Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Mi spam mi harakiri-un_caso_forense

2.379 visualizaciones

Publicado el

Publicado en: Tecnología
  • Inicia sesión para ver los comentarios

Mi spam mi harakiri-un_caso_forense

  1. 1. Mi Spam / Mi Harakiri Un caso Forense Dinosaurio – Dino EL MUNDO DE DINOSAURIO http://world-of-dino.blogspot.com/ @d7n0 © JHON JAIRO HERNÁNDEZ HERNÁNDEZ d7n0s4ur70@gmail.com Jhonjairo.hernandez@swatsecurityit.com © Jhon Jairo Hernández Hernández
  2. 2. #whoami Director Proyectos Consultor Seguridad Informática / Información Investigador Inform. Forense Académico Socio Fundador SWAT Security-IT SAS © Jhon Jairo Hernández Hernández
  3. 3. Como todos los casos forenses que he tenido que atender, este no dejaba de ser otro caso que se visualizaba como una: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  4. 4. Debido a que nuevamente me encontraba viajando sin información para atender un incidente de Seguridad que atentaba contra una Organización, de ahora en adelante la conoceremos como "EMPRESA AFECTADA". Al parecer se trataba de: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  5. 5. A PARTES DEL INFORME DEL CASO DE INVESTIGACION FORENSE. w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  6. 6. w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  7. 7. Realizar un ANALISIS FORENSE INFORMATICO de seguimiento de correo (Tracking de Email). Se registran en las bandejas entrada de correo de varios usuarios de la Organización, mensajes de SPAM que atentan el GoodWill / Know-how de la "EMPRESA AFECTADA".
  8. 8. ES DETERMINAR EL ORIGEN DE LA DIRECCIÓN IP DEL CORREO. Con fines de apoyar la investigación judicial y análisis informático forense por parte de un Organismo competente de Delitos Informáticos (Dijin, CTI – Fiscalía) posterior a una denuncia penal con carácter averiguatorio o Demanda Judicial interpuesta por la "EMPRESA AFECTADA".
  9. 9. “Se presentan en un periodo de tiempo, problemas de mensajes que atentan contra el Good-Will de la "EMPRESA AFECTADA". Se ha generado una situación preocupante y delicada denigrando la imagen Corporativa por lo tanto la idea es determinar quienes pueden ser los posibles responsables de este perjuicio.”
  10. 10. Determinar si las personas implicadas son los usuarios que realizan las acciones del incidente. Reiterando su veracidad como actores en la ejecución de los mismos.
  11. 11. Identificar los posibles concomitante de la conducta delictiva, hecho penal o acción punible. Con base en la identificación de la dirección IP origen de envió de los mensajes de correo objeto de análisis forense y su correlación de datos con el delito.
  12. 12. Se realizan búsquedas con base en diversos filtros de los mensajes del remitente: INDICIADO_1@hotmail.com Enviados a funcionario@empresaafectada.co Que hacen referencia a los correos recibidos y enviados por el Sr. INDICIADO_1, se extrajeron los siguientes correos:
  13. 13. En esta imagen podemos visualizar los correos que se habían cruzado entre: INDICIADO_1 y un funcionario de la "EMPRESA AFECTADA"
  14. 14. En la siguiente imagen se observa un mensaje de correo enviado por el INDICIADO_1 (abogado) al correo funcionario@EMPRESAAFECTADA, realizando un reclamo del servicio recibido por su cliente y su correspondiente indemnización.
  15. 15. Con base a las cabeceras de correo, que se encontraban de los mensajes enviados por el INDICIADO_1, se ubica la IP origen del computador.
  16. 16. Haciendo uso de la (Latitud, Longitud). Encontramos esta dirección correspondiente no directamente al Computador del implicado, probablemente a los equipos de comunicación de Datos (red de datos del ISP) que le brindan el servicio de Internet hasta su Computador:
  17. 17. Posteriormente nos centramos en analizar los correos del: INDICIADO_1 Para determinar patrones o conductas en Internet orientadas al envió de SPAM.
