Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Prueba digital y casos reales de peritaje informático

247 visualizaciones

Publicado el

La importancia de la prueba digital y casos reales de peritajes informáticos. Presentación usada por Jorge Coronado en el colegio de abogado de Sevilla organizado por el CEAJ en la reunión trimestral. 29/11/2019

Publicado en: Internet
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Prueba digital y casos reales de peritaje informático

  1. 1. La importancia de las pruebas digitales y casos reales JORGE CORONADO PERITO INFORMÁTICO Y FUNDADOR DE QUANTIKA14 WWW.QUANTIKA14.COM 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 1
  2. 2. Introducción 1. No ser la típica charla de peritaje informático 2. Hablar de casos reales 3. Enseñar metodologías de forense informático 4. Enseñar aplicaciones 5. Hacer demostraciones WWW.QUANTIKA14.COM | 954 96 55 51 2
  3. 3. Quién es Jorge Coronado Fundador y CEO de QuantiKa14 Colaborador de Canal Sur Radio desde 2015 Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla en 2017 Co-autor del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos Director del curso de verano sobre la ciberdelincuencia de género en la Universidad de Pablo de Olavide Organizador del congreso internacional OSINTCITY Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) Dinamizador del Hack&Beers Sevilla Autor del canal de Youtube Investiga Conmigo desde el Sü Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 3 @JorgeWebsec
  4. 4. Empresa con más de 20 peritos en Madrid, Barcelona y Sevilla MADRID, SAN SEBASTIÁN DE LOS REYES, TEIDE 5 SEVILLA, CONDE DE CIFUENTES Nº6 LOCAL B 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 4
  5. 5. QuantiKa14 E-CRIMEN 5 Departamento especializado en investigaciones de crímenes informáticos. Gracias a nuestras aplicaciones creadas por QK14 no solo llegamos donde otros no pueden, también lo hacemos más rápido Aplicaciones de OSINT y Big Data Nuestros detectives están dotados de nuestra formación, conocimientos y dispositivos. Peritos informáticos Gracias a la experiencia de nuestros expertos en seguridad informática podemos usar herramientas y técnicas no utilizadas anteriormente en las investigaciones Expertos en seguridad informática y OSINT Contamos con abogados especialistas en las nuevas tecnologías, LOPD, violencia de género, etc Departamento Legal Síguenos en Facebook y Twitter www.quantika14.com | 954 96 55 51
  6. 6. Características fundamentales del peritaje informático ISO 27037 PROCESO AUDITABLE,REPRODUCIBLE Y DEFENDIBLE - Exposición clara de los resultados - Listado de aplicaciones utilizadas con su versión - Exposición la cadena de custodia - Se debe entregar los resultados en el informe papel y digitalmente - Si es necesario alguna aplicación para abrir los archivos adjuntarlos al informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 6
  7. 7. Fases de un peritaje informático estándar WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 7 Extracción y clonado ante notario Análisis Informe Ratificación
  8. 8. La extracción y clonado CUSTODIA NOTARIAL HASH 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 8 https://www.notariofranciscorosales.com/a cta-notarial-de-una-web-2/
  9. 9. Análisis Tradicional: ØCertificar/autentificar emails ØCertificar/autentificar WhatsApp Novedoso: ØApp espía ØCertificar captura de pantalla con ML y Big Data ØOSINT ØIdentificar fuga de información con ML y Big Data WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 9
  10. 10. SUMARIO ESTANDAR CERTIFICACIÓN EMAIL WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 10
  11. 11. Ratificación JUICIO ORAL (RATIFICAR INFORME DE 600 PÁGINAS) EL CAREO EN EL JUICIO ORAL 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 11
  12. 12. CASOS REALES • Una base de datos para gobernarlos a todos (fuga de información) • Yo solo estuve 5 minutos (peritaje informático en WhatsApp) • Autentificando webs de adjudicaciones WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 12
  13. 13. UNA BASE DE DATOS PARA GOBERNARLOS A TODOS LOS COMERCIALES MÁS LISTOS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 13
  14. 14. Startup vulgarmente llamada “Un Pájaro pa’tu casa” DISPONE DE UN CALL CENTER Y UN EQUIPO COMERCIAL PARA LA VENTA Y DISTRIBUCIÓN DE “PAJARITOS” WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 14 TE LLEVAMOS EL PÁJARO A TU CASA
