SlideShare una empresa de Scribd logo

#UPV2017: Inconsciente VS Pícaro

Descargar como PPTX, PDF
Marcos Fuentes
Marcos Fuentes

Este documento presenta el caso de un posible incidente de seguridad en una empresa en el que se enviaron de forma anónima fotografías comprometedoras de un empleado. Marcos Fuentes, un experto en tecnologías de la información, analiza la evidencia digital recolectada de los equipos de los posibles sospechosos para determinar el origen de las fotografías y resolver el incidente siguiendo principios básicos de análisis forense digital.

Presentaciones y charlas públicas
1 de 77
Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI ¿Concienciación?
About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
Un ‘caso’ real Mi ‘Bautismo de Fuego’ con el Análisis Informático Forense «Si algo puede salir mal, probablemente saldrá mal»
Inconsciente VS Pícaro «Si algo puede salir mal, probablemente saldrá mal»
Un 19 de agosto… Marcos, SOS!! • Aparición de 4 fotografías en un folio, a color • Imágenes delicadas para la imagen de la empresa • Un trabajador con un iPhone en la mano • Enviadas en sobre cerrado • De forma… ¿Anónima? • En dos ocasiones • Primera semana de julio • Un 14 de agosto ¡¡Más de un mes desde que comenzó el incidente!!
Wait a moment!! ¿Incidente de Seguridad? RFC, (Request for Comments) https://es.wikipedia.org/wiki/Request_for_Comments https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
Wait a moment!! ¿Incidente de Seguridad? RFC 2828 https://www.ietf.org/rfc2828.txt Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad
Sí, hombre. Ningún problema, porque… “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard Principio de intercambio o transferencia https://www.fwhibbit.es/tag/usboblivion
Si sólo soy un SysAdmin… ¿Qué es un Administrador de Sistemas? https://en.Wikipedia.org/wiki/System_administrator Es la persona que tiene la responsabilidad de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático, o algún aspecto de éste.
Wait a moment!! Si sólo soy un SysAdmin https://www.ietf.org/rfc3227.txt RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad. Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible…
Can I Play? Si sólo soy un SysAdmin No soy Perito Forense
Can I Play? Ley de Enjuiciamiento Civil: 340.1 Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre personas entendidas en aquellas materias. Ley de Enjuiciamiento Criminal: 457 Los peritos pueden ser o no titulares. Son peritos titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la Administración. Son peritos no titulares los que, careciendo de título oficial, tienen, sin embargo, conocimientos o práctica especiales en alguna ciencia o arte. Si sólo soy un SysAdmin No soy Perito Forense Yes, We Can!
Ronda de preguntas • Preguntas de carácter técnico: • ¿Servidores? ¿Estaciones de trabajo? ¿Impresoras? ¿Copiadoras? • ¿Topología de red? ¿Red interna? ¿Red externa? • ¿Políticas de seguridad? • … • Preguntas de carácter personal: • ¿Horarios de entrada y salida? • ¿Costumbres de los empleados? • ¿Relación entre empleados? • … Ninguna pregunta sobra La primera: ¿Hasta dónde quieres llegar?
¿Por dónde empiezo? Pensando Principio de economía o Navaja de Ockham “En igualdad de condiciones, la explicación más sencilla suele ser la más probable.” La teoría más simple tiene más probabilidades de ser correcta que la compleja. https://es.wikipedia.org/wiki/Navaja_de_Ockham ¿’Ataque’ externo? ¿Insider?
Documentoscopia Comprobar la procedencia de un documento A simple vista, (Con una lupa de aumento) www.informaticoforense.eu/informatica-forense-documentoscopia-digital • Paciencia • Capacidad de observación • Experiencia • Curiosidad • ¿Tipo de impresora? ¿Escaneado? • Restos de tóner, manchas de tinta, … • Pequeños detalles
All you need is log!!
Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
CCTV
USBDeView • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ • Más coincidencias con resto equipos www.nirsoft.net/utils/usb_devices_view.html
LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
¿Dónde me he metido?
Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
¿Timeline?
¿Timeline?
Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
¿Eventos?
¿Eventos?
iTunes por aquí, iTunes por allá
iTunes por aquí, iTunes por allá
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
ListManifest • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest
• Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest ListManifest
iPhone Backup Browser • Equipo del ‘Inconsciente’ https://code.google.com/archive/p/iphonebackupbrowser/downloads
• Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
• Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
qemu-img • Equipo del ‘Inconsciente’ https://Linux.die.net/man/1/qemu-img
• Equipo del ‘Inconsciente’ ¿Dónde está el ? ¿Backup en una estación de trabajo? OMG!!
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’ ¿Dónde está el ?
ibackupbot • Equipo del ‘Inconsciente’ www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
¿it idea solutions mediasafe? • Equipo del ‘Inconsciente’
Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
¿Timeline?
¿Timeline?
Software Instalado • Equipo del ‘Pícaro’
CCleaner • Equipo del ‘Pícaro’
Actividad del Sistema • Equipo del ‘Pícaro’
Prefetch • Equipo del ‘Pícaro’
¿Eventos?
¿Qué podemos concluir? Sólo lo que hemos visto • Sin hacer juicios de valor • Sin juzgar • Sin suposiciones Eso… Que lo haga otro
El día ‘D’, (Resumiendo)
El día ‘D’, (Resumiendo) https://en.Wikipedia.org/wiki/File_change_log
El día ‘D’, (Resumiendo)
Puede parecer que… Pero…
Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
Y su consecuencia sería… Pícaro WINS ¿Siempre?
Una reflexión • Las Leyes han sido redactadas para ser • Cumplidas • Interpretadas No debemos olvidarnos de el principio de proporcionalidad • Tribunal Europeo de Derechos Humanos (TEDH) • Estrasburgo: 30 de mayo de 2017 • Caso “Trabajo Rueda”
¿Conclusiones? • El juez valora lo expuesto por el perito informático: • Según su leal saber y entender • Según las llamadas reglas de la sana crítica No está vinculado por el sentido del dictamen pericial No tiene que dar más credibilidad a uno que a otro ¿Se puede juzgar algo que se desconoce?
¿Demo?
Muchas gracias por su atención Marcos Fuentes @_N4rr34n6_ N4rr34n6@protonmail.com ¿Quedo absuelto?
¡¡Muchas gracias por su atención!! “Hack, learn, share” & Follow The White Rabbit
Lo hizo un mago “Hack, learn, share” & Follow The White Rabbit

