SlideShare ist ein Scribd-Unternehmen logo

Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]

RootedCON
RootedCON

La charla consiste en un caso práctico de investigación forense en un entorno empresial. Debido a la urgencia de la situación se tuvo que improvisar una técnica de trazabilidad para poder averiguar quíen estaba leyendo el correo de uno o varios directivos. La técnica fucionó perfectamente, aunque hubo alguna que otra sorpresa.

Technologie
1 von 52
Downloaden Sie, um offline zu lesen
¿QUIÉN ESTÁ LEYENDO MI CORREO? ▸ @apasamar ▸ @RootedCon Valencia #rootedvlc ▸ Septiembre 2018 1
¿QUIÉN SOY? ▸ Abraham Pasamar ▸ CEO de INCIDE ▸ ¿Qué hacemos? ▸ TL;DR ▸ DFIR y RED TEAM 2
¿QUÉ VAMOS A VER EN ESTA CHARLA? ▸ (Breve) apunte jurídico sobre trazabilidad ▸ Algunas técnicas de trazabilidad ▸ Caso real de una investigación interna de trazabilidad ▸ Y … un desenlace final curioso … 3
INVESTIGANDO UN USUARIO REMOTO … ▸ ¿Quién hay detrás de … ? ▸ @email Anónimo ▸ Comentario en un Foro ▸ Un Usuario en una red social ▸ Etc 4
¿QUÉ SE PUEDE HACER SI SE RECIBEN ANONIMOS? ▸ Si hay denunciar en policía o juzgado ▸ Demasiadas denuncias se “archivan” porque no hay sospechoso ▸ emailanonimo666@gmail.com no es un sospechoso para la justicia ▸ Y si la IP no es “buena” ? (ataque Starbucks) ▸ Si es o no delito a veces es difícil de determinar…pero para la VICTIMA puede ser un problema enorme ▸ Escenarios típicos de una investigación “interna” (previa a la jurídica) 5
¿QUÉ DATOS PUEDO OBTENER DE UN CORREO? ▸ Imaginemos un anónimo que envía un email: ▸ Cabecera técnica del correo ▸ Ejemplo: GMAIL desde un STARBUCKS ▸ CABECERA :´( ▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también puede ser un STARBUCKS y dentro de unos meses allí se acaba la investigación. 6
¿QUÉ DATOS PUEDO OBTENER DE UN CORREO? ▸ Imaginemos un anónimo que envía un email: ▸ Cabecera técnica del correo ▸ Ejemplo: GMAIL desde un STARBUCKS ▸ CABECERA :´( ▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también puede ser un STARBUCKS y dentro de unos meses allí se acaba la investigación. 7
▸ A veces en una cabecera podemos localizar una dirección IP (del emisor) y otras veces no. ▸ ¿De que depende que aparezca esta dirección IP? ▸ Del cliente de correo: Outlook, Mail, Thunderbird, Webmail de (Gmail, Microsoft, Yahoo, etc) ¿QUÉ DATOS SE PUEDEN OBTENER DEL EMISOR DE UN CORREO? 8
¿PODEMOS CONTESTAR CON “ALGO”? ▸ ¿Podemos contestar dentro del marco de la Ley? ▸ ¿Qué puede contener la respuesta y qué no? ▸ Evidentemente incitar a cometer un delito está claro que no puede hacerse (casos de P.I., “abre esta foto”) ▸ …pero “abre este enlace o este adjunto que contiene información del asunto que me comentas en tu correo” … ¿puede hacerse? 9
RESPUESTA AL CORREO - TRAZABILIDAD ▸ TECNICAMENTE: ▸ Opciones de TRAZABILIDAD: ▸ Cuerpo del correo ▸ Enlace ▸ Adjunto ▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/ configura” para la investigación? 10
RESPUESTA AL CORREO - TRAZABILIDAD ▸ TECNICAMENTE: ▸ Opciones de TRAZABILIDAD: ▸ Cuerpo del correo ▸ Enlace ▸ Adjunto ▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/ configura” para la investigación? 11
▸ De forma “pasiva” podemos obtener aquellos datos que el sistema remoto nos va a enviar si abren nuestro correo, pulsan en un enlace o abren un documento adjunto (especialmente diseñados) ▸ El caso más sencillo de entender y ampliamente utilizado es el caso WEB (cargar algo remotamente) ▸ Cuando visitamos una página nuestro NAVEGADOR envía una INFORMACION AL SERVIDOR. ¿QUÉ DATOS SE PUEDEN OBTENER RESPONDIENDO AL EMISOR DE UN CORREO? 12
NAVEGADOR ▸ ¿Qué ocurre cuando visitamos una web? ▸ http://noticias-de-hoy.newsyte.com/news/2018/02/noticia- sentencia-2134.html ▸ Entrada en el log del servidor: 13
NAVEGADOR Dirección IP Fecha/Hora User-agent 14
NAVEGADOR ▸ Estos datos son usados por las empresas cada día para perfilar y adecuar la información ofrecida, dirigir a contenido específico, etc. Dirección IP Fecha/Hora User-agent 15
LOPD/RGPD ▸ Artículo 5 . Derecho de información en la recogida de datos. ▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”. Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía mi IP? ¿Me avisa el receptor del email de que tiene mi IP? ▸ El escenario de investigación mostrado pretende “obtener” una dirección de alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos que avisarle? Según LOPD/RGPD sí … 16