  18. 18. Revisando el historial de uso de la dirección IP que le ha asignado la entidad que le brinda el Servicio de Internet (ISP), encontramos que ha sido reportado con diversos Servidores Anti-Spam, para lo cual establecíamos el supuesto de que el INDICIADO_1 usaba su cuenta constantemente para el reenvió de clasificados e información de SPAM.
  19. 19. Se establece la siguiente Cronología de los Hechos:
  20. 20. Día, 06 de Enero de 201X 10:16 a.m. La Analista de Servicio envía un mensaje con la respuesta del caso de servicio del cliente que esta apoderando el INDICIADO_1 (abogado)
  21. 21. Día, 06 de Enero de 201X 04:41 p.m. El señor INDICIADO_1 (abogado) del CLIENTE_DEL_ SERVICIO, envía el siguiente correo a la Analista de Servicio de a su bandeja de correo cxxxxxxxx@xxxxxxxm.co
  22. 22. No obstante, de la anterior imagen vamos a destacar que: El INDICIADO_1 (abogado) hace un (reenvió de correo) a la Analista de Crédito. Sin PERCATARSE que está mostrando que el mismo es causante del envió del mensaje. Ha contribuido al reenvió del MENSAJE DE SPAM. Se visualizan en las cuentas de correo que se encuentran en el cuadro color rojo en la anterior imagen en la Fecha y Asunto. Contribuyendo así, al envió del SPAM Fecha de Viernes 16 de Diciembre de 201X Hora 20:58:41 Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXX.
  23. 23. Entre las cuentas se destaca el correo electrónico jxxxxx9@hotmail.com Como una de las Cuentas al que el INDICIADO_1 (abogado) envió el correo de SPAM en la Fecha: Fecha de Martes 20 de Diciembre de 2011 Hora 10:15 PST Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXX.
  24. 24. Realizando nuevamente un seguimiento de origen de la IP del computador del INDICIADO_1 (abogado). Encontramos la IP 186.XXX.XXX.X20 de su cuenta de correo jxxxxxxxx@hotmail.com
  25. 25. Con origen en la Ciudad de Bogotá con coordinadas de posicionamiento Geo local: Latitud 4.6 Longitud -74.0833
  26. 26. Podemos determinar que el proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia. ISP: COLOMBIA TELECOMUNICACIONES S.A. ESP Organización: COLOMBIA TELECOMUNICACIONES S.A. ESP
  27. 27. Con la finalidad de validar la IP asignada al INDICIADO_1 (abogado) en uso de SPAM. Se analizan los siguientes correos que le ha enviado a la Analista de Servicio.
  28. 28. El primer correo SPAM que el INDICIADO_1 (abogado) le envió en la: Fecha 11 Enero de 201X a las 14:48 con: Asunto: “FW: AVISAR ¡Ojo!! XXXXXXX Peligrosas”
  29. 29. Realizando el análisis de origen de la IP asignada al INDICIADO_1 (abogado) en donde se genero este mensaje de SPAM. Encontramos la IP 186.XXX.XXX.16 de su cuenta de correo jxxxxxxxx@hotmail.com
  30. 30. Determinamos nuevamente que el proveedor de servicios es el mismo ( ISP ) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia.
  31. 31. Se toma para el análisis, un segundo mensaje de correo determinado como SPAM enviado por el INDICIADO_1 (abogado) de su cuenta de correo jexxxxxxxxx@hotmail.com con Asunto: “FW: La XXXXXXXXXXXXXX SENTIDO COMUN”
  32. 32. Realizando el análisis de origen de la IP del computador del INDICIADO_1 (abogado) en donde se genero este mensaje. Encontramos que se trata de la misma IP 186.XXX.XX6.16 de su cuenta de correo jexxxxxx@hotmail.com
  33. 33. Corresponde al mismo proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de BogotáColombia.
  34. 34. Estos hechos tomados como patrones nos permiten deducir que el INDICIADO_1 (abogado) (en uso de todas las direcciones IP asignadas a su computador para usar internet) es usuario asiduo al envió de SPAM. Hace parte de su conducta y comportamiento en el uso de Internet. Lo más importante a destacar es que se demuestra como el señor envía el correo SPAM que está afectando la integridad de la “EMPRESA_AFECTADA” al realizar como practica el Forward “Fw” o reenvió del correo objeto de estudio en este análisis forense.
