Cómo recuperar mensajes eliminados de Whatsapp

 

 

Decía Bill Shankill, uno de los mitos del Liverpool FC, que "algunos piensan que el fútbol es cuestión de vida o muerte. Yo no estoy de acuerdo... es algo más importante que eso". Y lo mismo les ocurre a muchos con su Whatsapp, que ya se ha erigido en el centro de comunicación por excelencia.

Lo del Whatsapp es algo tan común que forma ya parte de nuestras vidas, por lo menos de las de todos los que lo manejamos a diario y, por qué no decirlo, con intensidad. Y, por ello, cualquier duda que nos asalte sobre esta aplicación tiene más importancia, incluso, que cualquier otra duda del día a día normal. Lo de Whatsapp se ha convertido ya en cuestión de estado para cada uno de nosotros.

Por ello, hay circunstancias que nos encontramos en ocasiones, manejando esta aplicación, que no sabemos solucionar. Las hay menores y otras de mayor “gravedad”, como puede ser ésta. ¿Quién no ha querido recuperar alguna vez una conversación que se nos ha perdido porque la borramos sin percatarnos o porque no pensamos que la pudiéramos necesitar más adelante? Si todavía no has tenido la necesidad, pronto se te podría presentar...

La mayoría, si no habéis consultado a alguien que supiera cómo recuperar una conversación, la habréis dado por perdida, como cuando desde la pantalla del ordenador mandas un archivo a la papelera y luego la vacías.

En este caso no hay papelera, al menos nosotros no la vemos, y la pregunta que nos puede invador es ¿dónde va lo que elimino en Whatsapp?

No debes preocuparte, porque ya sabes que todo tiene solución. Al menos, casi todo, y esta eventualidad no es, aunque lo parezca, un problema serio. Es mucho más sencillo de solucionar de lo que pudiéramos haber imaginado.

Vamos a ver cómo podemos recuperar el historial de chats y volverlo a tener en nuestro móvil.

La plataforma de WhatsApp hace copias de seguridad diarias de tus datos y las almacena… ¡en tu propio teléfono!. Por eso no va a ser muy complicado recuperar los chats más recientes con el sencillo método de desinstalar y volver a instalar la aplicación.

 

Te lo explicamos paso a paso:

Para desinstalar WhatsApp de tu dispositivo Android puedes ir a tu ordenador o hacerlo desde el mismo móvil. Si buscas desde tu ordenador en la Google Play Store la aplicación, te indicará que la tienes instalada en el teléfono y desde ahí mismo puedes dar la orden de que se desinstale. Una vez que se haya desinstalado (apenas son unos segundos), vuelve a solicitar la instalación desde el botón que verás para ello.

 

 Para poder ir a buscar un mensaje que Whatsapp haya almacenado en una copia de seguridad, deberemos desinstalar la aplicación y volverla a instalar.

 Restaura el historial

Una vez que el sistema haya instalado de nuevo la app, te va a preguntar si quieres restaurar tu historial de mensajes desde la copia de seguridad Toca sobre Restaurar y todos tus chats volverán a estar ahí.

 

Recuperar chats más antiguos

Pero si sel chat que quieres volver a tener en el teléfono es algo más antiguo, y has comprobado que no está en los que ahora habías recuperado, lo que deberás hacer es obtenerlo de una copia de seguridad anterior. En la tarjeta de memoria del teléfono se guardan los backups de los últimos siete días.

Para localizar el archivo en el que se encuentra podemos utilizar una aplicación especializada en gestionar archivos dentro del móvil. Puedes utilizar alguna como Astro File Manager, y buscar con ella la carpeta de copias de seguridad de Whatsapp. Estará en este camino: /sdcard/Whatsapp/database.

También podemos hacer este proceso nosotros mismos buscando la carpeta en el móvil. Para ello debemos ir primero a "Mis archivos" y seguir el camino de las carpetas y subcarpetas hasta dar con este que te indicamos.

Una vez que la localices, deberás buscar la copia de seguridad del día que te interesa (recuerda que debe ser de un día de los últimos siete) Deberás renombrarla y cambiar el de “mgstore.db.crypt” por el nuevo de “msgstore-2012-12-30.1.db.crypt” (La fecha que ves en números dentro de la primera denominación es figurada, y deberá ser la del día que estabas buscando).

Para hacer este cambio de nombre, verás que la aplicación que utilizas para manejar los archivos te guía sin problemas.