Recomendados

#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla
Marcos Fuentes
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción
Marcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
Chema Alonso
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
Zink Security
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always win
Chema Alonso
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
SEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSESEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSE
Edna Lasso
 
Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Prevención en tecnología y comunicación
Prevención en tecnología y comunicación
Raúl Armando Santana Rivas
 

Recomendados

#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla
Marcos Fuentes
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción
Marcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
Chema Alonso
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
Zink Security
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always win
Chema Alonso
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
SEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSESEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSE
Edna Lasso
 
Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Prevención en tecnología y comunicación
Prevención en tecnología y comunicación
Raúl Armando Santana Rivas
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
Francisco Javier Barrena
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
Gustavo Ibañez
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticos
institutoderechoinformatico
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0
enriquejsantiago
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8
Ignacio Brihuega Rodríguez
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
betabeers
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
RootedCON
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
Instituto Juan Bosco de Huánuco
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
Mauricio Velazco
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
Zink Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
Alejandro Quesada
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informatica
EstudianteSeguridad
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la red
Eventos Creativos
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Francisco Javier Barrena
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
Lorenzo Martínez
 
BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica
Fernando Chaves
 
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra EdicionAnonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
fs7yn98vxhjsd
 
Mega resumen
Mega resumenMega resumen
Mega resumen
Mariela Pérez
 
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALESLA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
farfanataomitza
 
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
augusto2788
 

Más contenido relacionado

Similar a #UPV2017: Inconsciente VS Pícaro

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
Francisco Javier Barrena
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
RootedCON
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
lucosa
 

Similar a #UPV2017: Inconsciente VS Pícaro (20)

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticos
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informatica
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la red
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
 
BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica
 
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra EdicionAnonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
 
Mega resumen
Mega resumenMega resumen
Mega resumen
 

Último

EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
augusto2788
 

Último (6)

LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALESLA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
 
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
 
Modelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfModelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdf
 
DIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigaciónDIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigación
 
Willer Gehizon Sanchez Mora
Willer Gehizon Sanchez MoraWiller Gehizon Sanchez Mora
Willer Gehizon Sanchez Mora
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdf
 