  35. 35. Se continua el procedimiento de análisis tomando otros correos filtrados en la bandeja de correo recibido del Analista de Servicio. Clasificación Realizada con su buzón de correo cxxxxx@xxxxxom.co
  36. 36. Correo reenviado por UN CLIENTE con buzón de correo electrónico axxxx@yahoo.es Asunto: “Fw: CUIDADO! CON XXXXXXXXXXXXXXXXX SIMILARES” a el correo servicioalcliente@xxxxxxxxom.co
  37. 37. Como se observa en estas imágenes no hay Forward “Fw:” del correo a otras personas o usuarios. Marcando la diferencia de los correos enviados por el INDICIADO_1 (abogado). Este correo es dirigido directamente al correo de servicioalcliente@xxxxxxxxom.co con la finalidad de corroborar la situación de difusión que se está realizando en Internet POR PARTE DE UN CLIENTE.
  38. 38. Realizando el análisis de origen de la IP del correo arxxxxx@yahoo.es en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.236 de su cuenta de correo
  39. 39. Correspondiente al proveedor de servicios de Internet (ISP) “ETB - Colombia” ubicado en la Ciudad de Bogotá – Colombia.
  40. 40. De la Bandeja de Correo del Outlook de la Analista de Servicio al Cliente se realiza un filtro con el texto: “MXXA PXXXA CXXX CXXCO” Aparecen los mensajes recibidos en su correo cxxxxx@xxxxxom.co que hacen referencia al asunto de SPAM que atenta contra la imagen corporativa de la “EMPRESA_AFECTADA”
  41. 41. Se realizo la selección de los siguientes correos, como aparecen en la imagen para su posterior análisis:
  42. 42. EL PRIMER CORREO a analizar de esta clasificación INDICIADO_2, su buzón de correo corresponde a: Usuario exxxxxxxjr@yahoo.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXXXXXXXXXXX”. En la siguiente imagen se observa como el correo es enviado a servicioalcliente@xxxxxxxxxcom.co pero a su vez se copia a diferentes buzones de correo, contribuyendo a la difusión del SPAM.
  43. 43. Realizando el análisis de origen de la IP del correo exxxxxxxr@yahoo.com en donde se genero este mensaje. Encontramos la IP 186.XXX.XXX.80 de su cuenta de correo.
  44. 44. Correspondiente al proveedor de servicios de Internet (ISP) “TV Cable S.A.” ubicado en la Ciudad de Bogotá – Colombia
  45. 45. EL SEGUNDO CORREO a analizar de esta clasificación: Realizando el mismo proceso con el correo enviado por el CLIENTE_2, buzón de correo uxxxx3@hotmail.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXX…Ojo, parece haber mucho de seguro” Como podemos observar en la imagen es enviado directamente a cxxxxz@xxxxxxxxom.co (Analista de Servicio al cliente) sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior efxxxxxxr@yahoo.com
  46. 46. Realizando el análisis de origen de la IP del correo uxxxx13@hotmail.com en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.4 de su cuenta de correo
  47. 47. Correspondiente al proveedor de servicios de Internet (ISP) “EPM Telecomunicaciones S.A. E.S.P” ubicado en la Ciudad de Antioquia Medellín – Colombia
  48. 48. EL TERCER CORREO a analizar de esta clasificación INDICIADO_3, buzón de correo corresponde a: jxxxxxb@hotmail.com Asunto: “Fw: ESCANDALO XX XXXXXXXXX ¡IMPORTANT!
  49. 49. Como podemos observar en la imagen es enviado directamente a servicioalcliente@xxxxxxxom.co sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior exxxxxxxr@yahoo.com. Realizando el análisis de origen de la IP del correo jxxxxxb@hotmail.com. Encontramos la IP 190.XXX.XXX.66 de su cuenta de correo.
