradt a gpu hőmérséklet.

Akinek laptolja van és gpu igénylő toolokat futtat (pl jelszó feltörés) annak érdemes ezt beszerezni, mert olcsóbb, mintha elfüstöl a gép vagy pedig egyszerűen csak a jelszó-törés állandóan lefagy, mert túlmelegszik a gpu.  És érdemes figyelni az egyéb alkalmazásokat is és amelyik ilyen sunyi módon forrósítja a gépet azokat likvidálni.(legalább a gpu használat idejére)

-----------------------------------------

Más : Vettem egy 2 terabájtos USB 3.0-ás külső merevlemezes egységet is. Ezzel már lehetőség van több száz megabájtos vagy egy terabájtos rainbow táblák használatára is. Ki is próbáltam, és 14 (valójában 2x7) karakter hosszú mindenféle jeleket tartalmazó LanMan hash-t fel tudtam törni vele fél órán belül. 8, 9 és 10 hosszú ntlm hash-ra is vannak rainbow táblák, de mivel azok több száz gigásak egyelőre még nem volt időm letöltögetni.

Kipróbáltam egy gép forensics-et is, erre az eszközre már egy több száz gigás merevlemez is bit szinten lementhető.

El se képzelnétek, hogy mennyi információ van a gépen és milyen jó kis toolok vannak már rá, hogy az információkat kiszedd egy ilyen kimentett lemez image-ből... :)

2013. július 12., péntek

Kamera

Ma vettem egy ilyen kamerát : http://www.lealkudtuk.hu/biztonsagi-infra-kamera-beepitett-rogzitovel-1553562240 a 8Gb-os memóra kártyával együtt se volt 20 ezer forint. Egész tűrhetően működik. Bár a hangfelvétele nem egy hifi nimőség :)
Tök sötétben is teljesen jó felvételt csinált (bár akkor az infra ledek világítanak így ez az üzemmód egy kicsit feltűnő)

A lényeg, hogy készítettem vele néhány próbát és egyelőre elég jónak tűnik. Mozgásra bekapcsol és felvesz egy bizonyos időtartamot. Ha folyamatos mozgolódás van, akkor folyamatosan veszi az eseményeket.

Ha fel lehet valahogy szerelni a plafonra, akkor jó billentyűzet lefigyelésre. Ha pedig el tudjuk rejteni valami mőgé (amin persze vágunk egy lyukat, hogy kilásson) akkor egész jó rejtett kamerás felvételeket lehet vele készíteni. Hálózatról (vagy PC/usb-ről) megy de ha akkumlátor kell hozzá akkor itt azt is kapunk: http://www.grando.hu/univerzalis-zseles-akkumulator-12v-7ah-act-1552939410 (mondjuk nem tudom, hogy az usb csatlakozót/tápkábelt hogy lehet az akkumulátorhoz illeszteni :)

Egy szó mint száz, sok mindenre fel lehet használni egy ilyen kis kütyüt "házi" (rejtett) videók készítésére, vagy ha jól el van helyezve, akkor akár jelszavak megszerzésére is. Ha sikerül a plafonon valahol rögzíteni elég jó felvételt tud készíteni.

Már csak a finomhangolásának kell utánajárni, hogy lehessen finomítani a rendszeren. Alapesetben mozgásra indul a felvétel, de ha nem csinálunk nagy mozdulatokat elég hamar le is áll. Mondjuk a jelszó begépéléséhez elegendő amit felvesz. (Feltéve, hogy az illető aki megjelenik a látótérben azzal kezdi, hogy belép a gépre)

Ennyi pénzért azt tudja mit hirdetnek. Ha azt veszem, hogy egy hardveres keylogger 40 ezer körül van, akkor mindenképpen valós alternatíva és megéri elgondolkodni a beszerzésén - annak aki nem tudja máshogy megszerezni az információt amire szüksége van.  Működőképes alternatívája lehet a (szoftveres/hardveres) keyloggernek.

