Volatility Framework

El Volatility Framework es una colección completamente abierta de herramientas, implementadas en Python bajo la Licencia Pública General de GNU, versión 2. Los analistas utilizan Volatility para la extracción de artefactos digitales a partir de muestras de memoria volátil (RAM). Dado que Volatility es de código abierto y gratuito, puedes descargar el framework y comenzar a realizar análisis avanzados sin pagar un solo centavo. Además, cuando se trata de entender cómo funciona tu herramienta internamente, nada se interpone entre tú y el código fuente: puedes explorarlo y aprender todo lo que desees.

¿Por qué Volatility?

Antes de comenzar a usar Volatility, debes entender algunas de sus características únicas. Como se mencionó anteriormente, Volatility no es la única aplicación de análisis forense de memoria, pero fue diseñada específicamente para ser diferente. Estas son algunas de las razones por las que rápidamente se convirtió en nuestra herramienta preferida:

• Un único y coherente framework. Volatility analiza la memoria de sistemas Windows, Linux, Mac de 32 y 64 bits (y Android de 32 bits). Su diseño modular le permite admitir fácilmente nuevos sistemas operativos y arquitecturas a medida que se lanzan.

• Es de código abierto bajo la licencia GPLv2. Esto significa que puedes leer el código fuente, aprender de él y extenderlo. Al aprender cómo funciona Volatility, te convertirás en un analista más eficaz.

• Está escrito en Python. Python es un lenguaje consolidado en el ámbito forense y de ingeniería inversa, con una gran cantidad de bibliotecas que pueden integrarse fácilmente en Volatility.

• Funciona en sistemas de análisis Windows, Linux o Mac. Volatility se ejecuta en cualquier sistema donde se pueda instalar Python, lo cual representa un cambio refrescante frente a otras herramientas de análisis de memoria que solo funcionan en Windows.

• Interfaz de programación de aplicaciones (API) extensible y programable. Volatility te brinda el poder de ir más allá e innovar continuamente. Por ejemplo, puedes usar Volatility para controlar un entorno de análisis de malware (sandbox), realizar introspección de máquinas virtuales (VM) o simplemente explorar memoria de kernel de forma automatizada.

• Conjunto de funciones inigualable. Sus capacidades se han incorporado al framework gracias a la ingeniería inversa y a investigaciones especializadas. Volatility ofrece funcionalidades que incluso el depurador de kernel de Microsoft no soporta.

• Cobertura integral de formatos de archivo. Volatility puede analizar volcados de memoria (raw dumps), volcados por fallos (crash dumps), archivos de hibernación y varios otros formatos (ver Capítulo 4). Incluso puedes convertir entre estos formatos en ambas direcciones.

• Algoritmos rápidos y eficientes. Esto te permite analizar volcados de memoria RAM de sistemas grandes en una fracción del tiempo que toman otras herramientas, y sin consumir memoria innecesaria.

• Comunidad seria y poderosa. Volatility reúne colaboradores de empresas comerciales, agencias de aplicación de la ley e instituciones académicas de todo el mundo. También es utilizado y ampliado por grandes organizaciones como Google, laboratorios nacionales del Departamento de Defensa de EE.UU., DC3 y múltiples empresas de antivirus y seguridad.

• Enfocado en análisis forense, respuesta a incidentes y malware. Aunque Volatility y Windbg comparten algunas funciones, fueron diseñados con propósitos diferentes. Hay varios aspectos que son muy importantes para los analistas forenses pero no tanto para quien depura un controlador de kernel (como el almacenamiento no asignado, artefactos indirectos, etc.).

Read More

Introducción a la Redundancia en Redes

 

La redundancia puede ser definida como el método llevado a cabo para garantizar la continuidad de un servicio aun cuando uno o varios de sus componentes fallan o no operan con normalidad. Su función resulta de vital importancia, sobre todo en elementos críticos de cualquier tipo de infraestructura. Por ejemplo, un avión está compuesto por dos motores, si uno presenta errores o simplemente no es utilizado, puede continuar volando perfectamente haciendo uso del otro. En el ámbito de las comunicaciones, la redundancia puede y debe ser implementada en prácticamente la totalidad de sus componentes, desde múltiples enlaces para no perder conectividad de extremo a extremo hasta evitar problemas de hardware mediante la duplicidad de fuentes de alimentación o procesadores. Gracias a su aplicación a todos los niveles se hace posible lograr una de las mayores metas en cualquier red, que esta se mantenga operativa el 99,9% del tiempo, traduciéndose en mayor productividad para la compañía, mejor escalabilidad y menor tiempo durante la resolución de problemas.