Al volver a abrir la aplicación, después de reinstalarla, nos va a preguntar si queremos recuperar los mensajes anteriores. Por supuesto, le diremos que sí, y veremos que el proceso tarda apenas un par de minutos.
 

Si el mensaje era de hace más de un día, lo que vamos a hacer (además de desinstalar e instalar de nuevo Whatsapp) buscar la carpeta donde está guardada esa copia de seguridad.

Ya ves que si buscabas una conversación concreta de la última semana que hubieras eliminado, no vas a tener problema en recuperarla.
Lo que habrás observado es que al regresar a Whatsapp, después de haberla desinstalado y vuelto a instalar, las conversaciones que has estado teniendo hoy por esta vía están ahora cortadas. Esto se debe a que Whatsapp ha hecho el proceso entre una copia de seguridad y otra, y el historial de hoy todavía no lo había guardado. Consecuentemente, si has escrito o recibido hoy un mensaje y lo has eliminado también hoy, Whatsapp no lo habrá guardado, ya que lo más probable es que no haya hecho ninguna copia de seguridad en ese espacio de tiempo. Una cuestión menor si has podido encontrar los mensajes que buscabas, pero que deberás tener en cuenta.

Ghiro Una herramienta para analizis Masivo de Imagenes Forense

 

En muchos casos los investigadores forenses necesitan procesar imágenes digitales como evidencia. En un análisis forense en el que se manejan muchas imágenes es difícil manejar tanta información al menos que se utilice una herramienta que facilite el trabajo.

Ghiro es una herramienta capaz de soportar gigas de imágenes, extraer y organizar la información y mostrarla en un informe en un formato agradable.
Todas las tareas están totalmente automatizadas, sólo tienes que cargar las imágenes y dejar que Ghiro haga el trabajo.

Además Ghiro es un entorno multiusuario, que permite diferentes permisos que se pueden asignar a cada usuario. Cada caso permite agrupar imágenes por tema, y elegir lo que cada usuario pueda ver según el esquema de permisos.

Casos de uso

No sólo los investigadores forenses pueden usarlo diariamente en su laboratorio de análisis, Ghiro puede ser utilizado en muchos escenarios. Algunos ejemplos de casos de uso son los siguientes:

- Si necesitas extraer todos los datos y metadatos ocultos en una imagen de una manera totalmente automatizada
- Si es necesario analizar una gran cantidad de imágenes y no tienes mucho tiempo para leer el informe para todos ellos 
- Si necesitas buscar algún metadato concreto entre un montón de imágenes 
- Si necesitas geolocalizar muchas imágenes y verlas en un mapa 
- Si quieres buscar en una lista de hashes de imágenes "especiales"

De todos modos Ghiro está diseñado para ser usado en muchos otros escenarios, la imaginación es el único límite.

Video







Principales características

- Extracción de metadatos: Los metadatos se dividen en varias categorías según el estándar. Los metadatos de la imagen se extraen y se clasifican. Por ejemplo: EXIF, IPTC, XMP.

- Localización GPS: en los metadatos de cada imagen a veces hay una etiqueta geográfica, información GPS que proporciona la longitud y latitud de donde se tomó la foto. Se lee y la posición se muestra en un mapa.

- Información MIME: El tipo de imagen MIME se detecta para conocer el tipo de imagen que se está tratando, de forma simple (ejemplo: image/jpeg) y extendida.

- Análisis del nivel de error: el análisis del nivel de error (ELA) identifica las áreas dentro de una imagen que se encuentran en diferentes niveles de compresión. La imagen completa debe ser de aproximadamente del mismo nivel, si se detecta alguna diferencia, entonces es probable que haya realizado alguna modificación.

- Extracción de miniaturas (thumbnails): Las miniaturas y sus datos relacionados se extraen de los metadatos de la imagen y se almacenan para su revisión.

- Consistencia de las miniaturas: a veces, cuando una foto es editada, la imagen original se edita pero la miniatura no. Ghiro detecta las diferencias entre las miniaturas y sus correspondientes imágenes.

- Motor de firmas: Más de 120 firmas proporcionan evidencia sobre la mayoría de los datos críticos para resaltar los puntos focales y exposiciones comunes.

- Coincidencia de hashes: supón que estas buscando una imagen y tienes sólo el hash. Puedes proporcionar una lista de hashes y se buscarán todas las imágenes en base a ese/esos hashes.