  15. 15. Situación: WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 15 El cliente manifiesta haber perdido más de 200 clientes en una zona muy concreta y sospecha que un ex trabajador haya robado su base de datos El cliente nos envía más de 200 emails, donde siempre se envían desde 15 cuentas diferentes y aportando el DNI adjunto para darse de baja El cliente sospecha de su ex director commercial llamado “Cesar Cadaval”
  16. 16. Objetivos 1. Encontrar a los autores 2. Autentificar las evidencias digitales 3. Crear un informe 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 16 Metodología investigación OSINT y forense informático: 1. Identificar datos iniciales (nombres, Ips, emails, direcciones, etc) 2. Obtener los metadatos de las imágenes 3. Analizar los datos iniciales 4. Forense en los equipos 5. Detallar todas las actuaciones y resultados en el informe
  17. 17. Metadatos RESULTADOS Encontramos dos usuarios que han creado esas imágenes: - Cesar - Ulloa Urrea marketing ¿QUÉ SON LOS METADATOS? 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 17
  18. 18. Patrón en los emails El texto en los emails siempre es igual excepto los datos del cliente que se da de baja. Lo que nos hace sospechar que se está enviando de forma automática y puede ser las mismas personas. WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 18
  19. 19. Analizamos los emails remitentes ¿QUÉ SON LOS LEAKS? Son base de datos o listas de credenciales que han sido extraídas sin autorización de empresas, aplicaciones y páginas webs y son publicadas en Internet. Los leaks más comunes son: LinkedIn Dropbox Badoo Hay miles de leaks. ¿QUÉ ES SPOOFEABLE? Significa que el correo electrónico no tiene suficiente medidas de seguridad y puede ser suplantado por cualquier persona. 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 19
  20. 20. EMAIL OSINT RIPPER (EO- RIPPER.PY) - Encuentra las redes sociales registradas con el email: ◦ Twitter ◦ Instagram ◦ Spotify ◦ Netflix ◦ Wordpress ◦ Pinterest - Leaks - Caso de uso: https://blog.quantika14.com/blog/2019/1 1/21/que-politicos-estan-registrados-en- spotify-con-el-correo-oficial-del-partido/ 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 20
  21. 21. DANTE’S GATES MOBILE (BETA) Formulario para acceso a la BETA: https://quantika14.com/dantes-gates-mobile-beta/ Manual para Android: https://quantika14.com/doc/Manual_DG%20Mobile_Android.pdf Descargar APK para Android: http://dg.qk14.tech/download/Dantes_Gates_Mobile.apk User: dantes | Pass: Dantes_Gates_14 Manuel para IOS: https://quantika14.com/doc/Manual_DG_Mobile_IOS.pdf Descargar IPA para IOS: https://i.diawi.com/BeAwui WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 21
  22. 22. Actuaciones y resultados ØHemos obtenido los metadatos de las imágenes y nos aparece: “Cesar” y “Ulloa Urrea Marketing” ØHemos analizado los emails remitentes desde el cual dan de baja a los clientes y encontramos: ◦ En solo un email aparece asociado una cuenta de Pinterest donde encontramos el nombre de “Cesar Urrea” ◦ Si buscamos en LinkedIn esta persona es el dueño de la empresa “Ulloa Urrea Marketing” 11/29/2019 WWW.QUANTIKA14.COM | 954 96 55 51 22
  23. 23. Situación actual El cliente nos manifiesta que “Cesar Ulloa” fue el director comercial de “Un pájaro pa’tu casa” hasta 2019 y que actualmente ha creado su propia empresa. Preguntamos si tenemos el PC de su antiguo puesto de trabajo. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 23
  24. 24. Identificando fugas de información Podemos crear una línea del tiempo de toda la actividad del ordenador. También detectar y quizás recuperar la información que ha borrado. Inicio sesión con “Cesar” un domingo a las 11:00 Inserto un USB a las 11:05 Copió los archivos al USB de clientes a las 11:06 Quitó el USB a las 11:07 Cerró sesión a las 11:08 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 24
  25. 25. ¡Yo me salí a los 5 minutos! UN GRUPO DE PEDOFILIA EN WHATSAPP WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 25
  26. 26. https://blog.quantik a14.com/blog/2019 /09/24/diario-de-un- perito-informatico- forense-al-movil-de- albert-rivera/ DIARIO DE UN PERITO INFORMÁTICO: FORENSE AL WHATSAPP DE ALBERT RIVERA WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 26
  27. 27. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 27 REGISTRO AQUÍ: https://quantika14.com/curso-sobre- peritaje-informatico-en-whatsapp/ MÁS INFORMACIÓN 954 96 55 51
  28. 28. Situación y manifestaciones 1. El cliente reconoce haber estado en un grupo donde se compartía imágenes y vídeos donde aparece menores manteniendo relaciones sexuales. Sin embargo, dice haber entrado en contra de su voluntad y estar menos de 5 minutos 2. Manifiesta no haber compartido ningún contenido 3. Manifiesta no haber difundido ningún contenido, además, añade no haber visualizado ninguna imagen. Que al ver rápidamente de que iba se salió del grupo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 28
