Actualidad

Gran acogida del congreso CiberTodos de Isaca Madrid


Hoy ha tenido lugar CiberTodos, el congreso de concienciación y divulgación de Isaca Madrid Chapter,  en el que se han dado cita algunos de los principales CIOs, CISOs, CSOs y Directores de Auditoría Interna de nuestro país.

Desde Zerolynx hemos acudido en calidad de patrocinador, y, además, hemos tenido la oportunidad de moderar una mesa dedicada a la Ciberinteligencia como valor en la anticipación de riesgos y amenazas.

En la mesa se han dado cita junto a nuestro CEO, Juan Antonio Calles, diferentes profesionales del sector financiero, energético y de la consultoría, que han podido dar respuesta a las cuestiones que se iban planteando. La mesa ha tenido una gran acogida entre el público asistente, que ha valorado positivamente el dinamismo y los temas tratados, de rabiosa actualidad y que han respondido a las problemáticas del día a día en las empresas.

Más información: https://www.linkedin.com/feed/update/urn:li:activity:6990628572893728768/

 

Zerolynx acude como expositor a Cyber Security World Madrid



El 26 y 27 de octubre tendrá lugar Cyber Security World Madrid, un encuentro nacional líder en ciberseguridad corporativa e institucional. Durante estos dos días, Ifema se convertirá en un espacio único en el que se presentarán las tendencias, herramientas y servicios más relevantes del sector.

Este año el evento promete reunir a más de 250 empresas expositoras líderes del mercado, más de 250 Keynote Speakers nacionales e internacionales y más de 8000 visitantes.

Desde Zerolynx nos complace anunciar que este año formaremos parte de Cyber Security World Madrid como expositores y esperamos que os animéis a compartirlo con nosotros. Os dejamos toda la información y la agenda, así como un enlace para que podáis obtener vuestra entrada. ¡Os esperamos en el stand A40!




Descifrando DDs de discos cifrados con Bitlocker durante un análisis forense digital



Hola a todos. Al hilo del artículo sobre análisis de intrusiones vía Team Viewer que compartí recientemente en Flu Project, me consultaba un compañero de sector sobre como abordar aquellos casos forenses en los que nos encontrábamos con un disco cifrado con Bitlocker. En estos casos es cierto que el procesado de un clonado dd no es inmediato, y tecnologías como Autopsy no aceptan, al menos sin scripts o plugins, el descifrado de estos discos, por lo que se hace necesario realizar un descifrado previo antes de poder pasárselo a una herramienta de análisis. Por suerte, ya existen herramientas que podemos utilizar, y una de las más usadas es bdemount.

De bdemount no hay mucho que contar. Como su propia descripción indica, mounts a BitLocker Drive Encryption (BDE) encrypted volume. Lo que sí necesitaremos conocer de antemano es, obviamente, la contraseña, y, a continuación, el offset donde comienza la partición. Hay vías para obtener la clave de bitlocker a partir de un dump de memoria con alguna herramienta como Volatility, pero eso lo dejaré para posteriores artículos.

Una vez clonado el disco del forense en formato dd, podremos listar su contenido mediante fdisk -l (el que esté o no cifrado no impide el clonado, por lo que hasta este punto no deberíamos tener mayores inconvenientes): 


Es posible que el disco contenga varias particiones, y la que os interese sea una en concreto, la cifrada. Esto lo podréis averiguar con el propio Autopsy o FTK Imager de forma visual:


O si sois más consoleros, con Hexdump:


Para saber si una partición se encuentra cifrada con Bitlocker podréis mirar los primeros bytes y os encontraréis con la siguiente cadena: "-FVE-FS-". Os dejo con un enlace muy interesante donde se dan muchos detalles técnicos acerca del cifrado de Bitlocker:

https://forensicswiki.xyz/wiki/index.php?title=BitLocker_Disk_Encryption

Con la partición de interés identificada, solo restará montarla de forma descifrada. Para ello, os dejo a continuación los parámetros a utilizar:

sudo bdemount -pCONTRASEÑA -o $((512*OFFSET)) clonadoforense.dd /media/destino

Recordad tener previamente una carpeta con permisos de escritura en destino. 


Ahora podréis trabajar con ella como consideréis. Podréis hacer otro dd de la partición descifrada, podréis analizarla desde, por ejemplo, la versión de Autopsy para Linux, podréis extraer archivos concretos como, por ejemplo, los logs de acceso a determinada aplicación, etc. etc.

Además de bdemount, también podréis utilizar otras herramientas como Dislocker para descifrar una partición cifrada con Bitlocker. Dislocker está disponible entre las herramientas de Kali. Os dejo con un post interesante de Stefan Rows, donde no solo explica como instalar y utilizar Dislocker, sino que también detalla como preparar un script de automontaje:

https://www.ceos3c.com/linux/open-bitlocker-drive-linux/

Finalmente, y por aportaros algo más de lectura sobre descifrado de Bitlocker para esta semana, quería dejaros por aquí un hilo de Twitter con el que me topé gracias a DragonJAR:


Una joya de hilo de Jon Aubrey, en el que muestra como logró descifrar precisamente, con Dislocker, un portátil cifrado, extrayendo la clave a nivel de hardware con un analizador de Saleae:



Con este hilo tendréis lectura para cacharrear un buen rato con algún portátil que tengáis a mano :)

Espero que haya sido de vuestro interés.

¡Saludos!