Un ejemplo bastante sencillo de la diferencia entre una red no redundante (a nivel de enlaces entre switchs) y otra que sí lo es podría ser el siguiente:

Enlace no redundante

Donde SwA y SwB conectan entre sí a través de un solo enlace, lo que representa un único punto de fallo (single point of failure). En la práctica, si este cae, la comunicación entre la red de usuarios y el servidor de aplicaciones no podrá llevarse a cabo. Imagina que las operaciones dependen por completo de dicho servidor, el problema resulta evidente.

Una manera de solucionarlo consiste en implementar redundancia de enlace entre ambos dispositivos, tal que:

Enlace redundante

Gracias a lo cual, si alguno de los tres enlaces entre SwA y SwB cae, la comunicación entre la red de usuarios y el servidor de aplicaciones no se vería afectada. Incluso fallando un segundo, se mantendría operativa a través del link restante.

Durante el diseño de una topología resulta sumamente importante tener en cuenta y planificar la redundancia. Hay que analizar diferentes aspectos sobre un diseño de red eficiente, haciendo mención a las diferentes capas que este debe contemplar. Bien, la capa de acceso está compuesta por dispositivos finales y un fallo en cualquiera de ellos no supone la pérdida de disponibilidad en la red. Sin embargo, la caída de cualquier enlace físico que intervenga en la comunicación entre las diferentes capas tendrá como consecuencia problemas graves de conectividad, por lo que en este caso resulta imprescindible aplicar sistemas redundantes. Además, en elementos críticos como switchs o routers también se hace necesaria a nivel de hardware.

Read More

¡LAS COOKIES!

 

¿Qué son las cookies?

Todo el mundo las conoce, pero no todos saben lo que hacen exactamente. En principio, las cookies son solo pequeños archivos de texto normales. Los sitios web las almacenan en el smartphone o disco duro del ordenador y, si vuelves a visitar esa web en el futuro, se te reconocerá como visitante recurrente. Esto tiene la ventaja de que, por ejemplo, la cesta de la compra de una tienda online siga conteniendo los productos que pusieras en ella hace unos días, o que te mantengas conectado con tu cuenta de usuario, con lo que evitas tener que volver a introducir tus datos.

¿Qué aportan los avisos de las cookies?

Este tipo de avisos se encuentran en todas las páginas web, porque los legisladores europeos querían garantizar una mayor transparencia de uso para los usuarios. Pero, en el día a día, esto se ha convertido en un procedimiento realmente molesto, que requiere que realices muchos clics. Sin embargo, con ellos, entre otras cosas puedes ver qué empresas están autorizadas a almacenar o recuperar información, cuando visites un sitio web. A menudo, se trata de decenas (incluso cientos) de empresas de las que nunca has oído hablar. Y, en la mayoría de los casos, tienes la posibilidad de retirar tu consentimiento total o parcialmente y seguir viendo el sitio web. Sin embargo, entonces puede que algunos contenidos dejen de funcionar. Y, aunque la legislación europea ahora obliga a los propietarios de las web a ofrecer todo su contenido (aunque se hayan rechazado las cookies), fuera de Europa eso no tiene por qué funcionar.

Como casi todos los sitios web utilizan cookies, todos tienen que indicarlo así. Pero a la mayoría de los usuarios nos parece una lata y, al final, muchos se ahorran los constantes clics y hace mucho que se han acostumbrado a pulsar en Aceptar todo.

¿Son peligrosas las cookies?

En primer lugar, una cookie no es da- ñina per se, ni tampoco es un virus. Pero no solo las páginas que visitas guardan cookies, sino también las redes de publicidad y otras empresas de análisis que están interesadas en los destinos web a los que se dirigen los usuarios. Las llamadas cookies de seguimiento (tracking cookies) garantizan que si buscas luces de Navidad en la página A, veas anuncios de luces de Navidad en la página B, incluso días después. De este modo, la empresa publicitaria sabe con exactitud lo que le interesa a un usuario concreto. Por suerte, no puede asignarse a una persona precisa, por ejemplo Eva Molinero, en la Calle Mayor, 47. Al menos no solo con las cookies.

