Download - SKYPE FORENSIC - Blog de Omar
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
SKYPE FORENSIC:
Analizando un caso real
Omar Palomino Julio, 2012
Analizando Skype – Forense
• Ing. Sistemas y Maestrista de Ing. de Computación y Sistemas, CEHv7, Security+, ITIL v3.
• Consultor en seguridad de información.
• Psicólogo que aun no comienza sus estudios….
• Escritor en mis tiempos libres:
http://www.el-palomo.com http://www.facebook.com/El.Palomo.Seguridad.Informacion
Twitter: @ElPalomo_Blog
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
AVISO Y CONSIDERACIONES LEGALES
Las técnicas mostradas en la presentación tienen por objetivo CONOCER las técnicas utilizadas por los hackers para penetrar y adueñarse de información confidencial.
La presentación NO TIENE POR OBJETIVO enseñar técnicas para realizar ataques que trasgredan la privacidad de las personas, la presentación tiene fines preventivos.
El autor no se hace responsable del mal uso de las técnicas mostradas en la presentación.
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción: EL CASO
Sospecha de fuga de información
Una compañía financiera ha notado que algunos clientes que tiene depositado su CTS (compensación de tiempo de servicio) son llamados constantemente por el principal competencia bancaria ofreciéndole mejores promociones. Es sospechoso que sólo llamen a aquellos usuarios que tienen una CTS por encima del promedio y hayan tenido algún problema con el actual banco. Se sospecha que existe algún trabajador que está enviando información a través de un medio no convencional (no correo) a la competencia, se ha revisado que algunos usuarios tienen instalado Skype, pudiendo ser este el medio por el cual se envía información confidencial.
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Introducción
¿Dónde almacena los mensajes Skype?
Skype almacena los mensajes enviados/recibidos, el historial de llamadas realizadas/recibidas, las fechas de los mensajes enviados/recibidos y los archivos enviados en una mini base de datos interna en todos los computadores donde hemos configurado nuestra cuenta.
WTF!!! ¿Un hacker provoco esto? La respuesta es NO, esta es la configuración de Skype por defecto. Aquí comienza todo…
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
SKYPE Forense
Pero….. Seguramente Skype guarda los mensajes están encriptados De hecho NO, los mensajes están en texto claro y pueden ser leídos por cualquier persona con acceso al computador, sólo debe saber donde buscarlos. Adiós CONFIDENCIALIDAD de la información… espero verte pronto. Entonces…. ¿dónde están esos mensajes? C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_USER>\
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Skype como medio de comunicación
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Nivel empresarial A nivel empresarial existen muchas organizaciones que utilizan Skype como medio de comunicación oficial entre colaboradores, por lo que tener acceso a los mensajes enviados/recibidos y saber con quien se comunica una persona representa una vulnerabilidad que puede atentar contra la confidencialidad. Además, si Skype no fuera el software oficial de comunicación, las políticas de seguridad de la empresa pueden permitir el uso de este software (muy escurridizo para los firewalls) pudiendo enviar información otras personas, quizás a la COMPETENCIA sin poder ser registrados.
Análisis de archivos de configuración
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
C:\Users\<PC_USER>\AppData\Roaming\Skype\ El archivo SHARED.XML contiene:
Última fecha de inicio de
sesión del usuario. Host Cache: Últimos nodos
utilizados por Skype para el inicio de sesión
Fecha de creación del archivo de configuración.
Dirección IP pública de donde se conectó el usuario.
Drivers utilizados para realizar una conferencia.
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Sat, 28 Jul 2012 16:23:37 -5 GMT Última fecha de inicio de sesión
HostCache (IP Skype + Port) : 9D3782949C45 157.55.130.148:40005
1
2
Sat, 28 Jul 2012 12:53:58 -5 GMT Fecha de creación de archivo de configuración
4
c9e6363c La dirección IP Wan de donde se conectó: 201.230.54.60
3
An
álisis de
l archivo
SHA
RED
.XM
L
Análisis de archivos de configuración
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_user>
El archivo CONFIG.XML contiene:
Última fecha de inicio de
sesión del usuario. Fecha de creación del archivo
de configuración. Versión del instalador Skype. País de conexión Contactos añadidos Drivers de audio y video
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
An
álisis de
l archivo
CO
NFIG
.XM
L
País de conexión: Perú
5
Identificadores de Skype
3
Sat, 28 Jul 2012 16:23:37 -5 GMT Última fecha de inicio de sesión
1 Drivers configurados por el usuario en el
computador
6
Sat, 28 Jul 2012 12:53:50 -5 GMT Fecha de creación del archivo
2
Amigos de la cuenta de Skype analizada
4
Última versión de Skype configurada
7
Análisis de mensajes enviados
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_user>
METADATA de Skype
Almacena las conversaciones realizadas con tus contactos a través de Skype
Tabla resumida de los contactos de Skype
Análisis del archivo MAIN.DB
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Tabla con las cuentas que han ingresado a Skype desde esta PC
CALLS: Llamadas realizadas desde la PC a otros usuarios CallMembers: Detalle de las llamadas (hora y fecha)
Chats: Identificación de las conversaciones mantenidas
Contacts: Contactos del usuario asociada a la cuenta de Skype
Messages: Mensajes enviados en cada conversación de Skype
Transfers: Historial de archivos transferidos con su respectio PATH
Análisis de la tabla: MESSAGES
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Mensaje que mantuvieron dos contactos de Skype
IMPORTANTE: Skype te exporta las conversaciones anteriores que hayas mantenido, inclusive aquellas que se realizaron este otra computadora.
Análisis de la tabla: MESSAGES
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
IMPORTANTE: Skype te exporta las conversaciones anteriores que hayas mantenido, inclusive aquellas que se realizaron este otra computadora.
Análisis de la tabla: MESSAGES
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Archivo transferido PATH de los archivos
transferidos Fecha de envío de los
archivos
Tamaño de los archivos transferidos
Usuario de Skype a quien se le enviaron los archivos
CONCLUSIONES
SKYPE es un medio de comunicación eficiente pero debe evaluarse si debe ser el medio de comunicación oficial en una organización.
Todos los mensajes de SKYPE son almacenados en el computador de donde ingreses, debes eliminar los archivos de manera segura después de alguna conversación privada. ERASER: Es una herramienta free para hacer borrado seguro
Todos los detalles de configuración de Skype son almacenados en: SHARED.XML – CONFIG.XML
Todos los archivos transferidos, contactos, video y llamadas pueden ser identificadas en los logs.
Las conversaciones mantenidas con anterioridad son descargadas al computador y forman parte también de lo que se almacenará en los logs.
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Introducción al Forensic Skype
Análisis de archivos de
configuración: XML
Análisis de mensajes y
archivos: DB files
Conclusiones y contramedidas
Puedes ver este video en:
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
Blog: http://www.el-palomo.com/ Facebook: http://www.facebook.com/El.Palomo.Seguridad.Informacion/ Youtube: http://www.youtube.com/user/youta18 Twitter: @ElPalomo_Blog
http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion
SKYPE FORENSIC: Analizando un caso real
Omar Palomino Julio, 2012
Analizando Skype – Forense