  50. 50. Correspondiente al proveedor de servicios de Internet ( I S P ) “IFX NETWORKS COLOMBIA” SERVIDOR.POLICIA.GOV.CO ubicado en la Ciudad de Antioquia Medellín – Colombia
  51. 51. EL CUARTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_4, buzón de correo nxxxx2@hotmail.com Asunto: “FW: ESCÁNDALO XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, manifiesta una actitud despectiva, grosera y burlesca de la situación que atañe a “EMPRESA_AFECTADA”
  52. 52. Realizando el análisis de origen de la IP del correo nsxxxxxx2@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.12 de su cuenta de correo.
  53. 53. Correspondiente al proveedor de servicios de Internet ( I S P ) “DIVEO DE COLOMBIA LTDA” ubicado en la Ciudad de BOGOTA – COLOMBIA
  54. 54. EL QUINTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_5, buzón de correo alxxxxxxxx5@hotmail.com Asunto: “RV: ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, se realiza con una actitud despectiva, De insatisfacción del servicio recibido en “EMPRESA_AFECTADA”
  55. 55. Realizando el análisis de origen de la IP del correo alxxxx5@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.46 de su cuenta de correo
  56. 56. Correspondiente al proveedor de servicios de Internet ( I S P ) “TELMEX COLOMBIA S.A.” ubicado en la Ciudad de BOGOTA – COLOMBIA
  57. 57. Aplicando técnicas de patrones de búsqueda de información referente a este SPAM que se viene generando contra la integridad y la imagen corporativa de la EMPRESA_AFECTADA, encontramos la siguiente información en Internet que hace referencia a la misma.
  58. 58. Yahoo! Grupos: Red social de la empresa Yahoo Inc. De aquí destacamos el correo de la usuario Sxxxxxxxy Cxxxxxto Cxxxxxxxxxs cuenta de correo sxxxxxxxxxxo@yahoo.es. Aplicando nuevamente al reenvió de este tipo de SPAM “FW ¡CUIDADO°--- CON XXXXX, XXXXXXXXXX SIMILARES”
  59. 59. Continuando con la búsqueda de información referente al SPAM encontramos: El usuario Lixxx Amxx Mxxxxxxa participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxa@hotmail.com enviando él: SPAM “ESCANDALO EN XXXXXXXXXXXXXXX ¡IMPORTANT!” fecha Sábado 10 de Septiembre de 201X 2:51 pm
  60. 60. Realizando búsqueda de información de esta persona encontramos que se Podría tratar de:
  61. 61. Identificando la IP asignada para el envió de su correo encontramos la siguiente información:
  62. 62. Realizando el análisis de origen de la IP del correo lixxxxxxxa@hotmail.com en donde se genero este mensaje. Encontramos la IP65.XXX.XXX.208 de su cuenta de correo Correspondiente al proveedor de servicios de Internet (ISP) “MICROSOFT HOSTING” Servidor BAY0OMC4.S6.BAY0.HOTM AIL.COM ubicado en la Ciudad de BOGOTA – COLOMBIA
  63. 63. Realizando búsquedas en internet con PATRONES DE DIVERSAS FRASES que hagan referencia o indiquen el camino VIRAL del SPAM.
  64. 64. Realizando búsqueda en internet con la frase: "ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXXX"   Encontramos los siguientes enlaces con información:
  65. 65. Con la frase: "CUIDADO! CON XXXXXXXXXXXXXXXXXXX SIMILARES" "GRAVE DENUNCIA XXXX xxxxxxxxxxx......Ojo parece xxxxxxxx seguro"
  66. 66. Con la frase: “ESCÁNDALO XXXXXXXXXXXXXXXXXX”
  67. 67. Con la frase: “ESCANDALO XXXXXXXXXXXX !IMPORTANT!” Con la frase: “GRAVE DENUNCIA CONTRA XXXXXXXXXXXX”
  68. 68. CONCLUSIONES En referencia a los implicados: •La Analista de Servicio Cxxxxxxxxxxxxxxxxxxx. •El Sr. Dxxxxxxxxxxx Rxxxxxxxxx vinculado a la Empresa XXXXXXXXXXX como Asesor de Proyectos. Los usuarios que fueron reportados como implicados facilitaron la información de sus computadores de trabajo para efectuar el proceso de Análisis Forense Informático a ”EMPRESA_AFECTADA”, en el cual podemos observar su rol como facilitadores y no como concomitante del delito que se podría imputar o tipificar en la ley de delitos informáticos.