LOPD/RGPD ▸ Artículo 5 . Derecho de información en la recogida de datos. ▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”. Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía mi IP? ¿Me avisa el receptor del email de que tiene mi IP? ▸ El escenario de investigación mostrado pretende “obtener” una dirección de alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos que avisarle? Según LOPD/RGPD sí … 17
¿ALGÚN ABOGADO EN LA SALA? DISCLAIMER ▸ Todo lo que van a ver a continuación son hechos ficticios, cualquier parecido con la realidad es pura coincidencia. 18
OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS 19
OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS 20
OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS (Cómo?) 21
OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS (Cómo?) 22
DEMO TIME 23
Y SI ESTOS DATOS NO SON SUFICIENTES PARA PODER IDENTIFICAR ▸ ¿Podríamos obtener otros datos? (proporcionalidad: los datos justos y necesarios para identificar) ▸ Nombre de usuario ▸ Nombre del PC ▸ IP interna ▸ MAC 24
¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? ▸ Hay que ejecutar código en el equipo remoto ▸ Legalmente: ¿Es legal ejecutar código remoto? ▸ ¿Acciones/Consecuencias del código? ▸ Daños ▸ Fraude ▸ Revelación de secretos ▸ LOPD 25
¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? 26
¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? ▸ Técnicamente: ▸ OPCIONES: ▸ Binario ▸ Script ▸ Macro ▸ Exploit 27
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ Unos directivos sospechan de un DIRECTOR DE IT. ▸ Se han acumulado diversas irregularidades pero creen que podría estar leyendo el correo de los directivos. ▸ ¿Se ha producido el delito de “violación del secreto de las comunicaciones”? Quizá no, es una sospecha 28
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ Existe una política interna de uso de sistemas que advierte de la posibilidad de monitorización de correos electrónicos y otros servicios ▸ Directivo A y B se envían entre sí un/os correo/s con mecanismo de trazabilidad ▸ Ellos son perfectamente conocedores de este mecanismo ▸ Se busca conocer la identidad del presunto “espía” 29
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 30
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 31
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 32
ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 33
ESCENARIO CON SERVIDOR WEB INTERNO ▸ No es viable en este caso porque los sospechosos pertenecen al departamento de IT y esto dificulta mucho ▸ No hay tiempo para hacer pruebas ▸ El cliente está lejos ▸ Disponemos de un día para realizar el documento y configurar y verificar el sistema de trazabilidad 34
MACROS TO THE RESCUE ▸ Macros Office: VBA = Visual Basic for Applications ▸ Wikipedia ▸ “Microsoft VBA (Visual Basic para aplicaciones) es el lenguaje de macros de Microsoft Visual Basic que se utiliza para programar aplicaciones Windows y que se incluye en varias aplicaciones Microsoft. VBA permite a usuarios y programadores ampliar la funcionalidad de programas de la suite Microsoft Office. Visual Basic para Aplicaciones es un subconjunto casi completo de Visual Basic 5.0 y 6.0.” 35
MACRO VBA ▸ Versión 1 ▸ Environ$() ▸ Username ▸ Computername ▸ MsgBox() DEMO TIME 36
MACRO VBA ▸ Versión 2 ▸ + Exfiltración WEB ▸ "http://mi.server.web/"+Datos DEMO 37
MACRO VBA ▸ Versión 3 ▸ + WMI (Windows Management Instrumentation) DEMO 38
MACRO VBA ▸ Versión 4 ▸ Ofuscamos macro ▸ Variables ▸ Strings DEMO 39
¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 40
¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 41
¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 42
¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 43
¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 44
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Se ha realizado un upload (quién?) a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 45
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 46
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 47
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 48
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 49
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 50
¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 51
Muchas gracias 52

