Seminario análisis forense - quién se ha llevado mi archivo

1,394 views

Published on

On 29 March 2012 was held in GILD International Forensics seminar "Who stole my file". We talked about the issue of digital spies and information loss. You can download the PDF at the link below.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,394
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
134
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • Seminario análisis forense - quién se ha llevado mi archivo

    1. 1. INCIDE - Seminarios Análisis Forense ¿Quién se ha llevado mi archivo? 29 marzo 2012
    2. 2. Breve presentación 2
    3. 3. Breve presentación• Abraham Pasamar 2
    4. 4. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática 2
    5. 5. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman) 2
    6. 6. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE 2
    7. 7. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial 2
    8. 8. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero 2
    9. 9. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero – Ofrecemos una gestión integral de los procesos en los que se requiere Prueba Electrónica 2
    10. 10. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero – Ofrecemos una gestión integral de los procesos en los que se requiere Prueba Electrónica – Experiencia acumulada: 2
    11. 11. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero – Ofrecemos una gestión integral de los procesos en los que se requiere Prueba Electrónica – Experiencia acumulada: • más de 800 casos atendidos 2
    12. 12. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero – Ofrecemos una gestión integral de los procesos en los que se requiere Prueba Electrónica – Experiencia acumulada: • más de 800 casos atendidos • más de 400 investigaciones realizadas 2
    13. 13. Breve presentación• Abraham Pasamar – Ingeniero Superior y Master Seguridad Informática – Socio Director INCIDE (2005, Grupo Winterman)• INCIDE – Objetivo: Lucha contra Fraude Empresarial – Analistas de información , consultores legales, ingenieros expertos en análisis forense y laboratorio forense tecnológicamente puntero – Ofrecemos una gestión integral de los procesos en los que se requiere Prueba Electrónica – Experiencia acumulada: • más de 800 casos atendidos • más de 400 investigaciones realizadas • más de 300 informes periciales emitidos 2
    14. 14. AGENDA 3
    15. 15. AGENDA• Sospechosos habituales 3
    16. 16. AGENDA• Sospechosos habituales• Motivaciones 3
    17. 17. AGENDA• Sospechosos habituales• Motivaciones• Métodos empleados 3
    18. 18. AGENDA• Sospechosos habituales• Motivaciones• Métodos empleados• Contexto legal 3
    19. 19. AGENDA• Sospechosos habituales• Motivaciones• Métodos empleados• Contexto legal• Casos prácticos 3
    20. 20. AGENDA• Sospechosos habituales• Motivaciones• Métodos empleados• Contexto legal• Casos prácticos• Metodología y buenas prácticas forenses 3
    21. 21. Sospechosos habituales 4
    22. 22. Sospechosos habituales• Empleados descontentos 4
    23. 23. Sospechosos habituales• Empleados descontentos• Potenciales ex-empleados y futura competencia 4
    24. 24. Sospechosos habituales• Empleados descontentos• Potenciales ex-empleados y futura competencia• Socios (minoritarios, poco implicados) 4
    25. 25. Sospechosos habituales• Empleados descontentos• Potenciales ex-empleados y futura competencia• Socios (minoritarios, poco implicados)• Directivos (poco implicados, poco reconocimiento) 4
    26. 26. Sospechosos habituales• Empleados descontentos• Potenciales ex-empleados y futura competencia• Socios (minoritarios, poco implicados)• Directivos (poco implicados, poco reconocimiento)• Pluri-Empleados 4
    27. 27. Sospechosos habituales• Empleados descontentos• Potenciales ex-empleados y futura competencia• Socios (minoritarios, poco implicados)• Directivos (poco implicados, poco reconocimiento)• Pluri-Empleados• Competencia 4
    28. 28. Motivaciones 5
    29. 29. Motivaciones• Interno: 5
    30. 30. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) 5
    31. 31. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) – Aprovechamiento del trabajo ajeno 5
    32. 32. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) – Aprovechamiento del trabajo ajeno – Atribución errónea de la propiedad intelectual (desconocimiento del delito) 5
    33. 33. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) – Aprovechamiento del trabajo ajeno – Atribución errónea de la propiedad intelectual (desconocimiento del delito) – Ánimo de lucro 5
    34. 34. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) – Aprovechamiento del trabajo ajeno – Atribución errónea de la propiedad intelectual (desconocimiento del delito) – Ánimo de lucro• Externo: 5
    35. 35. Motivaciones• Interno: – Conflicto laboral (venganza, ira, odio) – Aprovechamiento del trabajo ajeno – Atribución errónea de la propiedad intelectual (desconocimiento del delito) – Ánimo de lucro• Externo: – Ánimo de lucro, inteligencia competitiva y competencia desleal 5