ExifTool y ExifToolGui: Instalación y uso básico

Últimamente estoy grabando muchos tutoriales que tenía en mente desde hace años, pero que siempre iba dejando para otro momento. Cuando hace meses me planteé darle un descanso indefinido a la página, me fastidió pensar que igual me quedaba sin hablar de esos temas y sin compartir con otros estas frikadas que a mí me parecían tan interesantes.
ExifTool es uno de esos temas. Estrictamente hablando no guarda una relación directa con Lightroom y Photoshop, pero me parece fabulosamente útil o como mínimo curioso para todo aficionado a la fotografía digital, y ya no digamos para los cotillas. Se trata de un programa que permite consultar los metadatos que contiene un archivo. En nuestro caso, aplicado a archivos de imagen, nos permite descubrir que los raw contienen mucha más información de la que posiblemente hubiéramos pensado que incluían, y ya no me refiero solo a los parámetros de exposición o la marca y modelo de la cámara: desde la temperatura de la cámara hasta las características detalladas de la óptica, pasando por el tamaño de la vista previa o el nombre y versión del software empleado para procesar el archivo, serán muchos los datos que encontraremos “ocultos” en el archivo y que nunca habríamos pensado que pudieran quedar registrados. Además, podemos modificar estos datos, lo cual puede sernos de gran ayuda no ya por cuestiones de privacidad (eliminarlos selectivamente), sino para facilitarnos el trabajo en tareas complejas de asignación de metadatos cuando manejemos un gran volumen de archivos.
En realidad, a mí me gustaría hablar de algunos usos prácticos que se le puede dar a esta herramienta, pero no puedo ponerme a hablar de estas cosas sin explicar antes cómo descargar e instalar el programa, pues no es tan simple: el programa es muy incómodo de usar, así que requiere otro complementario que le dota de una interfaz gráfica. Este vídeo cumple esta función introductoria – así, si en un futuro quiero explicar alguna de mis aberrantes manipulaciones de metadatos, ya tendré esto grabado como referencia.

Análisis Forense en Facebook

La popularidad de Facebook ha crecido exponencialmente en los ultimos años, pero con el aumento de su popularidad, tambien se ha incrementado los casos de delitos sobre esta plataforma, Suplantacion de identidad, Extorcion, Difamacion, Pedofilia, Ciber Acoso, son solo algunos de los delitos mas comunes realizados por Facebook.

Analizar lo sucedido en esta red social muchas veces es clave para poder resolver los casos en los que por medio de Facebook se ha cometido algun delito; En el siguiente paper creado por el grupo investigadores GruValkyrie-X, nos cuentan detalladamente como realizar un analisis forense a Facebook (las charlas, comentarios en el muro, eventos, grupos, etc…) asi como su aplicacion para dispositivos moviles, ya que cada accion en esta red social deja huellas  que pueden ser utilizadas para descubrir que se realizó sobre ella.

Sin mas preambulos les dejo de forma online este exelente paper.

link para descargar 

 http://www.4shared.com/document/u08fEssD/Facebook_Forensics.html

La mejor distribución para análisis forense con herramientas libres, DEFT (Digital Evidence & Forensic Toolkit)

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Lubuntu  (Ubuntu con entorno LXDE), muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware.

DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (puedes verlo tú mismo desde la entrada que creamos cuando solo estaba en su versión 3), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DEFT Extra.

DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DEFT Extra un conjunto de herramientas gratuitas para análisis forense en entornos Windows.

En DEFT podemos encontrar las siguientes herramientas para realizar Análisis Forense, ahora organizadas por categorías para mejorar su usabilidad:

OSINT

• “OSINT Chrome browser”:  Google Chrome personalizado con varios plugins y recursos para llevar a cabo actividades relacionadas con la ‘Open Source Intelligence’

Network Information Gathering

• Host
• Nslookup
• Dig
• Nmap
• Zenmap
• Netcat
• Snmpcheck
• Nbtscan
• Cadaver
• Traceroute
• Hping3
• Xprobe
• Scapy
• Netdiscover

Wireless Information Gathering

• Kismet

Web Application Information Gathering

• Whatweb
• Cmsident
• Dirbuster
• Burpsuite
• Customized Chrome Browser (at least 1gb ram required)

Social Information Gathering

• Creepy
• Snmpcheck
• PieSpy
• Irssi

Identity Protection Tools

• TOR-Browser
• Anonymouse (http://anonymouse.org/anonwww.html)

