Como crear una cuenta de Twitter anónima

La sociedad y la tecnología han avanzado, y en esta última hemos pasado de unos inicios en lo que lo normal era que nadie supiera ni quien eras, como te llamabas o a lo que te dedicabas a “este soy yo”, y esto sucedía en los inicios de internet en España a mediados de los 90, con servicios como ibertex, infovia y la posterior llegada de las primeras lineas adsl en el año 2000,  la gente socializaba a través de canales como el IRC, ICQ y el posterior messenger de microsoft, el cual bajo mi humilde opinión, fue el punto de inflexión donde casi podríamos decir que cambio la forma en la que nos comunicábamos.

En un principio si utilizabas IRC lo único que necesitabas era un nickname (nick) y un programa para conectar a los servidores de IRC y entrar en los chats disponibles, nada más, ni correo electrónico, ni teléfono, ni preguntas secretas ni nada, tu identidad era un NICK, pero como digo la sociedad avanzo surgieron redes como messenger o similares, y la World Wide Web se abría camino a pasos agigantados al mismo tiempo que surgían empresas y gurus de la WWW hasta llegar a nuestros días,  en las que todo el mundo esta “conectado”, padres, madres, abuelos, todos, sólo quedan unos pocos irreductibles que se resisten al cambio.
Pero todo éste avance también ha traído algunas contras, una de ellas y principal caballo de batalla para algunos, es la privacidad y el uso que hacen algunas empresas con nuestros datos, todas quieren que utilicemos su última app, eso sí, previo registro y aceptación de políticas de privacidad en alguna ocasión un tanto dudosas, pero como dice el sabio refranero Español, son lentejas si quieres las comes, y si no las dejas.

Aunque el anonimato y privacidad en algunas ocasiones, más que una elección o “pago” por el uso de estos servicios, es una necesidad, esto puede ser debido a la situación política o conflicto en un país o periodistas que para informar a la opinión pública necesiten mantener el anonimato.
Y claro está, que para conseguirlo tendremos que cumplir algunos requisitos, y si en el ámbito de la seguridad siempre decimos que esta no existe al 100%, con el anonimato podemos decir lo mismo, antes de empezar a registrarnos en twitter (nuestro caso), debemos empezar desde el inicio del registro de una forma anónima, lo máximo posible, ¿como? facil, debemos empezar a utilizar TOR o una VPN, y tampoco nos valen todas, debemos buscar una que por ejemplo, no guarde Logs de nuestras conexiones, o algo más complicado, el medio de pago.

tor
En cuanto a Tor es más fácil, te puedes descargar Tor Browser para tu sistema operativo y empezar a navegar sin muchas complicaciones, ya depende de cada uno si entra en temas de configuración o si por “default” te vale.

Pero el asunto de la VPN puede ser un poco más complicado, sobre todo el método de pago ¿para que me sirve una red anónima si tengo que realizar el pago con mi tarjeta bancaria? Bueno, tenemos algunos proveedores de este servicio que entre otras opciones en cuanto a logs, ubicación o política de privacidad nos facilitan el pago de manera anónima, aquí os dejo este análisis de torrentfreak que os puede servir para la elección de una VPN.

Pero como hemos dicho para cualquier registro es casi siempre necesario una cuenta de e-mail, y esta debe ser también lo más anónima posible, y para hacernos con una y proceder a los posteriores registros yo recomiendo utilizar la red Tor en un principio.
Si ya estamos navegando con la red Tor, ya podemos comenzar con el registro de nuestra cuenta de correo, yo recomendaría Tutanota (El proceso de alta puede tardar hasta 48 horas) que además de no pedir otra cuenta de correo con la cual se nos pueda vincular de alguna manera,  los correos son cifrados  y es un proyecto de código abierto, es mi recomendación, pero seguro que si “buceas” un poco por la red, encuentres algo similar.
Una vez tengamos nuestra cuenta de correo, el siguiente paso es registrase en twitter como es nuestro caso o cualquier  otro servicio que queramos, pero cuidado, últimamente muchas redes o apps de mensajería te piden un número de teléfono, aquí nos encontramos con un obstáculo un tanto complicado de sortear si lo que queremos es anonimato, pero no todo esta perdido.

