Memorias perito vol_7_dragonjar_con
•
1 recomendación•1,326 vistas
Lorenzo Martínez nos compartió en el #DragonJARCON 2020 una charla titulada "Memorias de un Perito Informático Forense Vol. VII" cuya descripción es: Lorenzo es ingeniero informático, CTO (Chief Technology Officer) de la empresa Securízame , perito informático forense, miembro de ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica) , asociación de la que forma parte de la junta directiva. Escritor y cofundador en Security By Default , uno de los blogs más importantes sobre seguridad informática de habla hispana. Reconocido ponente en congresos nacionales e internacionales (España, México, Colombia, Chile, Argentina, Bolivia, entre otros), ha sido profesor en materias relacionadas con seguridad informática y forense en másteres de diversas universidades, Colegios de Ingenieros, así como otras instituciones, entre las que destacan el Grupo de Delitos Telemáticos de la Guardia Civil y el CERT (Computer Emergency Response Team) de INCIBE. Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho! Más de DragonJAR.tv : ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------
Recomendados
Recomendados
Más contenido relacionado
Similar a Memorias perito vol_7_dragonjar_con
Similar a Memorias perito vol_7_dragonjar_con (20)
Más de Jaime Restrepo
Más de Jaime Restrepo (20)
Último
Último (17)
Memorias perito vol_7_dragonjar_con
- 1. Lorenzo Martínez R. @LAWWAIT Memorias de un perito informático forense Vol. VII © Todos los derechos reservados
- 2. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Lorenzo Martínez Rodríguez Lorenzo@securizame.com
- 3. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Lorenzo Martínez Rodríguez Lorenzo@securizame.com
- 4. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII ¿Preguntas? SI TIENES PREGUNTAS DURANTE LA CHARLA INGRESAAL CÓDIGO QR E INTRODUCE ESTE NÚMERO #22617qrco.de/preguntar
- 5. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 6. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 7. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 8. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 9. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 10. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Disclaimer • El caso expuesto es verídico • Se ha ocultado identidad real • Resuelto judicialmente • Exposición con única finalidad académica
- 11. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Antecedentes del asunto • Un colega me reenvía un caso • Despido justificado como procedente • Carta de despido apoyada por informe pericial • Estudio Espionaje de actividad del trabajador
- 12. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII ¿De qué parto? • Reunión con cliente • Carta de despido • Baja productividad • Violación de política empresarial • Resultados de monitorización • ¿Peritaje?
- 13. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 14. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 15. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 16. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 17. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 18. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad….
- 19. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Política de uso aceptable de medios informáticos • Utilización de PC para uso personal • Utilización de teléfono del trabajo • Utilización de móvil personal • Gestión de productividad…. con Tracking Time
- 20. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII • https://trackingtime.co/es • Herramienta online para gestión de equipos humanos • Administrador de proyectos • Usuarios imputan horas • Altas/bajas/modificaciones de reportes horarios • Permite prueba gratuita completamente funcional
- 21. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Análisis Tracking Time • Funcionamiento • Usuario gestor de equipo • Usuarios “trabajadores” • Cada usuario crea registros horarios • De 9:00 a 12:00 - Proyecto X • De 12:00 a 13:00 - Reunión con Z • Simulación con dos ordenadores distintos
- 22. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Análisis Tracking Time • Funcionamiento • Usuario gestor de equipo • Usuarios “trabajadores” • Cada usuario crea registros horarios • De 9:00 a 12:00 - Proyecto X • De 12:00 a 13:00 - Reunión con Z • Simulación con dos ordenadores distintos • Gestor de equipos puede crear/modificar/eliminar registros de tiempo a usuarios “trabajadores”
- 23. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII EAM iMonitor • Herramienta de “monitorización” de empleados
- 24. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII EAM iMonitor • Herramienta de “monitorización” de empleados
- 25. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII EAM iMonitor • Herramienta de “monitorización” de empleados
- 26. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII EAM iMonitor • Herramienta de “monitorización” de empleados
- 27. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII EAM iMonitor • Herramienta de “monitorización” de empleados
- 28. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII ¿Diferencias con un DLP? • Data [Leak/Loss] [Protection/Prevention] • Trazabilidad del dato vs. espionaje de actividad • Identifica exfiltración de datos • DLP != Keylogging + VNC!
- 29. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII ¿Diferencias con un DLP? • Data [Leak/Loss] [Protection/Prevention] • Trazabilidad del dato vs. espionaje de actividad • Identifica exfiltración de datos • DLP != Keylogging + VNC!
