Tag Archives: Seguridad Informatica

Las Fiestas y el Malware

Posted on 15 diciembre, 2011 by
No comments

Llegan las fiestas de Fin de Año y como ya es costumbre surgen muchos tipos de malware, que buscan aprovecharse de los usuarios, podemos definir al malware o software malintencionado como todo código o software el cual su objetivo es infiltrarse o dañar una computadora sin el consentimiento de su dueño.-

EL modo de en el que este software malintencionado se propaga es muy amplio, siendo su principal medio los E-mails pero también puede llegar por otros medios como ser dispositivos de almacenamiento usb, Memory Stick, Redes P2P, Falsos Videos, Tarjetas Digitales de Fin de Año y Navidad siendo estas últimas las mas usadas para estas Fechas Festivas,Etc.-

Recordemos que no solo las Pc Hogareñas son vectores de ataque, hoy en día ya se sumaron los SmartPhones, plataformas mucho más fácil de ser posibles víctimas ya que un numero muy bajo cuenta con software antivirus. La metodología de ataque a estas plataformas son en general por E-mails pero no descartemos el uso de SMS o MMS. Dentro de esta tecnología el Sistema Operativo más afectado es Android ya que este se encuentra en mas del 50 % de los SmartPhone y el malware para Android creció mas del 470 % en el año 2012.-

El modo de protegerse, es la misma que siempre recomendamos desde Mkit Argentina:

  • Tener un software antivirus instalado, actualizado y configurado.-
  • Tener configurado un Firewall.-
  • No usar usuarios con privilegios de Administrador o root.-
  • No abrir adjuntos que nos llegan por e-mail que no solicitamos, más allá de que sea un contacto conocido.-
  • No abrir links o vídeos con mensajes llamativos.-
  • Leer la barra de estado del navegador antes de apretar cualquier redirección.-

para SmartPhone y tables:

  • Contar con software Antivirus.-
  • Controlar requerimiento de acceso al dispositivo y ver los comentarios de los archivos APK (paquete para Android) aunque estos se descarguen del Market de Android.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , ,

Paranoico, “ya no tengo control de mi información”

Posted on 22 noviembre, 2011 by
2 comments

Esta vez no voy a escribir nada técnico, sino algo que me acaba de pasar y me dejo pensando, para ponernos en tema en la Ekoparty de este año arranco con un charla de  ’Gera’ Richarte sobre “hackers, privacy, makers: Politics” y otra de César Cerrudo llamada “Exprimiendo la web: obteniendo datos de a gotas para ownear a cualquiera”  en donde hablaban del alcance de la tecnología y sus riegos con  nuestros datos, de lo fácil que es obtener datos de personas, etc.-

Entonces siempre me quede pensando, ¿hasta donde llega nuestra privacidad con los datos?, ya podemos decir que nuestro nombre y apellido ya son públicos, nuestros teléfonos fijos también, -con esto game over- mi dirección de domicilio, documentos de identidad también si los DNI, se pueden conseguir!!!. Bueno, esto no es todo!!!.-

Resulta que hoy a la mañana llame a mi operadora de Telefonía Celular, para realizar un reclamo porque no podía recibir mensajes, luego de que me atendiera la operadora y de realizar el procedimiento para poder constatar que soy el titular y viceversa, me dice que ellos no ven ningún problema en la linea que aguarde unos minutos, pasado unos 15 segundos, me dice:

el problema es que su SmartPhone tiene la memoria llena, borre los 15 mensajes de multimedia y se soluciona el problema.

yo Atónito solo pude decir “ok, muchas gracias“, taza de café al suelo y me quede como diciendo que paso acá, y algo parecido a “#@=?$\“.-

Cuando perdí el control de mi celular, ya saben donde estamos gracias a que nuestros celulares (de cualquier gama) se parecen más a un GPS, graban nuestras conversaciones también los sms y ahora puede saber que tenemos en nuestros celulares o por lo menos es la sensación que tengo, siento que me estoy convirtiendo en una paranoico, ahora solo me queda saber que mas saben ellos y si los celulares cuentan con un Backdoor ? o algo por el estilo.-

Esto recién comienza, quiero tener yo el control de mis datos!.-

Tendría que poder dar alguna conclusión, pero que conclusión puedo dar!!!, si no se hasta donde llega mi privacidad.-