patosms

Y para sortear este obstáculo necesitamos suerte, sí, suerte, técnicamente es fácil conseguir un número de teléfono móvil para continuar y verificar el registro de una cuenta de twitter, pero lo mismo que estamos haciendo nosotros lo esta haciendo más gente para darse de alta en la misma red social o servicio, utilizando el mismo número.
Existen cientos de estas paginas web que puedes encontrar con una simple búsqueda en Internet, con hacer una búsqueda con el termino “receive free sms” podemos encontrarlas. Estas web’s ofrecen algunos números de teléfono gratuitos en el que recibir mensajes de texto, pero al ser gratuitos son utilizados por miles de personas, por lo que la suerte en este caso sera importante, seguramente deberemos probar con varios números o incluso intentarlo otro día, pero si lo que queremos es anonimato y privacidad es el pequeño pago que tendremos que hacer, tiempo.

Si conseguimos activar nuestra cuenta ya dispondremos de una cuenta en twitter anónima, pero ademas, si no habías realizado esto antes, ahora y gracias a Tor navegas anónimamente por la red y tienes una cuenta de correo anónima también, pero cuidado, si lo que quieres es continuar en el anonimato ojo a lo que publicas y como, es más, quizas Twitter no sea el lugar más indicado 😉

Informática Forense. Recuperación en la $MFT. Cuándo, cómo y a veces porque no se puede…

Muy buenas amigos, ya me encuentro de vuelta para seguir compartiendo mis escasos conocimientos con quien le puedan servir de algo. Lo se, tenía que haber vuelto a escribir antes pero, ¿qué queréis que os diga? Los sanfermines fueron muy duros señores…

Antes de nada, quisiera dedicar estas humildes líneas a un compañero que esta trabajando por el bien y la seguridad común de todos nosotros.Y además, creo que esta trabajando en mi tierra. Marcos, esta entrada como te prometí va por ti.

¿De que vamos a hablar hoy? De un tema que realmente siempre acaba saliendo cuando se realiza un análisis forense a Windows, los problemas que hay con la $MFT o Master File Table.

Hasta aquí se había comentado de su importancia  a la hora de realizar un dictamen pericial en entornos Windows y sin duda la tiene, pero, por poner un ejemplo, ¿qué pasa si se borra un archivo del disco duro? ¿Se puede recuperar siempre?¿Hasta dónde se puede recuperar información? ¿Se puede llegar a perder información del disco o de la $MFT? ¿Qué podemos llegar a extraer?¿Qué podemos perder?¿Qué pasaría si un presunto delincuente malintencionado, borra archivos y luego hace una restauración a un punto de, por poner un ejemplo, 2 años atrás? Por poner algunos ejemplos que os pongan en situación… Pues bien, para explicarlo va este post.

 

¿Qué es la $MFT? La $MFT, Master File Table, es el archivo más importante en un sistema de archivos NTFS. Realiza un seguimiento de todos los archivos en el volumen, su ubicación lógica en carpetas, su ubicación física en el disco, y los metadatos de los archivos, incluyendo:

  1. Fecha de Creación, de modificación, fecha de acceso, así como la última fecha de acceso al archivo, todo esto como información estandard.
  2. El tamaño y peso del archivo
  3. (Permisos de acceso de seguridad) para el archivo

Toda esta información se va almacenando como entradas dentro de la $MFT.

reading

Las entradas de la $MFT tienen un tamaño de 1024 bytes, de serie. Cada archivo y carpeta, tiene que tener una entrada en la $MFT, para ser reconocido por el ordenador, incluyendo la propia $MFT.

Las primeras 16 entradas de la $MFT están reservados para los archivos de sistema NTFS, éstos incluyen:

$MFT, $MFT Mirror(espejo) y $Bitmap (mapa de bits).