Empfohlen

Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)
Mackaber Witckin
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Lorena Arroyo
 
Hackeo sivernetico
Hackeo siverneticoHackeo sivernetico
Hackeo sivernetico
Snatiago Vargas gomez
 
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad CórdobaII Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
miguel_arroyo76
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
Tucuman Valley
 
Proyecto areas-hackers-faik-aliev
Proyecto areas-hackers-faik-alievProyecto areas-hackers-faik-aliev
Proyecto areas-hackers-faik-aliev
faikaliev
 

Empfohlen

Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)
Mackaber Witckin
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Lorena Arroyo
 
Hackeo sivernetico
Hackeo siverneticoHackeo sivernetico
Hackeo sivernetico
Snatiago Vargas gomez
 
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad CórdobaII Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
miguel_arroyo76
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
Tucuman Valley
 
Proyecto areas-hackers-faik-aliev
Proyecto areas-hackers-faik-alievProyecto areas-hackers-faik-aliev
Proyecto areas-hackers-faik-aliev
faikaliev
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
carolinaromero05
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
Vicente Lingan
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
IntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORIntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TOR
Dani Adastra
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Área de Innovación Universidad Internacional de Andalucía
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)
Jorge Martínez Taboada
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8
Ignacio Brihuega Rodríguez
 
Como convertirse en hacker
Como convertirse en hackerComo convertirse en hacker
Como convertirse en hacker
hackbo
 
Hackers y crackers
Hackers y crackersHackers y crackers
Hackers y crackers
Jennifer Toapanta
 
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridadS8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
Luis Fernando Aguas Bucheli
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
Todo sobre mi objetivo
Todo sobre mi objetivoTodo sobre mi objetivo
Todo sobre mi objetivo
Ignacio Brihuega Rodríguez
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
Alejandro Quesada
 
Hacking ético e integridad de la información
Hacking ético e integridad de la informaciónHacking ético e integridad de la información
Hacking ético e integridad de la información
Fernando Pico
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
Gustavo Ibañez
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
Digetech.net
 
Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos Tori
Mar Rubio Rubio
 
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
Oscar Javier Gentilezza Arenas
 
Hacking
HackingHacking
Hacking
ssuserd9fe45
 
Día 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando AguasDía 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando Aguas
Luis Fernando Aguas Bucheli
 
Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information Disclosure
Cristian Borghello
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
Jesusalbertocalderon1
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Área de Innovación Universidad Internacional de Andalucía
 
Como convertirse en hacker
Como convertirse en hackerComo convertirse en hacker
Como convertirse en hacker
hackbo
 

Was ist angesagt? (20)

Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
 
IntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORIntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TOR
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8
 
Como convertirse en hacker
Como convertirse en hackerComo convertirse en hacker
Como convertirse en hacker
 
Hackers y crackers
Hackers y crackersHackers y crackers
Hackers y crackers
 
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridadS8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
S8-AI-4.2 Amenazas, vulnerabilidades y ataques a la ciberseguridad
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Todo sobre mi objetivo
Todo sobre mi objetivoTodo sobre mi objetivo
Todo sobre mi objetivo
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Hacking ético e integridad de la información
Hacking ético e integridad de la informaciónHacking ético e integridad de la información
Hacking ético e integridad de la información
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
 
Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos Tori
 
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre
 
Hacking
HackingHacking
Hacking
 
Día 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando AguasDía 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando Aguas
 

Ähnlich wie Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]

De presa a cazador
De presa a cazador De presa a cazador
De presa a cazador
campus party
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Víctor Acosta Santivañez
 
MTY-ciberseguridad-en-periodismo
MTY-ciberseguridad-en-periodismoMTY-ciberseguridad-en-periodismo
MTY-ciberseguridad-en-periodismo
David Perera
 

Ähnlich wie Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018] (20)

Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information Disclosure
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
U4 Actividad 5
U4 Actividad 5U4 Actividad 5
U4 Actividad 5
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
revista contagio informatico
revista contagio informaticorevista contagio informatico
revista contagio informatico
 
De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011
 
De presa a cazador
De presa a cazador De presa a cazador
De presa a cazador
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...
 
05 ai seguridad2
05 ai seguridad205 ai seguridad2
05 ai seguridad2
 
Seguridad E Internet
Seguridad E InternetSeguridad E Internet
Seguridad E Internet
 
Presentation2
Presentation2Presentation2
Presentation2
 
Hackeando con un troyano
Hackeando con un troyanoHackeando con un troyano
Hackeando con un troyano
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridad en los Sistemas de Información
Seguridad en los Sistemas de InformaciónSeguridad en los Sistemas de Información
Seguridad en los Sistemas de Información
 
Hackon URJC
Hackon URJCHackon URJC
Hackon URJC
 
MTY-ciberseguridad-en-periodismo
MTY-ciberseguridad-en-periodismoMTY-ciberseguridad-en-periodismo
MTY-ciberseguridad-en-periodismo
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernético
 
Privacidad en la red
Privacidad en la redPrivacidad en la red
Privacidad en la red
 
Privacidad en la red
Privacidad en la red Privacidad en la red
Privacidad en la red
 

Mehr von RootedCON

Mehr von RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

Kürzlich hochgeladen

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Kürzlich hochgeladen (11)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 

Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]

