SKYPE FORENSIC - Blog de Omar

http://www.el-palomo.com – http://www.facebook.com/El.Palomo.Seguridad.Informacion

SKYPE FORENSIC:

Analizando un caso real

Omar Palomino Julio, 2012

[email protected]

Analizando Skype – Forense

http://www.el-palomo.com/



http://www.facebook.com/El.Palomo.Seguridad.Informacion

• Ing. Sistemas y Maestrista de Ing. de Computación y Sistemas, CEHv7, Security+, ITIL v3.

• Consultor en seguridad de información.

• Psicólogo que aun no comienza sus estudios….

• Escritor en mis tiempos libres:

http://www.el-palomo.com http://www.facebook.com/El.Palomo.Seguridad.Informacion

Twitter: @ElPalomo_Blog







Introducción al Forensic Skype

Análisis de archivos de

configuración: XML

Análisis de mensajes y

archivos: DB files

Conclusiones y contramedidas

AVISO Y CONSIDERACIONES LEGALES

Las técnicas mostradas en la presentación tienen por objetivo CONOCER las técnicas utilizadas por los hackers para penetrar y adueñarse de información confidencial.

La presentación NO TIENE POR OBJETIVO enseñar técnicas para realizar ataques que trasgredan la privacidad de las personas, la presentación tiene fines preventivos.

El autor no se hace responsable del mal uso de las técnicas mostradas en la presentación.


Introducción: EL CASO

Sospecha de fuga de información

Una compañía financiera ha notado que algunos clientes que tiene depositado su CTS (compensación de tiempo de servicio) son llamados constantemente por el principal competencia bancaria ofreciéndole mejores promociones. Es sospechoso que sólo llamen a aquellos usuarios que tienen una CTS por encima del promedio y hayan tenido algún problema con el actual banco. Se sospecha que existe algún trabajador que está enviando información a través de un medio no convencional (no correo) a la competencia, se ha revisado que algunos usuarios tienen instalado Skype, pudiendo ser este el medio por el cual se envía información confidencial.




configuración: XML


archivos: DB files


Introducción

¿Dónde almacena los mensajes Skype?

Skype almacena los mensajes enviados/recibidos, el historial de llamadas realizadas/recibidas, las fechas de los mensajes enviados/recibidos y los archivos enviados en una mini base de datos interna en todos los computadores donde hemos configurado nuestra cuenta.

WTF!!! ¿Un hacker provoco esto? La respuesta es NO, esta es la configuración de Skype por defecto. Aquí comienza todo…




configuración: XML


archivos: DB files


SKYPE Forense

Pero….. Seguramente Skype guarda los mensajes están encriptados De hecho NO, los mensajes están en texto claro y pueden ser leídos por cualquier persona con acceso al computador, sólo debe saber donde buscarlos. Adiós CONFIDENCIALIDAD de la información… espero verte pronto. Entonces…. ¿dónde están esos mensajes? C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_USER>\




configuración: XML


archivos: DB files


Skype como medio de comunicación




configuración: XML


archivos: DB files


Nivel empresarial A nivel empresarial existen muchas organizaciones que utilizan Skype como medio de comunicación oficial entre colaboradores, por lo que tener acceso a los mensajes enviados/recibidos y saber con quien se comunica una persona representa una vulnerabilidad que puede atentar contra la confidencialidad. Además, si Skype no fuera el software oficial de comunicación, las políticas de seguridad de la empresa pueden permitir el uso de este software (muy escurridizo para los firewalls) pudiendo enviar información otras personas, quizás a la COMPETENCIA sin poder ser registrados.

Análisis de archivos de configuración




configuración: XML


archivos: DB files


C:\Users\<PC_USER>\AppData\Roaming\Skype\ El archivo SHARED.XML contiene:

Última fecha de inicio de

sesión del usuario. Host Cache: Últimos nodos

utilizados por Skype para el inicio de sesión

Fecha de creación del archivo de configuración.

Dirección IP pública de donde se conectó el usuario.