#UPV2017: Inconsciente VS Pícaro

  • 1. Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI ¿Concienciación?
  • 2. About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 3. Un ‘caso’ real Mi ‘Bautismo de Fuego’ con el Análisis Informático Forense «Si algo puede salir mal, probablemente saldrá mal»
  • 4. Inconsciente VS Pícaro «Si algo puede salir mal, probablemente saldrá mal»
  • 5. Un 19 de agosto… Marcos, SOS!! • Aparición de 4 fotografías en un folio, a color • Imágenes delicadas para la imagen de la empresa • Un trabajador con un iPhone en la mano • Enviadas en sobre cerrado • De forma… ¿Anónima? • En dos ocasiones • Primera semana de julio • Un 14 de agosto ¡¡Más de un mes desde que comenzó el incidente!!
  • 6. Wait a moment!! ¿Incidente de Seguridad? RFC, (Request for Comments) https://es.wikipedia.org/wiki/Request_for_Comments https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
  • 7. Wait a moment!! ¿Incidente de Seguridad? RFC 2828 https://www.ietf.org/rfc2828.txt Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad
  • 8. Sí, hombre. Ningún problema, porque… “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard Principio de intercambio o transferencia https://www.fwhibbit.es/tag/usboblivion
  • 9. Si sólo soy un SysAdmin… ¿Qué es un Administrador de Sistemas? https://en.Wikipedia.org/wiki/System_administrator Es la persona que tiene la responsabilidad de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático, o algún aspecto de éste.
  • 10. Wait a moment!! Si sólo soy un SysAdmin https://www.ietf.org/rfc3227.txt RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad. Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible…
  • 11. Can I Play? Si sólo soy un SysAdmin No soy Perito Forense
  • 12. Can I Play? Ley de Enjuiciamiento Civil: 340.1 Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre personas entendidas en aquellas materias. Ley de Enjuiciamiento Criminal: 457 Los peritos pueden ser o no titulares. Son peritos titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la Administración. Son peritos no titulares los que, careciendo de título oficial, tienen, sin embargo, conocimientos o práctica especiales en alguna ciencia o arte. Si sólo soy un SysAdmin No soy Perito Forense Yes, We Can!
  • 13. Ronda de preguntas • Preguntas de carácter técnico: • ¿Servidores? ¿Estaciones de trabajo? ¿Impresoras? ¿Copiadoras? • ¿Topología de red? ¿Red interna? ¿Red externa? • ¿Políticas de seguridad? • … • Preguntas de carácter personal: • ¿Horarios de entrada y salida? • ¿Costumbres de los empleados? • ¿Relación entre empleados? • … Ninguna pregunta sobra La primera: ¿Hasta dónde quieres llegar?
  • 14. ¿Por dónde empiezo? Pensando Principio de economía o Navaja de Ockham “En igualdad de condiciones, la explicación más sencilla suele ser la más probable.” La teoría más simple tiene más probabilidades de ser correcta que la compleja. https://es.wikipedia.org/wiki/Navaja_de_Ockham ¿’Ataque’ externo? ¿Insider?
  • 15. Documentoscopia Comprobar la procedencia de un documento A simple vista, (Con una lupa de aumento) www.informaticoforense.eu/informatica-forense-documentoscopia-digital • Paciencia • Capacidad de observación • Experiencia • Curiosidad • ¿Tipo de impresora? ¿Escaneado? • Restos de tóner, manchas de tinta, … • Pequeños detalles
  • 16. All you need is log!!
  • 17. Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
  • 18. Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
  • 19. CCTV
  • 20. USBDeView • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ • Más coincidencias con resto equipos www.nirsoft.net/utils/usb_devices_view.html
  • 21. LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
  • 22. LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
  • 23. LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
  • 24. LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
  • 25. ¿Dónde me he metido?
  • 26. Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
  • 27. Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
  • 30. Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
  • 31. Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
  • 34. iTunes por aquí, iTunes por allá
  • 35. iTunes por aquí, iTunes por allá
  • 36. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 37. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 38. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 39. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 40. ListManifest • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest
  • 41. • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest ListManifest
  • 42. iPhone Backup Browser • Equipo del ‘Inconsciente’ https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 43. • Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 44. • Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 45. qemu-img • Equipo del ‘Inconsciente’ https://Linux.die.net/man/1/qemu-img
  • 46. • Equipo del ‘Inconsciente’ ¿Dónde está el ? ¿Backup en una estación de trabajo? OMG!!
  • 47. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’ ¿Dónde está el ?
  • 48. ibackupbot • Equipo del ‘Inconsciente’ www.icopybot.com/itnues-backup-manager.htm
  • 49. • Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 50. • Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 51. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 52. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 53. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 54. ¿it idea solutions mediasafe? • Equipo del ‘Inconsciente’
  • 55. Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
  • 56. Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
  • 59. Software Instalado • Equipo del ‘Pícaro’
  • 60. CCleaner • Equipo del ‘Pícaro’
  • 61. Actividad del Sistema • Equipo del ‘Pícaro’
  • 62. Prefetch • Equipo del ‘Pícaro’
  • 64. ¿Qué podemos concluir? Sólo lo que hemos visto • Sin hacer juicios de valor • Sin juzgar • Sin suposiciones Eso… Que lo haga otro
  • 65. El día ‘D’, (Resumiendo)
  • 66. El día ‘D’, (Resumiendo) https://en.Wikipedia.org/wiki/File_change_log
  • 67. El día ‘D’, (Resumiendo)
  • 69. Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
  • 70. Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
  • 71. Y su consecuencia sería… Pícaro WINS ¿Siempre?
  • 72. Una reflexión • Las Leyes han sido redactadas para ser • Cumplidas • Interpretadas No debemos olvidarnos de el principio de proporcionalidad • Tribunal Europeo de Derechos Humanos (TEDH) • Estrasburgo: 30 de mayo de 2017 • Caso “Trabajo Rueda”
  • 73. ¿Conclusiones? • El juez valora lo expuesto por el perito informático: • Según su leal saber y entender • Según las llamadas reglas de la sana crítica No está vinculado por el sentido del dictamen pericial No tiene que dar más credibilidad a uno que a otro ¿Se puede juzgar algo que se desconoce?
  • 75. Muchas gracias por su atención Marcos Fuentes @_N4rr34n6_ N4rr34n6@protonmail.com ¿Quedo absuelto?
  • 76. ¡¡Muchas gracias por su atención!! “Hack, learn, share” & Follow The White Rabbit
  • 77. Lo hizo un mago “Hack, learn, share” & Follow The White Rabbit