Este documento presenta el caso de un posible incidente de seguridad en una empresa en el que se enviaron de forma anónima fotografías comprometedoras de un empleado. Marcos Fuentes, un experto en tecnologías de la información, analiza la evidencia digital recolectada de los equipos de los posibles sospechosos para determinar el origen de las fotografías y resolver el incidente siguiendo principios básicos de análisis forense digital.
2. About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
3. Un ‘caso’ real
Mi ‘Bautismo de Fuego’ con el Análisis Informático Forense
«Si algo puede salir mal, probablemente saldrá mal»
5. Un 19 de agosto… Marcos, SOS!!
• Aparición de 4 fotografías en un folio, a color
• Imágenes delicadas para la imagen de la empresa
• Un trabajador con un iPhone en la mano
• Enviadas en sobre cerrado
• De forma… ¿Anónima?
• En dos ocasiones
• Primera semana de julio
• Un 14 de agosto
¡¡Más de un mes desde que comenzó el incidente!!
6. Wait a moment!!
¿Incidente de Seguridad?
RFC, (Request for Comments)
https://es.wikipedia.org/wiki/Request_for_Comments
https://es.wikipedia.org/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet
7. Wait a moment!!
¿Incidente de Seguridad?
RFC 2828
https://www.ietf.org/rfc2828.txt
Evento ‘relevante’ que implica una violación de
seguridad
Evento que desobedece la política de seguridad
8. Sí, hombre. Ningún problema, porque…
“Siempre que dos objetos entran en contacto transfieren parte del material que incorporan
al otro objeto.”
https://es.wikipedia.org/wiki/Edmond_Locard
Principio de intercambio o transferencia
https://www.fwhibbit.es/tag/usboblivion
9. Si sólo soy un SysAdmin…
¿Qué es un Administrador de Sistemas?
https://en.Wikipedia.org/wiki/System_administrator
Es la persona que tiene la responsabilidad de implementar, configurar, mantener,
monitorizar, documentar y asegurar el correcto funcionamiento de un sistema informático,
o algún aspecto de éste.
10. Wait a moment!!
Si sólo soy un SysAdmin
https://www.ietf.org/rfc3227.txt
RFC 3227
…proporcionar, a los Administradores del Sistema,
directrices sobre la recolección y archivo de
evidencia relevante para tal incidente de seguridad.
Si la recolección se hace correctamente, es mucho
más útil…, y tiene mayor posibilidad de ser
admisible…
11. Can I Play?
Si sólo soy un SysAdmin No soy Perito Forense
12. Can I Play?
Ley de Enjuiciamiento Civil: 340.1
Los peritos deberán poseer el título oficial que corresponda a la materia objeto del dictamen y a la naturaleza
de éste. Si se tratare de materias que no estén comprendidas en títulos profesionales oficiales, habrán de ser
nombrados entre personas entendidas en aquellas materias.
Ley de Enjuiciamiento Criminal: 457
Los peritos pueden ser o no titulares.
Son peritos titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la
Administración.
Son peritos no titulares los que, careciendo de título oficial, tienen, sin embargo, conocimientos o práctica
especiales en alguna ciencia o arte.
Si sólo soy un SysAdmin No soy Perito Forense
Yes, We Can!
13. Ronda de preguntas
• Preguntas de carácter técnico:
• ¿Servidores? ¿Estaciones de trabajo? ¿Impresoras? ¿Copiadoras?
• ¿Topología de red? ¿Red interna? ¿Red externa?
• ¿Políticas de seguridad?
• …
• Preguntas de carácter personal:
• ¿Horarios de entrada y salida?
• ¿Costumbres de los empleados?
• ¿Relación entre empleados?
• …
Ninguna pregunta sobra
La primera: ¿Hasta dónde quieres llegar?
14. ¿Por dónde empiezo?
Pensando
Principio de economía o Navaja de Ockham
“En igualdad de condiciones, la explicación más sencilla suele ser la más probable.”
La teoría más simple tiene más probabilidades de ser correcta que la compleja.
https://es.wikipedia.org/wiki/Navaja_de_Ockham
¿’Ataque’ externo? ¿Insider?
15. Documentoscopia
Comprobar la procedencia de un documento
A simple vista, (Con una lupa de aumento)
www.informaticoforense.eu/informatica-forense-documentoscopia-digital
• Paciencia
• Capacidad de observación
• Experiencia
• Curiosidad
• ¿Tipo de impresora? ¿Escaneado?
• Restos de tóner, manchas de tinta, …
• Pequeños detalles
69. Principios básicos
Acreditar que el elemento original no ha sufrido alteraciones
Cadena de custodia
No volver a conectar el disco origen
No trabajar sobre la copia original, si no sobre la copia de la copia
Hacer varias copias de la copia original
Montar la imagen del Disco Duro como solo lectura
Respetar la privacidad, (Intimidad), de los usuarios
• Principio de Autenticidad y Conservación
• Principio de Legalidad
Consentimiento explícito, firmado
• Principio de Inalterabilidad
• Principio de Privacidad
70. Principios básicos
Acreditar que el elemento original no ha sufrido alteraciones
Cadena de custodia
No volver a conectar el disco origen
No trabajar sobre la copia original, si no sobre la copia de la copia
Hacer varias copias de la copia original
Montar la imagen del Disco Duro como solo lectura
Respetar la privacidad, (Intimidad), de los usuarios
• Principio de Autenticidad y Conservación
• Principio de Legalidad
Consentimiento explícito, firmado
• Principio de Inalterabilidad
• Principio de Privacidad
72. Una reflexión
• Las Leyes han sido redactadas para ser
• Cumplidas
• Interpretadas
No debemos olvidarnos de el principio de proporcionalidad
• Tribunal Europeo de Derechos Humanos (TEDH)
• Estrasburgo: 30 de mayo de 2017
• Caso “Trabajo Rueda”
73. ¿Conclusiones?
• El juez valora lo expuesto por el perito informático:
• Según su leal saber y entender
• Según las llamadas reglas de la sana crítica
No está vinculado por el sentido del dictamen pericial
No tiene que dar más credibilidad a uno que a otro
¿Se puede juzgar algo que se desconoce?