Cierro este post con esta Reflexión

“hay que mantener un mínimo de paranoia bien administrada”
- Jeimy J. Cano -

Cristian Amicelli Rivero 

Categories: Uncategorized | Tags: , ,

PampaSeg 2011

Posted on 15 noviembre, 2011 by
2 comments

Los días 11 y 12 de noviembre se llevo a cabo el PampaSeg 2011 en el Concejo Deliberante de la Ciudad de Santa Rosa en la Provincia de La Pampa.-

Fueron dos días muy intensos casi con poco tiempo entre los talleres de antenas Biquad y las distintas charlas de los expositores, y obviamente parte del Equipo del blog de Mkit Argentina estuvo presente.-

Por mi parte (@camicelli), di dos charlas una es un tema ya abordado en el blog que es la Gestión y Tratamiento de incidentes de Seguridad de la Información y la otra algo mucho más practica a la que llame anatomía de un ataque que consiste en las 5 fases o etapas de un ataque dirigido a un sistema en particular y como también fue practico cada fase estuvo acompañada de una demo en vivo, con el objetivo de demostrar los puntos críticos a tener en cuenta para evitar ser una víctima .-

Pero eso no fue todo también estuvo Matias Katz (@matiaskatz), que también dio un Laboratorio práctico sobre inyección SQL y XSS, con un paso a paso de como se realizan estas técnicas y como protegerse.-

Próximamente estaremos subiendo los videos de lo que fue el PampaSeg 2011.-

Por mi Parte quiero Agradecer a Toda la Organización del PampaSeg, por invitarnos este año y también agradecer a todos los Oradores que son grandes Amigos y Colegas, y por supuesto al público el cual escucho cada presentación muy atentos y realizaron preguntas más que interesantes.-

Actualización 16 – Nov – 2011

Gestion y tratamiento de incidentes de seguridad

Anatomia de un ataque

 Cristian Amicelli 

Categories: Uncategorized | Tags: , ,

Gestión y Tratamiento de Incidentes de Seguridad de la Información – Segunda Parte

Posted on 25 octubre, 2011 by
1 comment

Continuando con este importantísimo tema (si no viste la primera parte podes hacer un clic acá), ahora vamos a ver en esta segunda parte la “Rueda del Tratamiento de Incidentes” que es como la llamo yo. Y esta rueda se compone de los siguientes puntos:

  • Preparación / Prevención
  • Detección / Notificación
  • Contención, Erradicación y Recupero
  • Análisis Preliminar
  • Investigación
  • Actividades Posteriores

Preparación / Prevención

Si hablamos de estar preparados, es importante poder armar una especie de cuadro con una categorización de los tipos de incidentes, para esto podemos usar este criterio en donde sumamos los efectos negativos producidos por el incidente y  la criticidad de los recursos afectados y esto nos devuelve  la criticidad del incidente.-

Una muy buena práctica dentro de la Preparación es armar un catalogo de categorización de incidentes, podemos categorizar POR TIPO DE INCIDENTE y por LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS al final del post se dejan dos ejemplos de categorización.-

Otras medidas a utilizar pueden ser

  • Establecer políticas, normas y procedimientos.-
  • Preparar el Grupos de Gestión y tratamiento de Incidentes.-
  • Entrenar al personal.-
  • Documentar en un mapa la arquitectura de la red.-
  • Documentar la configuración de los equipamientos.-
  • Crear patrones de redes y sistemas.-
  • Comprender el funcionamiento normal.-
  • Activar los logs en los sistemas y sus aplicaciones.-
  • Utilizar un servidor recolector centralizado de Logs creando una política de almacenamiento de logs.-
  • Mantener los relojes de todos los equipos sincronizados.-
  • Crear sumas de comprobación criptográficas los archivos más importantes de los sistemas.-
  • Definir e implementar esquemas de resguardos de datos.-

Tenemos que considerar el uso de herramientas para:

  • Detección de incidentes
  • Monitoreo de los sistemas y estaciones de trabajo
  • Análisis de incidentes
  • Documentación de incidentes
  • Análisis periódicos de riesgos
  • Mejores prácticas de seguridad
  • Auditorías periódicas de los sistemas
  • Administración de actualizaciones de ser posible centralizada
  • Fortalecimiento de la seguridad de los equipos con Antivirus bien configurados, Firewall, Host IDS, etc.-
  • Seguridad en la red
  • Concientización y capacitación de usuarios

Detección / Notificación

En este segundo paso es cuando nos encontramos frente a una detección de un incidente y esta puede ser manual o automática ya sea por una advertencia que este indicando un incidentes o puede ser también por una señal de algún sistema que indique que está ocurriendo o en el peor de los casos que ya ocurrió el incidente.-

Las advertencias son el anuncio de una amenaza de ataque web, alerta de IDS o anuncio de Exploit y como indicadores tomamos un aviso sobre buffer overflow por parte de un IDS, una alerta de un antivirus que ha detectado código malicioso, un Firewall que esta alertando sobre repetitivos paquetes ARP o direcciones IP Malformadas, conectividad lenta, o cuentas bloqueadas por  excesivos intentos de acceso, rodo de identidad o datos en los propios sistemas (E-Mail, etc).-

En lo que es a la detección contamos también con software que nos ayuda a estar monitoreando, u organismos externos que nos emiten algún tipo de alerta, estos avisos puede ser generados por:

  • IDS – Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)
  • Software de antivirus
  • Software de control de integridad de archivos
  • Análisis de registros de auditoría (logs)
  • Información pública
  • Usuarios del organismo

Un ejemplo de la ruta de notificación de un incidente puede ser de la siguiente manera

La notificación inicial se puede producir por aviso de un usuario o por alguna herramienta que de una alerta esto es recepcionado por un grupo inicial (Lo podemos llamar Grupo de Gestión de Incidentes), este a su vez realiza una categorización del hecho basándose en su tabla de categorización y realiza la notificación a los dueños de la información afectada, personas afectadas, personal de sistemas, Oficina de Recursos Legales.-

Al realizar esta tarea podemos contar con un formulario con la siguiente información:

Datos del reporte

  • Numero de Identificación
  • Fecha y hora
  • Clasificación
  • Breve descripción
  • Efectos producidos
  • Descripción detallada
  • Responsable de atención

Datos del reportante

  • Nombre
  • Cargo
  • Área
  • Tel / Interno
  • Mail

Otros datos a incorporar son el Estado, Fecha de cierre y un Detalle con las tareas, tiempos y responsables.-

Análisis Preliminar

Una vez que ya contamos con los indicadores o advertencias tenemos que saber si es verdaderamente un incidente de seguridad o solo se trata de un falso positivo, para poder lograr ver la luz al final del camino, tenemos que realizar la tarea de recolección de Información.-

Recolección de información para analizar

La recolección de información nos sirve para determinar el alcance del incidente,  qué redes y que sistemas y aplicaciones  fueron afectados, y que fue lo que genero el incidente, como ocurrió o está ocurriendo, también nos permite saber que origino el hecho, como ocurrió y las herramientas utilizadas, que vulnerabilidades fueron explotadas y el impacto negativo que pueda tener sobre la empresa.-

Ahora necesitamos determinar el alcance y para esto nos podemos hacer las siguientes preguntas:

  • ¿Cuántos equipos fueron comprometidos?
  • ¿Cuántas redes se vieron envueltas?
  • ¿Cuán dentro de la red logró penetrar el atacante?
  • ¿Qué nivel de privilegio logró el atacante?
  • ¿Qué es lo que está en riesgo? ¿Cómo impacta en las actividades del organismo el compromiso de los  equipos? ¿Se encuentran en riesgo aplicaciones críticas?
  • ¿Quién sabe acerca del incidente y cómo puede afectar  esto el impacto del mismo?
  • ¿Cuán conocida es la vulnerabilidad explotada por el atacante? ¿Hay otros equipos con la misma vulnerabilidad?