Drivers utilizados para realizar una conferencia.


Sat, 28 Jul 2012 16:23:37 -5 GMT Última fecha de inicio de sesión

HostCache (IP Skype + Port) : 9D3782949C45 157.55.130.148:40005

1

2

Sat, 28 Jul 2012 12:53:58 -5 GMT Fecha de creación de archivo de configuración

4

c9e6363c La dirección IP Wan de donde se conectó: 201.230.54.60

3

An

álisis de

l archivo

SHA

RED

.XM

L

Análisis de archivos de configuración




configuración: XML


archivos: DB files


C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_user>

El archivo CONFIG.XML contiene:

Última fecha de inicio de

sesión del usuario. Fecha de creación del archivo

de configuración. Versión del instalador Skype. País de conexión Contactos añadidos Drivers de audio y video


An

álisis de

l archivo

CO

NFIG

.XM

L

País de conexión: Perú

5

Identificadores de Skype

3

Sat, 28 Jul 2012 16:23:37 -5 GMT Última fecha de inicio de sesión

1 Drivers configurados por el usuario en el

computador

6

Sat, 28 Jul 2012 12:53:50 -5 GMT Fecha de creación del archivo

2

Amigos de la cuenta de Skype analizada

4

Última versión de Skype configurada

7

Análisis de mensajes enviados




configuración: XML


archivos: DB files


C:\Users\<PC_USER>\AppData\Roaming\Skype\<Skype_user>

METADATA de Skype

Almacena las conversaciones realizadas con tus contactos a través de Skype

Tabla resumida de los contactos de Skype

Análisis del archivo MAIN.DB




configuración: XML


archivos: DB files


Tabla con las cuentas que han ingresado a Skype desde esta PC

CALLS: Llamadas realizadas desde la PC a otros usuarios CallMembers: Detalle de las llamadas (hora y fecha)

Chats: Identificación de las conversaciones mantenidas

Contacts: Contactos del usuario asociada a la cuenta de Skype

Messages: Mensajes enviados en cada conversación de Skype

Transfers: Historial de archivos transferidos con su respectio PATH

Análisis de la tabla: MESSAGES




configuración: XML


archivos: DB files


Mensaje que mantuvieron dos contactos de Skype

IMPORTANTE: Skype te exporta las conversaciones anteriores que hayas mantenido, inclusive aquellas que se realizaron este otra computadora.





configuración: XML


archivos: DB files


IMPORTANTE: Skype te exporta las conversaciones anteriores que hayas mantenido, inclusive aquellas que se realizaron este otra computadora.





configuración: XML


archivos: DB files


Archivo transferido PATH de los archivos

transferidos Fecha de envío de los

archivos

Tamaño de los archivos transferidos

Usuario de Skype a quien se le enviaron los archivos

CONCLUSIONES

SKYPE es un medio de comunicación eficiente pero debe evaluarse si debe ser el medio de comunicación oficial en una organización.

Todos los mensajes de SKYPE son almacenados en el computador de donde ingreses, debes eliminar los archivos de manera segura después de alguna conversación privada. ERASER: Es una herramienta free para hacer borrado seguro

Todos los detalles de configuración de Skype son almacenados en: SHARED.XML – CONFIG.XML

Todos los archivos transferidos, contactos, video y llamadas pueden ser identificadas en los logs.

Las conversaciones mantenidas con anterioridad son descargadas al computador y forman parte también de lo que se almacenará en los logs.




configuración: XML


archivos: DB files


Puedes ver este video en:


Blog: http://www.el-palomo.com/ Facebook: http://www.facebook.com/El.Palomo.Seguridad.Informacion/ Youtube: http://www.youtube.com/user/youta18 Twitter: @ElPalomo_Blog


SKYPE FORENSIC: Analizando un caso real

Omar Palomino Julio, 2012

[email protected]

Analizando Skype – Forense





SKYPE FORENSIC - Blog de Omar

Documents

Transcript of SKYPE FORENSIC - Blog de Omar