  • 1. ¿QUIÉN ESTÁ LEYENDO MI CORREO? ▸ @apasamar ▸ @RootedCon Valencia #rootedvlc ▸ Septiembre 2018 1
  • 2. ¿QUIÉN SOY? ▸ Abraham Pasamar ▸ CEO de INCIDE ▸ ¿Qué hacemos? ▸ TL;DR ▸ DFIR y RED TEAM 2
  • 3. ¿QUÉ VAMOS A VER EN ESTA CHARLA? ▸ (Breve) apunte jurídico sobre trazabilidad ▸ Algunas técnicas de trazabilidad ▸ Caso real de una investigación interna de trazabilidad ▸ Y … un desenlace final curioso … 3
  • 4. INVESTIGANDO UN USUARIO REMOTO … ▸ ¿Quién hay detrás de … ? ▸ @email Anónimo ▸ Comentario en un Foro ▸ Un Usuario en una red social ▸ Etc 4
  • 5. ¿QUÉ SE PUEDE HACER SI SE RECIBEN ANONIMOS? ▸ Si hay denunciar en policía o juzgado ▸ Demasiadas denuncias se “archivan” porque no hay sospechoso ▸ emailanonimo666@gmail.com no es un sospechoso para la justicia ▸ Y si la IP no es “buena” ? (ataque Starbucks) ▸ Si es o no delito a veces es difícil de determinar…pero para la VICTIMA puede ser un problema enorme ▸ Escenarios típicos de una investigación “interna” (previa a la jurídica) 5
  • 6. ¿QUÉ DATOS PUEDO OBTENER DE UN CORREO? ▸ Imaginemos un anónimo que envía un email: ▸ Cabecera técnica del correo ▸ Ejemplo: GMAIL desde un STARBUCKS ▸ CABECERA :´( ▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también puede ser un STARBUCKS y dentro de unos meses allí se acaba la investigación. 6
  • 7. ¿QUÉ DATOS PUEDO OBTENER DE UN CORREO? ▸ Imaginemos un anónimo que envía un email: ▸ Cabecera técnica del correo ▸ Ejemplo: GMAIL desde un STARBUCKS ▸ CABECERA :´( ▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también puede ser un STARBUCKS y dentro de unos meses allí se acaba la investigación. 7
  • 8. ▸ A veces en una cabecera podemos localizar una dirección IP (del emisor) y otras veces no. ▸ ¿De que depende que aparezca esta dirección IP? ▸ Del cliente de correo: Outlook, Mail, Thunderbird, Webmail de (Gmail, Microsoft, Yahoo, etc) ¿QUÉ DATOS SE PUEDEN OBTENER DEL EMISOR DE UN CORREO? 8
  • 9. ¿PODEMOS CONTESTAR CON “ALGO”? ▸ ¿Podemos contestar dentro del marco de la Ley? ▸ ¿Qué puede contener la respuesta y qué no? ▸ Evidentemente incitar a cometer un delito está claro que no puede hacerse (casos de P.I., “abre esta foto”) ▸ …pero “abre este enlace o este adjunto que contiene información del asunto que me comentas en tu correo” … ¿puede hacerse? 9
  • 10. RESPUESTA AL CORREO - TRAZABILIDAD ▸ TECNICAMENTE: ▸ Opciones de TRAZABILIDAD: ▸ Cuerpo del correo ▸ Enlace ▸ Adjunto ▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/ configura” para la investigación? 10
  • 11. RESPUESTA AL CORREO - TRAZABILIDAD ▸ TECNICAMENTE: ▸ Opciones de TRAZABILIDAD: ▸ Cuerpo del correo ▸ Enlace ▸ Adjunto ▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/ configura” para la investigación? 11
  • 12. ▸ De forma “pasiva” podemos obtener aquellos datos que el sistema remoto nos va a enviar si abren nuestro correo, pulsan en un enlace o abren un documento adjunto (especialmente diseñados) ▸ El caso más sencillo de entender y ampliamente utilizado es el caso WEB (cargar algo remotamente) ▸ Cuando visitamos una página nuestro NAVEGADOR envía una INFORMACION AL SERVIDOR. ¿QUÉ DATOS SE PUEDEN OBTENER RESPONDIENDO AL EMISOR DE UN CORREO? 12
  • 13. NAVEGADOR ▸ ¿Qué ocurre cuando visitamos una web? ▸ http://noticias-de-hoy.newsyte.com/news/2018/02/noticia- sentencia-2134.html ▸ Entrada en el log del servidor: 13
  • 15. NAVEGADOR ▸ Estos datos son usados por las empresas cada día para perfilar y adecuar la información ofrecida, dirigir a contenido específico, etc. Dirección IP Fecha/Hora User-agent 15
  • 16. LOPD/RGPD ▸ Artículo 5 . Derecho de información en la recogida de datos. ▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”. Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía mi IP? ¿Me avisa el receptor del email de que tiene mi IP? ▸ El escenario de investigación mostrado pretende “obtener” una dirección de alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos que avisarle? Según LOPD/RGPD sí … 16
  • 17. LOPD/RGPD ▸ Artículo 5 . Derecho de información en la recogida de datos. ▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”. Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía mi IP? ¿Me avisa el receptor del email de que tiene mi IP? ▸ El escenario de investigación mostrado pretende “obtener” una dirección de alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos que avisarle? Según LOPD/RGPD sí … 17
  • 18. ¿ALGÚN ABOGADO EN LA SALA? DISCLAIMER ▸ Todo lo que van a ver a continuación son hechos ficticios, cualquier parecido con la realidad es pura coincidencia. 18
  • 19. OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS 19
  • 20. OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS 20
  • 21. OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS (Cómo?) 21