Llegado aquí, considero importante incidir en un par de puntos apara que los tengáis en cuenta de ahora en adelante:

  1. La primera entrada en la $MFT es una descripción muy completa de lo que hay dentro.
  2. La segunda entrada es el espejo (mirror) es una copia de seguridad de las primeras entradas de la $MFT por si hubiera algún problema de pérdida de datos en la primera. Quisiera insistir en este punto ya que es bastante importante y en mas de una ocasión os salvará el pellejo, si por el motivo que fuera le pasara algo a la principal.

 

Aprovecho, ya que estamos a ello, para recordar que la $MFT, contiene toda mucha información acerca de todo el sistema de archivos. Por poner un ejemplo, correos electrónicos, también son archivos, de modo que también se pueden buscar ahí.

 

Vale, todo esto está muy bien pero…

happend

La $MFT puede expandirse pero nunca contraerse (evidentemente  me estoy refiriendo a unas condiciones normales de uso).

Este punto es muy importante para la informática forense, amigos investigadores, ya que afecta tanto a la recuperación de datos, como a la identificación propiamente dicha de los archivos borrados, así como de la información  contenida (creación, accesos, modificación…etc).

Un dato que muchas personas no conocen, es que cuando se elimina un archivo del disco duro, su entrada $MFT se marca como lista para ser reutilizada. Esta entrada seguirá existiendo hasta que se sobrescriba con una nueva entrada generada por un archivo nuevo en el disco duro. Cuando un nuevo archivo es creado en el disco duro, se sobrescribe la siguiente entrada $MFT disponible, si no hay entradas disponibles para ser sobrescritas a continuación, la MFT comenzará a expandirse. Esto amigos míos, es importante tenerlo en cuenta de ello puede depender o no que podamos recuperar algo o no de información.

como-se-llama-el-inspector-de-la-pantera-rosa

Os pongo un ejemplo para facilitar su comprensión:

  • Un trabajador es despedido de su puesto y su equipo se reutiliza por otro compañero por aquello de optimizar recursos (una opción muy comprensible con los tiempos que corren).
  • Mientras se inicia un proceso de negociación para evitar tener que ir a juicio, el equipo sigue funcionando con total normalidad.
  • Se presupone que ha podido borrar información de la empresa, ¿qué podría pasar a nivel de investigación forense? Muy fácil, sobre las entradas en la $MFT de esas evidencias  “presuntamente” borradas, se van sobrescribiendo las nuevas entradas. Esto nos lleva a que nos podemos enfrentar a que no encontremos ni las evidencias, ni nada de información sobre ellas. Reflexionad sobre esto y sobre como lo podríamos evitar con planificación y sentido común.

Os pongo unos ejemplos mas:

  1. Ejemplo 1:

Si hay 200 entradas de la MFT y un archivo, el archivo X, se borra y luego 1.000 archivos más están creadas inmediatamente después de la entrada MFT para el archivo X se sobrescribe. Aunque los contenidos del archivo pueden existir en el disco duro, la entrada MFT que incluye el nombre, metadatos, etc., se sobrescribe.

 

  1. Ejemplo 2:

Hay 3000 entradas en la $MFT. 100 se suprimen y 2 nuevos archivos se añaden inmediatamente a la unidad. Por lo tanto 98  de las 100 entradas deben ser recuperables. Aunque si los datos de los ficheros son recuperables o no, dependerá de si han sido sobrescritos o no.

 

¿Mas claro así verdad?

 

Nota:

Los datos en si (el archivo en cuestión), están separados de la entrada MFT. Esto da lugar a varias posibilidades tanto durante la eliminación como el posterior uso de un disco duro. Se podría borrar la entrada y los archivos podrían ser extraidos. Unos ejemplos ayudarán a mejorar la comprensión de esto:

1) El archivo se elimina pero la entrada MFT y los datos del archivo son 100% recuperables. El archivo borrado puede ser 100% recuperado.

2) El archivo se elimina y la entrada en la $MFT es recuperable, pero una parte de los datos del archivo se sobrescribe. Esto significa que el archivo sólo se puede recuperar PARCIALMENTE.

3) El archivo se elimina y la entrada $MFT es recuperable, pero los datos del archivo están sobrescritos. El archivo no es recuperable, pero si el information about ( archivo, nombre, fechas, tamaños, etc ).