  69. 69. Los siguientes usuarios o personas si atentaron contra la integridad corporativa, su confidencialidad y disponibilidad de la información al efectuar reenvíos y contribuir al detrimento patrimonial y denigrar arbitrariamente de la buena imagen de la entidad, afectando su Good-Will y Know-How siendo su valor intrínseco y económico reconocido como bien jurídico tutelado en la Ley 1273 de Delitos Informáticos. El INDICIADO_1 (Abogado) El INDICIADO_2 El INDICIADO_3 El INDICIADO_4 El INDICIADO_5 correo jxxxxxxf@hotmail.com correo exxxxxr@yahoo.com correo nxxxxx2@hotmail.com correo axxxxx5@hotmail.com correo sxxxxxp@cable.net.co
  70. 70. De igual forma se detalla para los usuarios encontrados en INTERNET DIFUNDIENDO LOS MENSAJES DE SPAM: • La usuario Sxxxxx Cxxxx Cxxxxxx participante del grupo de Yahoo Groups de España con la cuenta de correo sxxxxxxxxxxo@yahoo.es • La usuaria Lxxxxxx Axxxxxxx Mxxxxx participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxx@hotmail.com •Se encuentra una gran cantidad de información que hace referencia a EMPRESA_AFECTADA, de las cuales se puede deducir al filtrar la información negativa que el SPAM se viene generando como mínimo hace (2) dos años, es decir su existencia puede encontrarse desde años atrás alrededor de 2009 – 2010. •Se recomienda iniciar contactar con los propietarios de estos enlaces para solicitar el retiro inmediato de la información.
  71. 71. • Iniciar procesos de posicionamiento de Imagen corporativa y marca en Internet semejantes a posicionamiento de SEO, posicionamiento de Imágenes positivas de ”EMPRESA_AFECTADA”, estrategias de posicionamiento Web 2.0, integración de redes sociales en estrategias de Web Marketing, Sistemas de RSS que faciliten la difusión de contenido, realizar una constante administración, monitoreo de los sitios Web su crecimiento y comportamiento en Internet, generar o fortalecer campañas de fidelización de marca, aumentar la cobertura de comunicación en estrategias de medios de comunicación (tv, radio, prensa, internet, etc.) • Adelantar los trámites correspondientes para judicializar los sindicados con base en la ley de delitos informáticos 1273, sentando un precedente del hecho de generar SPAM conlleva a un concurso de delitos informáticos. Aunque este no este tipificado como delito en nuestra legislación Nacional.
  72. 72. Consultar para tipificar el delito la LEY 1273/09 (Protección de la información y de los datos) El anexo: Artículo 269 G: Suplantación de sitios web para capturar datos personales. “El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave”
  73. 73. Consultar LEY ESTATUTARIA 1266 DE 2008 [1] (diciembre 31) Habeas Data. Consultar la Ley Orgánica 10/1995, de 23 de noviembre (CPP). De igual forma tener en cuenta: • ACCION DE TUTELA CONTRA PARTICULARESReiteración de jurisprudencia • DERECHO AL BUEN NOMBRE, AL HABEAS DATA Y DERECHO DE PETICION-Derechos de carácter fundamental • DERECHO AL BUEN NOMBRE-Naturaleza • DERECHO DE PETICION-Mecanismo idóneo para la materialización del derecho al buen nombre y el derecho al habeas data • PRINCIPIO DE VERACIDAD DE LA INFORMACION-Se prohíbe recopilar, procesar y circular información falsa o equívoca/PRINCIPIO DE INTEGRIDAD DE LA INFORMACION-Impone la obligación de suministrar y recopilar datos personales completos a las fuentes de información
  74. 74. w w w .s w a t s e c u r i t y i t . c o m Hernández © Jhon Jairo Hernández

×