OSINT Global Framework

• Maltego
• Proactive Resources

Y en el DEFT extra, contamos con el siguiente listado de herramientas para análisis de entornos Windows:

• WinAudit
• MiTeC Windows Registry Recovery
• Zeroview
• FTK Imager
• Nigilant32
• Windows Forensic Toolchest
• MoonSols Win32dd
• MoonSols Win64dd
• Windows File Analyzer
• UltraSearch
• Pre-Search
• XnView
• X-AgentRansackk 2010 (build 762)
• Index.dat Analyzer
• AccessEnum
• Autoruns
• DiskView
• Filemon
• Process eXPlorer
• RAM Map
• Regmon
• Rootkit Revealer
• VMMap
• WinObj
• AlternateStreamView
• ChromeCacheView
• CurrPorts x86 e x64
• CurrProcess
• FoldersReport
• IE Cache View
• IE Cookie View
• IE History View
• Inside Clipboard
• Live Contacts View
• Mozilla Cache View
• Mozilla History View
• MUI Cache View
• MyEventView
• MyLastSearch
• Mozilla Cookie View
• Opened File View
• Opera Cache View
• Outlook Attack View x86 e x64
• Process Activity View x86 e x64
• Recent File View
• Regscanner x86, x64 e win98
• ServiWin
• SkypeLogView
• SmartSniff x86 e x64
• StartupRun
• USBdeview x86 e x64
• User Assist View
• User Profile View
• Video Cache View
• WhatInStartup
• WinPerfectView
• Password Tool
• ChromePass
• Dialupass
• IE PassView
• LSA Secrets Dump x86 e x64
• LSA Secrets View x86 e x64
• Mail PassView
• MessenPas
• Network PassRecovery x86 e x64
• Opera PassView
• PasswordFOX
• PC AnyPass
• Protected Pass View
• PST Password
• Remote Desktop PassView
• VNC PassView
• Win9x Passview
• WirelessKeyView x86 e x64
• AViScreen Portable
• Hoverdesk
• File Restore Plus
• WinVNC
• TreeSizeFree
• PCTime
• LTFViewer
• Sophos Anti-Rootkit
• Terminal with tools command line
• Spartakus
• Testdisk
• Photorec

Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (IT – manuale completo – IT – manuale senza le appendici)

Como novedad en DEFT 7.1, han añadido una excelente herramienta que nos permite sacar una completa línea de tiempo, parseando los logs del sistema y ordenándolos para una fácil comprensión, esta herramienta se llama log2timeline y promete ahorrarnos mucho tiempo en la creación de nuestra línea de tiempo, ademas de las herramientas UsnJrnl-parser y lslnk; Mientras libewf, bulk_extractor, guymager, iPhone Backup Analyzer y Xplico fueron actualizadas.

En la nueva version DEFT 7.2, han añadido una maquina virtual descargable configurada con DEFT 7.2 y soporte para VMWare 5 y USB 3.0,  se actualizó el kernel a la versión 3.0.0-26, ahora es posible usar Autopsy 3 beta 5 con wine (requiere minimo 1gb de ram), incluye soporte para Vmfs y se actualizaron Log2tmeline y Guymager.

liink para descargar 

http://www.deftlinux.net/download/

HTExploit – Herramienta para saltar protección con archivos .htaccess

Los archivos .htaccess son archivos ocultos en texto plano utilizados en los servidores web Apache, que sirven para definir las directivas especificas que deseamos utilizar para una carpeta o en las diferentes subcarpetas que nacen de ella.

Los .htaccess son muy utilizados en la red por los webmasters y administradores de aplicaciones web, algunos de los usos más comunes de los archivos son:

• Impedir listados de archivos en directorios
• Redirecciones de trafico
• Crear mensajes de error personalizados
• Proteger carpetas
• y un largo etc..

Precisamente el uso de los .htaccess para proteger carpetas es uno de los mas utilizados por los webmasters para salvaguardar información sensible de miradas no autorizadas y los fallos en la configuración de estos archivos son los que explota HTExploit.

HTExploit es una herramienta desarrollada en python por el argentino Matías Katz (quien participo con nosotros en el ACK Security Conference) en colaboración con Maximiliano Soler, la cual fue recientemente expuesta en BlackHat 2012  y que hace parte desde la versión R3 de las herramientas para seguridad web incluidas enBackTrack 5, HTExploit nos permite saltarnos (bypassear) la protección realizada con .htaccess a carpetas sensibles en un servidor apache con php y descargar la informacion que se estaba protegiendo.

