SlideShare una empresa de Scribd logo

#UPV2017: Inconsciente VS Pícaro

Descargar como PPTX, PDF
Marcos Fuentes
Marcos Fuentes

Este documento presenta el caso de un posible incidente de seguridad en una empresa en el que se enviaron de forma anónima fotografías comprometedoras de un empleado. Marcos Fuentes, un experto en tecnologías de la información, analiza la evidencia digital recolectada de los equipos de los posibles sospechosos para determinar el origen de las fotografías y resolver el incidente siguiendo principios básicos de análisis forense digital.

Presentaciones y charlas públicas
1 de 77
Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI ¿Concienciación?
About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
Un ‘caso’ real Mi ‘Bautismo de Fuego’ con el Análisis Informático Forense «Si algo puede salir mal, probablemente saldrá mal»
Inconsciente VS Pícaro «Si algo puede salir mal, probablemente saldrá mal»
Un 19 de agosto… Marcos, SOS!! • Aparición de 4 fotografías en un folio, a color • Imágenes delicadas para la imagen de la empresa • Un trabajador con un iPhone en la mano • Enviadas en sobre cerrado • De forma… ¿Anónima? • En dos ocasiones • Primera semana de julio • Un 14 de agosto ¡¡Más de un mes desde que comenzó el incidente!!
Wait a moment!! ¿Incidente de Seguridad? RFC, (Request for Comments) https://es.wikipedia.org/wiki/Request_for_Comments https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
Wait a moment!! ¿Incidente de Seguridad? RFC 2828 https://www.ietf.org/rfc2828.txt Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad
Sí, hombre. Ningún problema, porque… “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard Principio de intercambio o transferencia https://www.fwhibbit.es/tag/usboblivion
Si sólo soy un SysAdmin… ¿Qué es un Administrador de Sistemas? https://en.Wikipedia.org/wiki/System_administrator Es la persona que tiene la responsabilidad de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático, o algún aspecto de éste.
Wait a moment!! Si sólo soy un SysAdmin https://www.ietf.org/rfc3227.txt RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad. Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible…
Can I Play? Si sólo soy un SysAdmin No soy Perito Forense
Can I Play? Ley de Enjuiciamiento Civil: 340.1 Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre personas entendidas en aquellas materias. Ley de Enjuiciamiento Criminal: 457 Los peritos pueden ser o no titulares. Son peritos titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la Administración. Son peritos no titulares los que, careciendo de título oficial, tienen, sin embargo, conocimientos o práctica especiales en alguna ciencia o arte. Si sólo soy un SysAdmin No soy Perito Forense Yes, We Can!
Ronda de preguntas • Preguntas de carácter técnico: • ¿Servidores? ¿Estaciones de trabajo? ¿Impresoras? ¿Copiadoras? • ¿Topología de red? ¿Red interna? ¿Red externa? • ¿Políticas de seguridad? • … • Preguntas de carácter personal: • ¿Horarios de entrada y salida? • ¿Costumbres de los empleados? • ¿Relación entre empleados? • … Ninguna pregunta sobra La primera: ¿Hasta dónde quieres llegar?
¿Por dónde empiezo? Pensando Principio de economía o Navaja de Ockham “En igualdad de condiciones, la explicación más sencilla suele ser la más probable.” La teoría más simple tiene más probabilidades de ser correcta que la compleja. https://es.wikipedia.org/wiki/Navaja_de_Ockham ¿’Ataque’ externo? ¿Insider?
Documentoscopia Comprobar la procedencia de un documento A simple vista, (Con una lupa de aumento) www.informaticoforense.eu/informatica-forense-documentoscopia-digital • Paciencia • Capacidad de observación • Experiencia • Curiosidad • ¿Tipo de impresora? ¿Escaneado? • Restos de tóner, manchas de tinta, … • Pequeños detalles
All you need is log!!
Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
CCTV
USBDeView • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ • Más coincidencias con resto equipos www.nirsoft.net/utils/usb_devices_view.html
LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
¿Dónde me he metido?
Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
¿Timeline?
¿Timeline?
Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
¿Eventos?
¿Eventos?
iTunes por aquí, iTunes por allá
iTunes por aquí, iTunes por allá
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
ListManifest • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest
• Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest ListManifest
iPhone Backup Browser • Equipo del ‘Inconsciente’ https://code.google.com/archive/p/iphonebackupbrowser/downloads
• Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
• Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
qemu-img • Equipo del ‘Inconsciente’ https://Linux.die.net/man/1/qemu-img
• Equipo del ‘Inconsciente’ ¿Dónde está el ? ¿Backup en una estación de trabajo? OMG!!
¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’ ¿Dónde está el ?
ibackupbot • Equipo del ‘Inconsciente’ www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
• Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
¿it idea solutions mediasafe? • Equipo del ‘Inconsciente’
Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
¿Timeline?
¿Timeline?
Software Instalado • Equipo del ‘Pícaro’
CCleaner • Equipo del ‘Pícaro’
Actividad del Sistema • Equipo del ‘Pícaro’
Prefetch • Equipo del ‘Pícaro’
¿Eventos?
¿Qué podemos concluir? Sólo lo que hemos visto • Sin hacer juicios de valor • Sin juzgar • Sin suposiciones Eso… Que lo haga otro
El día ‘D’, (Resumiendo)
El día ‘D’, (Resumiendo) https://en.Wikipedia.org/wiki/File_change_log
El día ‘D’, (Resumiendo)
Puede parecer que… Pero…
Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
Y su consecuencia sería… Pícaro WINS ¿Siempre?
Una reflexión • Las Leyes han sido redactadas para ser • Cumplidas • Interpretadas No debemos olvidarnos de el principio de proporcionalidad • Tribunal Europeo de Derechos Humanos (TEDH) • Estrasburgo: 30 de mayo de 2017 • Caso “Trabajo Rueda”
¿Conclusiones? • El juez valora lo expuesto por el perito informático: • Según su leal saber y entender • Según las llamadas reglas de la sana crítica No está vinculado por el sentido del dictamen pericial No tiene que dar más credibilidad a uno que a otro ¿Se puede juzgar algo que se desconoce?
¿Demo?
Muchas gracias por su atención Marcos Fuentes @_N4rr34n6_ N4rr34n6@protonmail.com ¿Quedo absuelto?
¡¡Muchas gracias por su atención!! “Hack, learn, share” & Follow The White Rabbit
Lo hizo un mago “Hack, learn, share” & Follow The White Rabbit