  29. 29. Fases de la pericial 1. Extracción del dispositivo (ante notario recomendado) ◦ El notario añadirá en su acta las diligencias realizadas por el perito informático. Es decir, los procesos realizados de la extracción ◦ El notario se queda con un clonado en custodia notarial durante mínimo 2 años y se dará en caso de ser requerido judicialmente o por el cliente 2. Análisis de la evidencia digital: ◦ Hora del dispositivo ◦ Root ◦ Posible Root anteriormente ◦ Comprobar si hay modificación de las 7 formas posibles ◦ Obtener listado de mensajes eliminados 3. Crear informe con resultados 4. Ratificar informe 29/11/2019WWW.QUANTIKA14.COM 29
  30. 30. ¿Qué preguntas debe hacer un abogado/a a un informe pericial de WhatsApp? 1. ¿La cadena de custodia se ha roto? ¿Hay cadena de custodia? ¿Dónde aparece en el informe? 2. ¿La integridad de las pruebas se ha roto? ¿El perito ha manipulado correctamente las evidencias digitales? ¿Se realizó la extracción ante notario? 3. ¿Qué aplicaciones ha utilizado? 4. ¿Es reproducible los procesos realizados? ¿Otro perito podría realizar los procesos realizados? 5. ¿Los resultados son objetivos y fáciles de entender? ¿Extrae conclusiones fuera de los datos? 6. ¿Se aporta toda la conversación o solo parcialmente? 29/11/2019WWW.QUANTIKA14.COM 30
  31. 31. ¿Qué podemos saber de un forense de un grupo de WhatsApp? Fecha y hora de acceso Tipo de invitación y quién envió la invitación Mensajes enviados y borrados Imágenes, mensajes de voz, vídeos, audios y mensajes de texto Entrada (invitación) y salida de usuarios (quién lo ha expulsado) 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 31
  32. 32. Ejemplo de análisis de la DB de Android para un caso de un grupo de pedófilos 11/29/2019 Si el usuario estaba en un grupo podemos ver los miembros actuales, y también, quedarán almacenados los miembos que se van agregando y saliendo de dicho grupo. En la tabla “messages”, filtramos por el campo 'status’, y, de nuevo, lo filtramos por el valor 6 que indica que es un mensaje de control y luego en 'media_size’: - Valor 4 indica que se te ha añadido al grupo el campo ‘remote_resource’, indicará tu teléfono. - Valor de 5, indica que el usuario del campo ‘key_remote_resource’ ha salido del grupo. - Valor 12, es añadir alguien al grupo, 'remote_resource' es quien añade, y si miras en modo binario el campo 'thumb_image' aparece quien se añade al grupo. - Valor 14, Eliminar del grupo, 'remote_resource' es quien elimina, y si miras en modo binario el campo 'thumb_image' aparece a quien se echa de al grupo. - Valor 20, es XXXX: entró usando un enlace de invitación de este grupo. WWW.QUANTIKA14.COM 32
  33. 33. Resultado 1. Identificamos y listamos toda la actividad del grupo desde que nuestro cliente entró 2. Estuvo más de 5 minutos y visualizó varias imágenes 3. Durante el tiempo que estuvo entraron y salieron más usuarios 4. La mayoría entraron por invitación por el mismo usuario Entró en el grupo por invitación por el usuario +34 *** *** *** el 20/06/2019 a las 14:22:11 Descargó y visualizó una imagen X a las 14:23:44 Accedieron varios usuarios invitados por la misma persona a las 14:25 Descargó y visualizó una imagen Y a las 14:26:13 Durante todo este tiempo recibió X mensajes con Z contenido Se borraron X mensajes y a tal hora Se salió del grupo a las 15:55:43 del 20/06/2019 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 33
  34. 34. Guasap Forensic https://www.youtube.com/wat ch?v=AZaTOYx6ELA - Gratuito y open source - Requiere unos conocimientos técnicos básico/medio - Análisis automático y creación de informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 34
  35. 35. De empresario a concejal de mi empresa AUTENTIFICANDO WEBS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 35
  36. 36. Situación (posible caso de corrupción) 1. El cliente manifiesta que tiene información no contrastada de que un concejal destina contratos menores y licitaciones a la empresa privada donde tenía un cargo de administrador y que actualmente están varios familiares 2. El cliente manifiesta que la información es real pero no tiene forma de demostrarlo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 36
  37. 37. Demostración https://github.com/Quantika14/ osint-suite-tools WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 37
  38. 38. ¿PREGUNTAS? 29/11/2019 DEVFEST 2019 - GDG SEVILLA 38
  39. 39. ¡Muchas gracias por su atención! www.quantika14.com 39

×