Para responder estas preguntas  podemos tomar las siguientes medias:

tomar contacto con los administradores de sistemas nos permite obtener datos sobre sucesos anormales en los sistemas, hablar con el personal nos brinda información sobre sucesos anormales en las actividades cotidianas, realizar una revisión de reportes de herramientas de detección de intrusiones nos dará detalles del incidente, también una revisión de logs de comunicaciones, plataformas y sistemas nos permite Detectar actividades anormales y por último conocer la topología de red y listas de acceso nos permite Detectar posibles cambios no autorizados.-

Contención, respuesta y recupero

Ya en esta instancia nos avocamos a la tarea de volver los sistemas a la normalidad para ello contamos con tres acciones.-

CONTENCIÓN Evitar que el incidente siga produciendo daños. ERRADICACIÓN  Eliminar la causa del incidente y todo rastro de los daños y RECUPERO Volver el entorno afectado a su estado  original.-

Para llevar a cabo estas acciones tenemos que contar con una estrategia que nos permita realizar las operaciones de manera organizada, rápida y efectiva sino puede que el remedio sea peor que la enfermedad, para contar con una buena estrategia tengamos en cuenta estos agentes:

  • Daño potencial de recursos a causa del incidente
  • Necesidad de preservación de evidencia
  • Tiempo y recursos necesarios para poner en práctica la estrategia
  • Efectividad de la estrategia total o parcialmente
  • Duración de las medidas a tomar
  • Criticidad de los sistemas afectados
  • Características de los posibles atacantes
  • Si el incidente es de conocimiento público
  • Pérdida económica
  • Posibles implicancias legales
  • Relación costo-beneficio de la estrategia
  • Experiencias anteriores

Investigación

No hay nada mejor que aprender de los hechos desfavorables, es por eso que la investigación nos nutre de una base de Conocimiento que nos permite entender lo que paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar todas las medidas necesarias en la investigación, realizando una correcta adquisición de evidencia aplicando en todo momento el control de la cadena de custodia y utilizando elementos de validación.-

Para la recolección de datos podemos obtenerla con adquisición en vivo siendo esta la Fecha y hora del sistema, aplicaciones corriendo, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red.-

También podemos contar con la información de Backups, archivos copiados recientemente, información de la red (Logs de IDSs, logs de monitoreo, información recolectada mediante sniffers, logs  de routers, logs de firewalls, información de servidores de autenticación (Dominio Windows, Samba Linux, Email, FTP, VPN, etc); podemos sumar información testimonial por parte del personal.-

En conclusión toda la Recolección de Información debe respetar estos tres puntos

  1. AUTENTICIDAD: Quien haya recolectado la evidencia debe poder  probar que es auténtica.-
  2. CADENA DE CUSTODIA: Registro detallado del tratamiento de la evidencia,  incluyendo quienes, cómo y cuando la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.
  3. VALIDACION: Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.-

Esto nos lleva a realizar un correcto proceso de recolección de evidencia

Actividades Posteriores 

Es un hecho que al finalizar la gestión y tratamiento de incidentes debemos

  • Organizar reuniones
  • Mantener la documentación
  • Crear bases de conocimiento
  • Integrar la gestión de incidentes al análisis de riesgos
  • Implementar controles preventivos
  • Elaborar Tableros de Control

Siendo esta información la que estaremos utilizando para generar los cuadros que hablamos en el primer punto.-

Anexo Imágenes de Modelo de Tableros

 

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , , ,

Gestión y Tratamiento de Incidentes de Seguridad de la Información – Primera Parte

Posted on 18 octubre, 2011 by
2 comments

Dentro del marco de la seguridad de la información encontramos un punto más que importante y extenso que es la gestión y el tratamiento de los incidentes de seguridad, para ello lo vamos a dividir en 3 partes para que se puede leer e interpretar este tema.

En la primera parte nos vamos a encontrar los conceptos de la Gestión y tratamiento y sus ventajas, en una segunda partes vamos a ver los pasos en el tratamiento y por último vamos a ver algunos ejemplos.

Como ya sabemos existe la norma ISO 27001 publicada en el año 2005 que indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI). y es en esta norma en la que me voy a basar.-

Es significativo contar con un plan de respuestas a incidentes. Un buen plan de respuesta a estos incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa de una organización.