Ha megtelik az SD drive akkor automatikusan felülírja a legutolsó állományt. 8 Gb-ra kb 24 óra anyaga fér rá, tehát, ha nem mozgásra indul hanem folyamatosan veszi fel az anyagot,, akkor egy 24 órára visszamenőleg lehet elmentett tartalmunk egy adott helyszínről. Kb 15 méterig vesz a tájékoztató szerint. Kell hozzá egy hosszabb USB toldó és akár kültérre is lehet alkalmazni (bár az időjárási viszontagságokat valószínűleg nem bírná)

Biztos léteznek jó kis heckelések hozzá (hogy lehet finomítani a paramétereken) majd utánanézek...

Budapesten a VII. ker. Damjanich utca 51-ben lehet megvenni a kamerát as SD kártyával együtt.

Nem hálózati kamera így informatikai biztonsági kockázata nincs. Távolról nem lehet sehogy hozzáférni az eszközhöz.

2013. július 10., szerda

Immerson

Ezt a cikket ma olvastam :

http://www.origo.hu/techbazis/20130709-ingyen-felterkepezheti-gmailjet.html

Mit is jelent ez egész pontosan? Ez azt jelenti, hogy ha valaki meg tudja szerezni az engedélyt a fiókunkhoz az Immerson alkalmazásához, akkor egy kapcsolati térképet tud készíteni a profilunkról kizárólag a levelezésünkre alapozva. (Különösebb ráfordítás nélkül)

Ez ellen esetleg úgy lehet védekezni, hogy minden olyan levelet törlünk (A kukából is, mert a sima törléskor csak a kukába kerül a levél és onnan még külön törölni kell) aminek a "feltérképezését" el szeretnénk kerülni. sajnos más védekezés ez ellen nincs (A nagy testvér - már megint - figyel)

Az engedélyhez való hozzájutás egyrész úgy lehet, ha valaki megszerzi a jelszavunk, illetve ha a Google ezt megadja hozzá..... (mert szerintem ilyen opció is van)

Az elárasztásos technika itt is működik: minél több emberrel tartjuk így a kapcsolatot annál szerteágazóbb és átláthatatlanabb lesz az így elkészült lista. A több száz kapcsolatból automatikusan kiszűrni, hogy melyek a formális és melyek az informális kapcsolatok nem könnyű.

Szerintem hamarosan lesz ilyen profilozó minden valamire való levelezőhöz (yahoomail, hotmail, freemail, stb) ... csak idő kérdése. Családtagok, ismerősök egymás utáni kémkedésénél is fel lehet használni a szoftvert.... Csak az ismerősünk jelszavát kell megszerezni és a program előállítja nekünk a kapcsolatrendszerét....

 Kipróbáltam a szoftvert és félelmetes.... A kapcsolataink közötti kapcsolatokat is feltérképezi a program (ezt valószínűleg a közös levelezések alapján teszi.) Tehát azt is megmutatja, hogy a velünk kapcsolatban állók egymással kapcsolatban állnak-e....

A következő fejlesztés szerintem az Anti-Immerson lesz, ami a googleból kiszedi a nemkívánatos elemeket, hogy az ilyen feltérképező szoftverek ne tudjanak értékes információhoz hozzájutni.... :D

Nyilván itt a veszély nem az, ha valaki a saját kapcsolatrendszerét fel tudja deríteni, hanem az, hogy olyanok is meg tudják ezt tenni akik úgy férnek hozzá a fiókunkhoz, hogy erről mi nem tudunk.

2013. július 3., szerda

Gray Hat Hacking 3rd Edition

Ma elkezdtem olvasgatni ezt a könyvet:





Innen le tudjátok tölteni:

http://it-ebooks.info/book/1917/

De akár on-line is lehet olvasni itt:

http://it-ebooks.info/read/1917/

Hackereknek, Pen Testelőknek, IT biztonsági szakembereknek kötelező olvasmány :)

Nagyok jó és komoly kis szakkönyv, ajánlom mindenkinek akinek van ideje és érdekli a téma. Ez olyan könyv, hogy szívesen meg is venném - lehet, hogy meg is veszem.