  • 22. OPCIONES DE TRAZABILIDAD ▸ ENLACE (ya hemos visto) ▸ CUERPO (HTML) ▸ ADJUNTOS (Cómo?) 22
  • 24. Y SI ESTOS DATOS NO SON SUFICIENTES PARA PODER IDENTIFICAR ▸ ¿Podríamos obtener otros datos? (proporcionalidad: los datos justos y necesarios para identificar) ▸ Nombre de usuario ▸ Nombre del PC ▸ IP interna ▸ MAC 24
  • 25. ¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? ▸ Hay que ejecutar código en el equipo remoto ▸ Legalmente: ¿Es legal ejecutar código remoto? ▸ ¿Acciones/Consecuencias del código? ▸ Daños ▸ Fraude ▸ Revelación de secretos ▸ LOPD 25
  • 26. ¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? 26
  • 27. ¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS? ▸ Técnicamente: ▸ OPCIONES: ▸ Binario ▸ Script ▸ Macro ▸ Exploit 27
  • 28. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ Unos directivos sospechan de un DIRECTOR DE IT. ▸ Se han acumulado diversas irregularidades pero creen que podría estar leyendo el correo de los directivos. ▸ ¿Se ha producido el delito de “violación del secreto de las comunicaciones”? Quizá no, es una sospecha 28
  • 29. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ Existe una política interna de uso de sistemas que advierte de la posibilidad de monitorización de correos electrónicos y otros servicios ▸ Directivo A y B se envían entre sí un/os correo/s con mecanismo de trazabilidad ▸ Ellos son perfectamente conocedores de este mecanismo ▸ Se busca conocer la identidad del presunto “espía” 29
  • 30. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 30
  • 31. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 31
  • 32. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 32
  • 33. ESCENARIO DE INVESTIGACIÓN INTERNA ▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo? ▸ Porque hay una gran probabilidad de que lo abra desde dentro de la empresa ▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP Pública que usan para navegar por internet ▸ No podríamos determinar qué usuario interno es el que ha abierto el correo 33
  • 34. ESCENARIO CON SERVIDOR WEB INTERNO ▸ No es viable en este caso porque los sospechosos pertenecen al departamento de IT y esto dificulta mucho ▸ No hay tiempo para hacer pruebas ▸ El cliente está lejos ▸ Disponemos de un día para realizar el documento y configurar y verificar el sistema de trazabilidad 34
  • 35. MACROS TO THE RESCUE ▸ Macros Office: VBA = Visual Basic for Applications ▸ Wikipedia ▸ “Microsoft VBA (Visual Basic para aplicaciones) es el lenguaje de macros de Microsoft Visual Basic que se utiliza para programar aplicaciones Windows y que se incluye en varias aplicaciones Microsoft. VBA permite a usuarios y programadores ampliar la funcionalidad de programas de la suite Microsoft Office. Visual Basic para Aplicaciones es un subconjunto casi completo de Visual Basic 5.0 y 6.0.” 35
  • 36. MACRO VBA ▸ Versión 1 ▸ Environ$() ▸ Username ▸ Computername ▸ MsgBox() DEMO TIME 36
  • 37. MACRO VBA ▸ Versión 2 ▸ + Exfiltración WEB ▸ "http://mi.server.web/"+Datos DEMO 37
  • 38. MACRO VBA ▸ Versión 3 ▸ + WMI (Windows Management Instrumentation) DEMO 38
  • 39. MACRO VBA ▸ Versión 4 ▸ Ofuscamos macro ▸ Variables ▸ Strings DEMO 39
  • 40. ¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 40
  • 41. ¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 41
  • 42. ¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 42
  • 43. ¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 43
  • 44. ¿QUÉ PODIA SALIR MAL? ▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos proporcionan la información necesaria para identificar al posible “espía” ▸ Se lanza el email del directivo A al directivo B ▸ … tic, tac ….tic, tac ▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word así como de la Macro ▸ … y no parece que sean dirección IP del cliente … 44
  • 45. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Se ha realizado un upload (quién?) a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 45
  • 46. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 46
  • 47. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 47
  • 48. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 48
  • 49. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 49
  • 50. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 50
  • 51. ¿QUÉ ES LO QUE HA OCURRIDO? ▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de aquellos ficheros adjuntos que no reconoce y contienen macros o son código de algún tipo ▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo Quintero, Hispasec) ▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo dado que VT está pensado para distribuir muestras a los AVs ▸ Además es incontrolable dado que muchos analistas/empresas descargan las muestras y las tienen automatizas 51