- 30. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Probemos! • EAM iMonitor -> Versión Trial 15 días • Arquitectura cliente/servidor • Instalación y prueba en local • Windows 2012 -> Servidor • Windows 7 -> Cliente • Características intrusivas • VNC -> Tiempo real • Grabación de TODA la actividad • Keylogger
- 31. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Probemos! • EAM iMonitor -> Versión Trial 15 días • Arquitectura cliente/servidor • Instalación y prueba en local • Windows 2012 -> Servidor • Windows 7 -> Cliente • Características intrusivas • VNC -> Tiempo real • Grabación de TODA la actividad • Keylogger
- 32. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Probemos! • EAM iMonitor -> Versión Trial 15 días • Arquitectura cliente/servidor • Instalación y prueba en local • Windows 2012 -> Servidor • Windows 7 -> Cliente • Características intrusivas • VNC -> Tiempo real • Grabación de TODA la actividad • Keylogger
- 33. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Las causas del despido • Baja productividad -> Tabla con actividad monitorizada • Utilización inadecuada de Tracking Time • Instalación de un programa ajeno en el PC corporativo • Utilización de tablet propia • Conexión de un USB
- 34. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Las causas del despido • Baja productividad -> Tabla con actividad monitorizada • Utilización inadecuada de Tracking Time • Instalación de un programa ajeno en el PC corporativo • Utilización de tablet propia • Conexión de un USB
- 35. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Actuación ante notario • Perito no tiene fe pública • eGarante -> https://www.egarante.com • Requerimiento y diligencia: • Renderización de contenido relevante de webs de Tracking Time y EAM iMonitor • Descarga de documentos públicos • Prueba con Tracking Time versión Free • Prueba con EAM iMonitor
- 36. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Peritaje adverso • El perito -> Ingeniero en informática • Él instala programa para monitorización • Conexión de USB -> Agree* • Aporta grabaciones de pantalla de consola de administración de iMonitor • Correlación con las cámaras de la empresa • Juicios de valor: • Tareas ajenas a la empresa • Instalación de programas no autorizados
- 37. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Destripando EAM iMonitor • Directorio C:EAMDATAdb<ID><usuario>screen YYYYMMDD • Ficheros con capturas de pantalla • Fichero index.txt que especifica orden de reproducción de directorio
- 38. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Destripando EAM iMonitor • Directorio C:EAMDATAdb<ID><usuario>screen YYYYMMDD • Ficheros con capturas de pantalla • Fichero index.txt que especifica orden de reproducción de directorio
- 39. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Destripando EAM iMonitor • Directorio C:EAMDATAdb<ID><usuario>screen YYYYMMDD • Ficheros con capturas de pantalla • Fichero index.txt que especifica orden de reproducción de directorio
- 40. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Destripando EAM iMonitor • Directorio C:EAMDATAdb<ID><usuario>screen YYYYMMDD • Ficheros con capturas de pantalla • Fichero index.txt que especifica orden de reproducción de directorio • Pruebas empíricas alterando mi propia grabación
- 41. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Destripando EAM iMonitor • Directorio C:EAMDATAdb<ID><usuario>screen YYYYMMDD • Ficheros con capturas de pantalla • Fichero index.txt que especifica orden de reproducción de directorio • Pruebas empíricas alterando mi propia grabación
- 42. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Mi informe pericial • Tracking time -> no fiable por ser alterables los registros de tiempo por un administrador • Monitorización MUY invasiva hacia la privacidad de usuario • Posibilidades de trigger con palabras clave -> NULL • Medidas de seguridad para evitar alteración -> NULL • Otras opciones no contempladas por parte de la empresa (Proxies, DLP, bloqueo de USBs, etc) • Discrepancias entre cámaras y actividad de PC • Mis pruebas empíricas -> ante notario
- 43. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII El juicio
- 44. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII El juicio
- 45. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII El juicio
- 46. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 47. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 48. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 49. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 50. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII Agradecimientos
- 51. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII La sentencia • Método empleado es intrusivo para investigar bajo rendimiento -> Vulneración del derecho fundamental de la intimidad • Programa ajeno a la empresa -> El trabajador había usado el programa antes y el jefe lo sabía, sin amonestarle por ello • Conexión de un USB -> Como no se dice si entra o sale info > /dev/null
- 52. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII La sentencia • Tablet propia -> El trabajador dice que la tiene que usar pero que la empresa no la adquirió • ¿Evaluar rendimiento del trabajador con objetivos? • Favorable al trabajador • Despido nulo por vulneración de derechos fundamentales (intimidad) • 10.000 euros de multa • Cabía recurso…
- 53. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII La sentencia • Tablet propia -> El trabajador dice que la tiene que usar pero que la empresa no la adquirió • ¿Evaluar rendimiento del trabajador con objetivos? • Favorable al trabajador • Despido nulo por vulneración de derechos fundamentales (intimidad) • 10.000 euros de multa • Cabía recurso… y recurrieron
- 54. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII La sentencia • Tablet propia -> El trabajador dice que la tiene que usar pero que la empresa no la adquirió • ¿Evaluar rendimiento del trabajador con objetivos? • Favorable al trabajador • Despido nulo por vulneración de derechos fundamentales (intimidad) • 10.000 euros de multa • Cabía recurso… y recurrieron
- 55. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII La sentencia • Tablet propia -> El trabajador dice que la tiene que usar pero que la empresa no la adquirió • ¿Evaluar rendimiento del trabajador con objetivos? • Favorable al trabajador • Despido nulo por vulneración de derechos fundamentales (intimidad) • 10.000 euros de multa • Cabía recurso… y recurrieron
- 56. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII • Aplica sentido común • El perito no tiene fe pública, un notario sí • Lo barato sale caro • Despido “procedente” -> Despido nulo • Ojo a la vulneración de derecho a la intimidad • Entiende lo que hacen las herramientas que usas
- 57. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII ¿Preguntas? SI TIENES PREGUNTAS DURANTE LA CHARLA INGRESAAL CÓDIGO QR E INTRODUCE ESTE NÚMERO #22617qrco.de/preguntar
- 58. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 59. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 60. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 61. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII @Lawwait @securizame /securizame https://www.securizame.com https://cursos.securizame.com https://certificaciones.securizame.com https://www.securiza-t.com +34 91 123 11 73 Lorenzo@securizame.com
- 62. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII
- 63. © Todos los derechos reservados @LAWWAIT Memorias de un perito informático forense Vol. VII