¿Cómo funciona HTexploit?

El fallo o “funcionalidad de Apache+PHP” que explota la herramienta no es nuevo, como el mismo Matías dice abiertamente, ya existía documentación sobre el tema en los foros de apache desde el año 1997 y consiste en enviarle una petición que el servidor Apache no entienda, por ejemplo DJAR, como esa petición no es conocida por Apache, este se la manda a el PHP para ver si lo sabe interpretar, como el servidor PHP tampoco conoce esa petición la toma como una petición GET, por tanto estaríamos realizando una petición GET con un método X como es el caso de DJAR.

Sabiendo esto ahora podemos entender por que protecciones como la siguiente, es vulnerable a la herramienta, ya que no estamos mandando una peticion “GET” pero al final el resultado es el mismo.

AuthUserFile /home/pagina/www/.htpasswd
AuthGroupFile /dev/null
AuthName “Password Protected Area”
AuthType Basic

<limit GET POST> //limita la autenticación de usuario SOLO a los métodos “GET” y “POST” por tanto al método DJAR no se le aplica.
require valid-user
</limit>

Codigos como los mostrados anteriormente son generados automáticamente cuando utilizamos servicios como.htaccess Generator y en ejemplos de configuracion de .htaccess sin saber que estos archivos son vulnerables a ataques como el realizado por HTExploit.

Ahora que sabemos lo que hace HTExploit por debajo, vamos a ver sus parámetros y funcionamiento.

• -h //Saca el menú de ayuda de la herramienta
• -m // nos permite definir un modulo especifico que deseamos utilizar
  detect // identificar si el directorio es vulnerable
  full // opción por defecto y que escanea toda la carpeta en busca de archivos conocidos que estén en su diccionario
• -u // url que deseamos atacar
• -o // definir la carpeta de salida de los archivos
• -w // definir el diccionario de archivos que vamos a utilizar *
• -v // activar modo verbose para ver en todo momento que esta haciendo la herramienta

* El que la herramienta requiera un diccionario no quiere decir que se hagan ataques de fuerza bruta, el diccionario contiene nombres de archivos que posiblemente tenga la carpeta protegida, al igual que webscarabo dirbuster para encontrar archivos.

Lanzamos la herramienta con el parámetro ./htexploit -m detect -u http://www.mipagina.com/directorioprotegido/ y verificamos que la pagina realmente tenga una configuración de .htaccess vulnerable.

Una vez sabemos que la carpeta es vulnerable, lanzamos la herramienta pasándole como parámetro la el diccionario de archivos, la url vulnerable ./htexploit -w res/FullList -u http://www.mipagina.com/directorioprotegido/ y la herramienta automáticamente genera una carpeta con un nombre aleatorio donde se almacenará la información descargada.

En vez del archivo FullList que incluye htexploit podríamos usar el diccionario de DirBuster incluido en BackTrack 5 R3 cuya ruta es /pentest/web/dirbuster/directory-list-2.3-big.txt , teniendo en cuenta que entre mas grande sea el diccionario de archivos a buscar, mas posibilidades de éxito tendrías, pero también tardará mas.

¿Como configuro adecuadamente mi .htaccess?

Para que la configuración de tu .htaccess no sea vulnerable a htexploit, debes limitar aún más los métodos que puedes recibir, cambiando el “pida validacion a los métodos POST y GET” por “pida validacion a los métodos POST y GET y además deniegue el acceso a todo lo que no sea POST y GET” , esto se consigue añadiendo estas simples líneas de código a tu archivo .htaccess

AuthUserFile /home/pagina/www/.htpasswd
AuthGroupFile /dev/null
AuthName “Password Protected Area”
AuthType Basic

<limit GET POST>
require valid-user
</limit>

<LimitExcept POST GET>
Order deny,allow
Deny from all
</LimitExcept>

¿Que incluirá la herramienta en un futuro?

En próximas versiones se piensa añadir un explorador de enlaces dentro de los archivos descargados, para poder descargar mas archivos de los encontrados con los diccionarios, también se piensa implementar la recursividad, para no tener que ejecutar la herramienta varias veces, añadir los módulos de SQL Injection, RFI y LFI, entre otras funcionalidades.