Recomendados

#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterlaMarcos Fuentes
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opciónMarcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always winChema Alonso
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
SEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSESEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSEEdna Lasso
 
Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Raúl Armando Santana Rivas
 

Recomendados

#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterla#CONPilar18: Piénsatelo dos veces antes de meterla
#CONPilar18: Piénsatelo dos veces antes de meterlaMarcos Fuentes
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opciónMarcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always winChema Alonso
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
SEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSESEMANA 1 - COMPUTACION FORENSE
SEMANA 1 - COMPUTACION FORENSEEdna Lasso
 
Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Prevención en tecnología y comunicación
Prevención en tecnología y comunicación Raúl Armando Santana Rivas
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Gustavo Ibañez
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosinstitutoderechoinformatico
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0enriquejsantiago
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8Ignacio Brihuega Rodríguez
 
Informática Forense
Informática ForenseInformática Forense
Informática Forensebetabeers
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...RootedCON
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticoslucosa
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaEstudianteSeguridad
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redEventos Creativos
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Lorenzo Martínez
 
BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica Fernando Chaves
 
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra EdicionAnonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicionfs7yn98vxhjsd
 
Mega resumen
Mega resumenMega resumen
Mega resumenMariela Pérez
 
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...angierangel29072017
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024eCommerce Institute
 

Más contenido relacionado

Similar a #UPV2017: Inconsciente VS Pícaro

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Gustavo Ibañez
 
Informática Forense
Informática ForenseInformática Forense
Informática Forensebetabeers
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...RootedCON
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticoslucosa
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaEstudianteSeguridad
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redEventos Creativos
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Lorenzo Martínez
 
BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica Fernando Chaves
 
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra EdicionAnonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicionfs7yn98vxhjsd
 

Similar a #UPV2017: Inconsciente VS Pícaro (20)

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticos
 
1 osint -v2.0
1 osint -v2.01 osint -v2.0
1 osint -v2.0
 
Hack&beers madrid vol8
Hack&beers madrid vol8Hack&beers madrid vol8
Hack&beers madrid vol8
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Anonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informaticaAnonimato, tecnicas anti forenses y seguridad informatica
Anonimato, tecnicas anti forenses y seguridad informatica
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la red
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
 
BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica BarCamp2014-Universidad Latina - Costa Rica
BarCamp2014-Universidad Latina - Costa Rica
 
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra EdicionAnonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
Anonimato, Tecnicas Anti-Forenses y Seguridad 3ra Edicion
 
Mega resumen
Mega resumenMega resumen
Mega resumen
 

Último

PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...angierangel29072017
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024eCommerce Institute
 
Modelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfModelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfnenelli2004
 
Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024eCommerce Institute
 
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...eCommerce Institute
 
Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024eCommerce Institute
 
Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024eCommerce Institute
 
Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024eCommerce Institute
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfTamanaTablada
 
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024eCommerce Institute
 
Presupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxPresupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxhugogabrielac1
 
Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024eCommerce Institute
 
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024eCommerce Institute
 
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfAct#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfXimenaGonzlez95
 
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024eCommerce Institute
 

Último (15)

PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
 
Modelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfModelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdf
 
Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024
 
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
 
Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024
 
Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024
 
Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdf
 
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
 
Presupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxPresupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptx
 
Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024
 
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
 
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfAct#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
 
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
 

#UPV2017: Inconsciente VS Pícaro

  • 1. Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI ¿Concienciación?
  • 2. About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 3. Un ‘caso’ real Mi ‘Bautismo de Fuego’ con el Análisis Informático Forense «Si algo puede salir mal, probablemente saldrá mal»
  • 4. Inconsciente VS Pícaro «Si algo puede salir mal, probablemente saldrá mal»
  • 5. Un 19 de agosto… Marcos, SOS!! • Aparición de 4 fotografías en un folio, a color • Imágenes delicadas para la imagen de la empresa • Un trabajador con un iPhone en la mano • Enviadas en sobre cerrado • De forma… ¿Anónima? • En dos ocasiones • Primera semana de julio • Un 14 de agosto ¡¡Más de un mes desde que comenzó el incidente!!
  • 6. Wait a moment!! ¿Incidente de Seguridad? RFC, (Request for Comments) https://es.wikipedia.org/wiki/Request_for_Comments https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
  • 7. Wait a moment!! ¿Incidente de Seguridad? RFC 2828 https://www.ietf.org/rfc2828.txt Evento ‘relevante’ que implica una violación de seguridad Evento que desobedece la política de seguridad
  • 8. Sí, hombre. Ningún problema, porque… “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.” https://es.wikipedia.org/wiki/Edmond_Locard Principio de intercambio o transferencia https://www.fwhibbit.es/tag/usboblivion
  • 9. Si sólo soy un SysAdmin… ¿Qué es un Administrador de Sistemas? https://en.Wikipedia.org/wiki/System_administrator Es la persona que tiene la responsabilidad de implementar, configurar, mantener, monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático, o algún aspecto de éste.
  • 10. Wait a moment!! Si sólo soy un SysAdmin https://www.ietf.org/rfc3227.txt RFC 3227 …proporcionar, a los Administradores del Sistema, directrices sobre la recolección y archivo de evidencia relevante para tal incidente de seguridad. Si la recolección se hace correctamente, es mucho más útil…, y tiene mayor posibilidad de ser admisible…
  • 11. Can I Play? Si sólo soy un SysAdmin No soy Perito Forense
  • 12. Can I Play? Ley de Enjuiciamiento Civil: 340.1 Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados entre personas entendidas en aquellas materias. Ley de Enjuiciamiento Criminal: 457 Los peritos pueden ser o no titulares. Son peritos titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la Administración. Son peritos no titulares los que, careciendo de título oficial, tienen, sin embargo, conocimientos o práctica especiales en alguna ciencia o arte. Si sólo soy un SysAdmin No soy Perito Forense Yes, We Can!
  • 13. Ronda de preguntas • Preguntas de carácter técnico: • ¿Servidores? ¿Estaciones de trabajo? ¿Impresoras? ¿Copiadoras? • ¿Topología de red? ¿Red interna? ¿Red externa? • ¿Políticas de seguridad? • … • Preguntas de carácter personal: • ¿Horarios de entrada y salida? • ¿Costumbres de los empleados? • ¿Relación entre empleados? • … Ninguna pregunta sobra La primera: ¿Hasta dónde quieres llegar?
  • 14. ¿Por dónde empiezo? Pensando Principio de economía o Navaja de Ockham “En igualdad de condiciones, la explicación más sencilla suele ser la más probable.” La teoría más simple tiene más probabilidades de ser correcta que la compleja. https://es.wikipedia.org/wiki/Navaja_de_Ockham ¿’Ataque’ externo? ¿Insider?