¿Qué se puede hacer?

Todos los navegadores tienen una función que te permite eliminar las cookies. En la configuración de Chrome, por ejemplo, se encuentra en Seguridad y privacidad y Borrar datos de navegación. Sin embargo, existen otros métodos para reconocer a un visitante que vuelve al mismo sitio, incluso sin la ayuda de las cookies. Lo hace posible el llamado Browser Fingerprinting, es decir, la ‘huella digital del navegador’ que se crea mediante la combinación de diversos datos técnicos como pueden ser la resolución de tu pantalla, los complementos instalados o el sistema operativo que usas. Por suerte, también puedes evitar eso con software adicional como Anti Browser Spy.

Read More

Enrutamiento de Capa 3

 

Seguramente has escuchado hablar del enrutamiento IP y que este se realice en la capa 3 según el modelo de referencia OSI, pero... ¿cómo funciona el enrutamiento de capa 3?

Los dispositivos involucrados en el enrutamiento de capa 3 realizan las siguientes funciones:

• Los paquetes se reenvían entre redes basándose en direcciones de capa 3.

• El camino óptimo entre dos puntos se calcula teniendo en cuenta diferentes métricas como pueden ser saltos, retraso, ancho de banda, combinación de las anteriores, etc.

• Para reenviar un paquete el router busca en la tabla de enrutamiento cual es la dirección IP del siguiente salto para el destino concreto y el interfaz saliente del router.

• El camino óptimo para un destino puede ser elegido entre varias posibilidades, incluso puede ocurrir que existan varios caminos óptimos.

• Los routers se comunican entre sí utilizando protocolos de enrutamiento o routing.

• Los paquetes de broadcast no se reenviarán (excepto en casos muy concretos). Los paquetes de multicast se reenviarán dependiendo de la configuración que tengan los routers.

En el caso del enrutamiento de capa 3 es posible realizar una segmentación de la red para controlar los broadcasts debido a que los broadcasts no son reenviados.

En cuanto al direccionamiento en el caso del enrutamiento de capa 3 es posible realizar un direccionamiento lógico, ya que se disponen de mecanismos para traducir esas direcciones lógicas de capa 3. Por ejemplo, ARP (Protocolo de Resolución de Direcciones) permite relacionar unívocamente direccionamiento IP (direccionamiento lógico capa 3) con direccionamiento MAC (direccionamiento físico capa 2).

En el caso del enrutamiento de capa 3, el router debe leer la cabecera para conocer el destino, en este proceso además es posible implementar alguna política de seguridad dependiendo de las direcciones de origen y destino.

En el enrutamiento de capa 3 las decisiones de ruta se realizan de forma constante con recursos intensivos de CPU, utilizando ciclos, lo cual desencadena un retardo en la toma de decisión.

Read More

Herramientas antiespias para Windows

 

Cuando instalas Windows 10 o Windows 11, el sistema te realiza un montón de preguntas relacionadas con la recolección de datos, que debes permitir o denegar. Sin embargo, el sistema operativo sigue espiándote de todas formas y de múltiples maneras. La buena noticia es que es posible limpiar el equipo de todos estos registros indeseados, que toman nota de tus hábitos de uso: qué aplicaciones empleas, qué webs visitas, qué archivos abres... O&O Shutup está especializado en modiicar el Registro de Windows para cerrar estas ‘puertas’ del sistema.

Consigue el programa, que es gratuito, desde la web 

----- www.oo-software.com/en/shutup10 -----

Instálalo luego. Su uso es relativamente sencillo, ya que simplemente debes leer las diferentes opciones disponibles y desactivar aquellas que quieras desechar. En la columna Recomendado, hallarás disponibles las recomendaciones del programa sobre qué ajuste es el mejor en la mayoría de los casos.

O&O ShutUp10++ significa que usted tiene control total sobre qué funciones de confort en Windows 10 y Windows 11 desea usar, y usted decide cuándo la transferencia de sus datos va demasiado lejos. Usando una interfaz muy simple, usted decide cómo Windows 10 y Windows 11 deben respetar su privacidad al decidir qué funciones no deseadas deben desactivarse.

O&O ShutUp10++ es completamente gratuito y no es necesario instalarlo; simplemente se puede ejecutar directa e inmediatamente en su PC. ¡Y no instalará ni descargará posteriormente software no deseado o innecesario, como hacen muchos otros programas hoy en día!

Read More