Si lo vemos desde el punto de vista del equipo de seguridad, nos interesa saber si ocurre una violación y lo más importante es saber cuándo ocurrió. Entender que cualquier sistema es factible de una violación de seguridad permite al equipo de seguridad contar un curso de acciones para minimizar los daños potenciales. por algo Gene Spafford dijo

El único sistema seguro es aquél que esté apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados y así y todo no es seguro del todo

Una vez que tenemos en cuenta esto definamos que es un incidente de seguridad.-

¿QUÉ ES UN INCIDENTE DE SEGURIDAD?

Es un hecho o amenaza que atenta contra la Confidencialidad , Integridad y Disponibilidad de un sistema informático.-

Podemos Decir que es:

Un evento es toda ocurrencia observable en un entorno informático.-

Un evento adverso es un evento con consecuencias negativas.-

Entonces como decíamos anteriormente un INCIDENTE DE SEGURIDAD es un evento adverso, que puede comprometer o compromete la disponibilidad de la información.-

También es una violación o inminente amenaza de violación de una política de seguridad de la información.-

¿QUÉ MEDIDAS TOMAR?

Medidas Preventivas son aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de Backup, Planes de continuidad, cifrado, etc.-

Con esto nos referimos a toda acción que tenga como principal medida salvaguardar nuestros activos.-

Medidas de Detección son las que tienen a controlar es decir, Registros de Auditoria, Revisiones de Seguridad, etc.-

y por último podemos hablar de las Medidas Correctivas tenientes al uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc.-

Como podemos ver estas medidas son básicas y en general la primera es la que siempre o casi siempre aplicamos, pero las otras dos también son importantes y hay que aplicarlas ya que nos permiten controlar y corregir y este conjunto que permite realizar la gestión de Incidentes.-

La Gestión de Incidentes persigue como objetivo el uso de recursos necesarios y su uso adecuado, con el afán de Realizar prevención, detección y corrección de ser necesarios al momento de atender un incidente de seguridad de la información.-

Para este fin se utilizan las siguientes pautas:

a. Prevención de incidentes

b. Detección y el reporte del incidente

c. Clasificación del incidente

d. Análisis del incidente

e. Respuesta al incidente

f. Registro de incidentes

g. Aprendizaje

Si nos basamos en este modelo nos ofrece algunos beneficios:

• Responder a los incidentes de manera sistemática, eficiente y rápida.

• Facilitar una recuperación en poco tiempo, perdiendo muy poca información.

• Realizar continuamente mejoras en la gestión y tratamiento de incidentes.

• Generar un Base de conocimientos sobre Incidentes.

• Evitar incidentes repetitivos.

• La posibilidad de apegar los incidentes acorde a legislación vigente.

 

Hasta este punto tenemos la teoría y concepto de gestión y tratamiento de Incidentes en la próxima parte vamos a ver la “Rueda del Tratamiento de Incidentes” como la llamo yo, que consta de 6 pasos.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , , ,

Nuestra Información en la Nube

Posted on 3 octubre, 2011 by
1 comment

 

Internet es el medio principal de comunicación en estos días, estamos constantemente actualizando perfiles de redes sociales, realizando compras on-line, consultando nuestro estado de cuenta, creando cuentas de e-mail, etc.; cada actividad que realizamos dejamos información nuestra y datos de  la navegación que realizamos.-

Dentro de esta actividad podemos decir que nos encontramos con tres grupos o modos de ofrecer nuestra información.-

  • Información aportada de manera voluntaria o a requerimiento
  • Información aportada por terceras partes
  • Datos de comportamiento y navegación en Internet

Información Aportada de manera voluntaria

no podemos referir a la información que nosotros brindamos al general algún tipo de usuario, ya sea en redes sociales, casillas de correo, portales de compras, foros, etc. estos datos que aportamos pueden estar integrados por datos personales como Nombre y apellido, Fecha de Nacimiento, Dni, Domicilio, una fotografía que nos identifique e inclusive hasta la tarjeta de crédito con su fecha y código de seguridad, etc.-

toda esta información habla muchos de nosotros, ya que nos define un perfil gral., ya que saben dónde nos pueden ubicar, preferencias y hábitos de consumo, si viajamos y con quienes viajamos, etc., es muy recomendable que al momento de subir estos datos, no está de más perderse unos minutos y leer las políticas de privacidad del sitio, y al momento de brindar la información solo dar lo minino y necesario no más.-