  • 15. Documentoscopia Comprobar la procedencia de un documento A simple vista, (Con una lupa de aumento) www.informaticoforense.eu/informatica-forense-documentoscopia-digital • Paciencia • Capacidad de observación • Experiencia • Curiosidad • ¿Tipo de impresora? ¿Escaneado? • Restos de tóner, manchas de tinta, … • Pequeños detalles
  • 16. All you need is log!!
  • 17. Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
  • 18. Experience!! La experiencia es un grado Y la CURIOSIDAD, otro
  • 19. CCTV
  • 20. USBDeView • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ • Más coincidencias con resto equipos www.nirsoft.net/utils/usb_devices_view.html
  • 21. LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
  • 22. LastActivityView • Equipo del ‘Inconsciente’ No habrá sido capaz de… www.nirsoft.net/utils/computer_activity_view.html
  • 23. LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
  • 24. LastActivityView • Equipo del ‘Pícaro’ www.nirsoft.net/utils/computer_activity_view.html
  • 25. ¿Dónde me he metido?
  • 26. Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
  • 27. Información del Sistema • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’
  • 30. Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
  • 31. Efeméride: 1 de Enero de 1601 https://en.wikipedia.org/wiki/1601
  • 34. iTunes por aquí, iTunes por allá
  • 35. iTunes por aquí, iTunes por allá
  • 36. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 37. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 38. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 39. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’
  • 40. ListManifest • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest
  • 41. • Equipo del ‘Inconsciente’ https://github.com/aramosf/listManifest ListManifest
  • 42. iPhone Backup Browser • Equipo del ‘Inconsciente’ https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 43. • Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 44. • Equipo del ‘Inconsciente’ iPhone Backup Browser https://code.google.com/archive/p/iphonebackupbrowser/downloads
  • 45. qemu-img • Equipo del ‘Inconsciente’ https://Linux.die.net/man/1/qemu-img
  • 46. • Equipo del ‘Inconsciente’ ¿Dónde está el ? ¿Backup en una estación de trabajo? OMG!!
  • 47. ¿Backup en una estación de trabajo? OMG!! • Equipo del ‘Inconsciente’ ¿Dónde está el ?
  • 48. ibackupbot • Equipo del ‘Inconsciente’ www.icopybot.com/itnues-backup-manager.htm
  • 49. • Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 50. • Equipo del ‘Inconsciente’ Por curiosidad… What’s in Backup?? ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 51. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 52. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 53. • Equipo del ‘Inconsciente’ ibackupbot www.icopybot.com/itnues-backup-manager.htm
  • 54. ¿it idea solutions mediasafe? • Equipo del ‘Inconsciente’
  • 55. Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
  • 56. Dispositivos USB • Equipo del ‘Inconsciente’ • Equipo del ‘Pícaro’ 6 Coincidencias Pero… Esa efeméride de 1601…
  • 59. Software Instalado • Equipo del ‘Pícaro’
  • 60. CCleaner • Equipo del ‘Pícaro’
  • 61. Actividad del Sistema • Equipo del ‘Pícaro’
  • 62. Prefetch • Equipo del ‘Pícaro’
  • 64. ¿Qué podemos concluir? Sólo lo que hemos visto • Sin hacer juicios de valor • Sin juzgar • Sin suposiciones Eso… Que lo haga otro
  • 65. El día ‘D’, (Resumiendo)
  • 66. El día ‘D’, (Resumiendo) https://en.Wikipedia.org/wiki/File_change_log
  • 67. El día ‘D’, (Resumiendo)
  • 69. Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
  • 70. Principios básicos Acreditar que el elemento original no ha sufrido alteraciones Cadena de custodia No volver a conectar el disco origen No trabajar sobre la copia original, si no sobre la copia de la copia Hacer varias copias de la copia original Montar la imagen del Disco Duro como solo lectura Respetar la privacidad, (Intimidad), de los usuarios • Principio de Autenticidad y Conservación • Principio de Legalidad Consentimiento explícito, firmado • Principio de Inalterabilidad • Principio de Privacidad
  • 71. Y su consecuencia sería… Pícaro WINS ¿Siempre?
  • 72. Una reflexión • Las Leyes han sido redactadas para ser • Cumplidas • Interpretadas No debemos olvidarnos de el principio de proporcionalidad • Tribunal Europeo de Derechos Humanos (TEDH) • Estrasburgo: 30 de mayo de 2017 • Caso “Trabajo Rueda”
  • 73. ¿Conclusiones? • El juez valora lo expuesto por el perito informático: • Según su leal saber y entender • Según las llamadas reglas de la sana crítica No está vinculado por el sentido del dictamen pericial No tiene que dar más credibilidad a uno que a otro ¿Se puede juzgar algo que se desconoce?
  • 75. Muchas gracias por su atención Marcos Fuentes @_N4rr34n6_ N4rr34n6@protonmail.com ¿Quedo absuelto?
  • 76. ¡¡Muchas gracias por su atención!! “Hack, learn, share” & Follow The White Rabbit
  • 77. Lo hizo un mago “Hack, learn, share” & Follow The White Rabbit