4) El archivo se elimina y la entrada y archivo de datos en la $MFT es 100% recuperable. El archivo se pierde el 100%. No obstante, con una adecuada investigación forense podríamos extraer una gran cantidad de información sobre el archivo, a través de la $MFT.

5) El archivo se elimina y la $MFT 100%, pero al sobreescribirse los datos del archivo no han sido del 100% sobrescritos. El archivo restante puede ser extraído desde el espacio no asignado en el disco duro. La capacidad de extraer los datos dependerá de la fragmentación, la cantidad de datos recuperables (que podría ser 100% o un 10%) y la naturaleza en si del propio archivo.

Como podéis ver es importante, sumamente importante para una análisis en entornos windows, el tener en cuenta este tema. Espero no haber aburrido mucho a nadie con este tema. 😉

De momento ya vale por hoy, me parece  bastante interesante este tema y os animo a que lo tengáis en cuenta para futuras indagaciones que os toque realizar. ¡Un saludo!

 

Nueva incorporación de @Santityki al equipo de Aprendiz de sysadmin

Hola a todos:

Desde los frescos lares del norte de España, hemos fichado en el equipo de este blog a nuestro amigo Iñaki Gorriti aka @SantityKi en twitter, un gran profesional  y mejor persona, está especializado en sistemas Windows y Seguridad, una incorporación que muchos lectores del blog agradecerán ya que este hombre es un pozo sin fondo de conocimiento y que sin duda alguna enriquecerá los contenidos de este humilde blog.

Bienvenido mestre @SantityKi.

 

Reseteando la contraseña de root en debian

Hola amigos, tras unas semanas de “relaxing”, volvemos a la carga con la serie de hardening linux, como somos algo meticulosos y no nos gusta hacer las cosas a medias, la idea de esta serie es demostrar que pasa o que podría pasar si no implementamos las recomendaciones que os damos el equipo de aprendizdesysadmin así que sin más vacilación empezemos.

El post de hoy es como atacar o “recuperar” la contraseña de root de un sistema DEBIAN, siguiendo el post de nuestro amigo @israelmgo  “Guía Hardening – Seguridad en la bios y bootloader” .

Hoy le daremos un poco de cera al grub, para eso necesitaremos también el concepto de single user mode, que como esta explicado en infinidad de sitios, no lo vamos a explicar nosotros. Además tenéis que tener en cuenta que para esta técnica necesitais tener acceso físico a la máquina.

Al tajo:

Cuando iniciamos una máquina debian nos encontraremos con nuestro grub tal que asi:

grub1

Si os fijáis en el cuadro rojo, veréis que tenemos la opción de editar las entradas que queremos, para nuestro caso pulsaremos “e”  sin comillas para realizar las modificaciones que nos interesa.

Nos aparecerá una pantalla donde buscaremos la siguiente línea:

linux    /boot/vmlinuz-3.16.0-4-amd64 root=UUID=d6b3160f'-7e1f-486e-bdb0-4ff960afc0a7 ro quiet

y lo modificamos con lo siguiente:

grub2

Ojo, cambiamos el ro (read only) por rw (read write) y al final de la línea añadimos init=”/bin/bash” y posteriormente pulsamos F10.

Si por cualquier cosa, no hemos cambiado el ro por rw, tras iniciarse en single mode nos daremos cuenta que el sistema está en modo ro (read only), y necesitaremos ejecutar el comando “mount -rw -o remount /” sin comillas para dejar el sistema en read write ANTES de ejecutar el passwd, ya que si lo ejecutamos en modo ro, nos dará error.

El sistema rearranca en single mode, y nos permitirá ejecutar el comando passwd con el que reiniciaremos la contraseña de root.

singlemode

Posteriormente, pulsamos ctrl+alt+sup para reinicar el equipo, y comprobamos que al realizar un su e introducir la nueva contraseña funciona correctamente.

crackeado

Habiendo seguido las indicaciones del post de nuestro amigo @israelmgo, esto se habría evitado… y esto es todo, espero que os guste el post.