Información aportada por terceras partes

Este punto se caracteriza porque casi no tenemos control de la información que se brinda de nosotros,  ya que esta información es brindada por gente que nos conoce y publica en datos nuestros en redes sociales o nos etiqueta en fotografías, también tenemos la información de sitios de consulta de guías telefónicas, organismos gubernamentales, etc.-

como se menciona al principio del punto esta es información que no tenemos control y se puede ser indexada por los buscadores web (VER ARTICULO ERROR DOMINIO.ORG.AR), en estos casos sabemos que podemos pedir que se elimine esta información, poniéndonos en contacto con los administradores del sitio o como es en el caso de Google pueden acceder a este vinculo https://www.google.com/webmasters/tools/removals y seguir los pasas para que google elimine sus datos de la base de datos y de cache de sus servidores.-

Un último consejo para este punto nunca está de más poner su nombre y apellido en los buscadores y ver qué información indexada tienen de Uds. por más que parezca egocéntrico.-

Datos de comportamiento y navegación en Internet

en este último punto vamos hablar de la dirección ip y de las cookies.-

La IP está compuesto por un grupo de números que nos identifica en la red, existe la posibilidad de que esta se pueda utilizar para ser localizada geográficamente o bien por medio de Ing. Social realizar la consulta al ISP (Internet Service Provider) ó proveedor de Servicio de Internet , para obtener información del usuario, es sabido que este datos es guardado por los Webmail, redes sociales al momento de crear una cuenta ó como control desde donde iniciamos sección.-

Respecto a las Cookies son archivos que se alojan en nuestros equipos cuando navegamos por Internet y accedemos a distintos sitios, estos archivos contiene información de nuestra actividad en los sitios, de hecho hay varios ataques sobre estos archivos con el objetivo de robar la sección con determinados sitios.-

Como recomendación se debe borrar periódicamente estos archivos por medio de las herramientas del navegador que utilizamos.-

Cristian Amicelli Rivero  

Categories: Uncategorized | Tags: , ,

Protegiéndonos del Index.dat

Posted on 20 septiembre, 2011 by
No comments

Para aquellos que habitualmente usan el Internet Explorer, ¿saben que este tiene unos archivos en los que se almacena todo lo que uno ve y visita en la nube de Internet?. Si bien sabemos que se puede borrar esta información desde las herramientas del IE, existe un archivo que nunca es borrado y que se llama “index.dat”.-

¿Y qué es el index.dat? según Microsoft, “este tipo de archivos es usado para cachear las páginas web visitadas con el objeto de aumentar la velocidad en la carga de las páginas en Internet Explorer”. Y es aquí donde surge la pregunta, ¿por qué no se borra este archivo y sigue creciendo y creciendo?. Investigando un poco y revisando este archivo se puede observar lo siguiente:

Este proceso se realizo sobre un Windows Vista Bussisnes y Con un IE 8.0.6, los index.dat se guardan en:

  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows\Internet Explorer\Feeds Cache\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows\Internet Explorer\DOMStore\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows\History\History.IE5\Index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows History\History.IE5\MSHist[una clave]\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows\ History\Low\History.IE5\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Local\Microsoft\Windows Temporary Internet Files\Low\Content.IE5\Index.dat
  • C:\Users\[Nombre de Usuario]\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Internet Explorer\UserData\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\Cookies\low\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\IECompatCache\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\ IECompatCache\low\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\IETldCache\Index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\ IETldCache\low\Index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\PricacIE\index.dat
  • C:\Users\[Nombre de Usuario]\AppData\Roaming\Microsoft\Windows\PricacIE\low\index.dat

Para Windows Seven:

C:\Users\[Nombre de Usuario]\Roaming\Microsoft\Windows\Cookies\index.dat
C:\Users\[Nombre de Usuario]\Roaming\Microsoft\Windows\Cookies\Low\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\History\History.IE5\Low\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\History\History.IE5\index.dat\MSHistXXXXXXXXXXX\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\History\History.IE5\Low\index.dat\MSHistXXXXXXXXXXX\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Users\[Nombre de Usuario]\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5index.dat
C:\Users\[Nombre de Usuario]\Roaming\Microsoft\Internet Explorer\UserData\index.dat
C:\Users\[Nombre de Usuario]\Roaming\Microsoft\Internet Explorer\UserData\Low\index.dat

Para Windows NT (2000 y XP) se Alojan en:

  • C:\Documents and settings\[Nombre de Usuario]\cookies\index.dat
  • C:\Documents and settings\[Nombre de Usuario]\Local Settings\History\index.dat
  • C:\Documents and settings\[Nombre de Usuario]\Local Settings\Temporary Internet Files\index.dat
  • C:\Documents and settings\[Nombre de Usuario]\Local Settings\Temporary Internet Files\Content.IE5\index.dat
  • C:\Documents and settings\[Nombre de Usuario]\Local Settings\Temporary Internet Files\Content.IE5\sub-folders\index.dat
  • C:\Documents and settings\All Users\cookies\index.dat C:\Documents and settings\All Users\Local Settings\History\index.dat
  • C:\Documents and settings\All Users\Local Settings\Temporary Internet Files\index.dat C:\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5\index.dat
  • C:\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5\sub-folders\index.dat
  • C:\Documents and settings\Default User\cookies\index.dat C:\Documents and settings\Default User\Local Settings\History\index.dat
  • C:\Documents and settings\Default User\Local Settings\Temporary Internet Files\index.dat
  • C:\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat
  • C:\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\sub-folders\index.dat

Si me olvido alguno de alguno me dicen y lo cargo soy humano!!!.

Las pruebas se realizaron sobre el directorio:

C:\Users\NNNNNN\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

Si accedemos por línea de comando y al hacer un dir nos encontramos con esto.- 

Nos dice “no se encuentra el archivo”, esto es porque los archivos están con atributos especiales. Entonces tipeamos el comando attrib.-

Que vemos acá que el archivo index.dat tiene atributos los cuales son “A”, “SH” e “I”, estos atributos significan:

  1. A= Atributo de Archivo: Este es el más común ya que es para la mayoría de los Archivos.-
  2. S= Archivo de Sistema: Esto lo define como un archivo pereciente al Sistema.-
  3. H=Archivo Oculto: Esta propiedad es para poner el Archivo oculto.-
  4. I= Archivo Inmutable: Este flag o bandera es el más importante porque es el que evita que este archivo sea editado o eliminado por cualquier usuario, es decir que el único con el privilegio de usarlo es el usuario System.-

Hasta acá tenemos que este archivo no lo podemos modificar pero, ¿qué es lo que contiene el index.dat si lo abrimos con cualquier editor hexadecimal?. Nos vamos a encontrar con algo parecido a esto:

 

La verdad es que no se entiende qué es lo que aloja. Por suerte hay muchos programas que nos muestran qué es lo que contienen los index.dat, yo en este caso uso el Index.dat Analyzer el mismo se puede descargar desde http://www.systenance.com/download/indexdat-setup.exe, pero igualmente hay otras herramientas que permiten visualizar estos archivo con solo buscar en google basta.-

Esta herramienta lo que hace es buscar todos los index.dat que encuentre en el Sistema y los alista así nosotros podemos ver su contenido y podríamos encontrarnos con algo como esto:

Y con que nos encontramos?, ¡si con lo que estuvimos navegando con el IE!, que problema ¿y hora que hacemos? bueno podemos ver los temporales desde el Internet Explorer y borrar estos desde las herramientas que posee el IE.-

Este es lo que tiene el temporal de IE.-

Después de borrar que da así.-


Bien se borro todo pero el index.dat todavía queda y tiene información todavía con un tamaño de 2.432 KB.-

Al observarlo con el index.dat Analyzer vemos que todavía tiene las url’s de las paginas que visitamos aunque no muestra el contenido como antes, pero igual todavía tiene información que se puede considerarse sensible.-

Así es que todavía está la info y con los atributos del index.dat no podemos modificarlo y eliminarlo. Bueno con la herramienta Index.Dat Analyzer TENEMOS la posibilidad de borrar el contenido de este index.dat, solamente nos tenemos que molestar en seleccionar todos los datos que nos muestra y eliminarlos. Esta opción también la podemos ejecutar con el resto de los index.dat que mencioné al principio y de esta manera logramos eliminar la información que nos resulte sensible.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , ,
SN Facebook Like