    36. 36. Métodos empleados 6
    37. 37. Métodos empleados• Navaja de Ockham: 6
    38. 38. Métodos empleados• Navaja de Ockham: – <<Dos teorías en igualdad de condiciones que tienen las mismas consecuencias, la teoría más simple tiene más probabilidades de ser correcta que la compleja>> 6
    39. 39. Métodos empleados• Navaja de Ockham: – <<Dos teorías en igualdad de condiciones que tienen las mismas consecuencias, la teoría más simple tiene más probabilidades de ser correcta que la compleja>> – Es decir, si nos roban la información tendemos a pensar que alguien muy rico ha contratado a Lisbeth Salander que con su programa Asphyxia se ha introducido en nuestros sistemas, pero lo cierto es, que la experiencia nos dice que somos descuidados con la seguridad y no solemos desconfiar de los empleados y compañeros hasta que ocurre algo ... 6
    40. 40. Métodos empleados 7
    41. 41. Métodos empleados• Errores habituales: 7
    42. 42. Métodos empleados• Errores habituales: – Acceso compartido en red y local 7
    43. 43. Métodos empleados• Errores habituales: – Acceso compartido en red y local – Facilitamos los passwords a terceros 7
    44. 44. Métodos empleados• Errores habituales: – Acceso compartido en red y local – Facilitamos los passwords a terceros – Usamos los mismos passwords para diferentes servicios y niveles de seguridad 7
    45. 45. Métodos empleados• Errores habituales: – Acceso compartido en red y local – Facilitamos los passwords a terceros – Usamos los mismos passwords para diferentes servicios y niveles de seguridad – Permitimos el acceso local a nuestros equipos 7
    46. 46. Métodos empleados• Errores habituales: – Acceso compartido en red y local – Facilitamos los passwords a terceros – Usamos los mismos passwords para diferentes servicios y niveles de seguridad – Permitimos el acceso local a nuestros equipos – AV no actualizados 7
    47. 47. Métodos empleados• Errores habituales: – Acceso compartido en red y local – Facilitamos los passwords a terceros – Usamos los mismos passwords para diferentes servicios y niveles de seguridad – Permitimos el acceso local a nuestros equipos – AV no actualizados – No pensamos antes de hacer click (ing. social) 7
    48. 48. Métodos empleados 8
    49. 49. Métodos empleados• Errores habituales: 8
    50. 50. Métodos empleados• Errores habituales: – Falta de conciencia sobre el poder de los administradores de sistemas 8
    51. 51. Métodos empleados• Errores habituales: – Falta de conciencia sobre el poder de los administradores de sistemas – Falta de conciencia sobre el poder de los administradores de sistemas 8
    52. 52. Métodos empleados• Errores habituales: – Falta de conciencia sobre el poder de los administradores de sistemas – Falta de conciencia sobre el poder de los administradores de sistemas – Uso de ordenadores no seguros (familiares, cybercafé) 8
    53. 53. Métodos empleados• Errores habituales: – Falta de conciencia sobre el poder de los administradores de sistemas – Falta de conciencia sobre el poder de los administradores de sistemas – Uso de ordenadores no seguros (familiares, cybercafé) – Malas practicas (recordar passwords, passwords fáciles, vacíos, descarga programas raros, etc.) 8
    54. 54. Métodos empleados• Errores habituales: – Falta de conciencia sobre el poder de los administradores de sistemas – Falta de conciencia sobre el poder de los administradores de sistemas – Uso de ordenadores no seguros (familiares, cybercafé) – Malas practicas (recordar passwords, passwords fáciles, vacíos, descarga programas raros, etc.) – Mala protección/clasificación de información (seg. logica/sistemas) 8
    55. 55. Métodos empleados 9
    56. 56. Métodos empleados– USB (discos memorias teléfonos) 9
    57. 57. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD 9
    58. 58. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos 9
    59. 59. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos– Impresora/Papel 9
    60. 60. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos– Impresora/Papel– Bluetooth/WiFi (vía móvil, agenda, ipad) 9
    61. 61. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos– Impresora/Papel– Bluetooth/WiFi (vía móvil, agenda, ipad)– Internet (Gmail, hotmail, dropbox,.......) 9
    62. 62. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos– Impresora/Papel– Bluetooth/WiFi (vía móvil, agenda, ipad)– Internet (Gmail, hotmail, dropbox,.......) • Eludir filtros: zips con contraseña, cambio extensiones, etc 9
    63. 63. Métodos empleados– USB (discos memorias teléfonos)– CD/DVD– Fotos– Impresora/Papel– Bluetooth/WiFi (vía móvil, agenda, ipad)– Internet (Gmail, hotmail, dropbox,.......) • Eludir filtros: zips con contraseña, cambio extensiones, etc– Software espía convencional (comercial), Troyanos,... 9
    64. 64. Marco Legal 10
    65. 65. Marco Legal• Art. 197.1 CP: descubrimiento y revelación de secretos (1 a 4 años y multa 12 a 24 meses) 10
    66. 66. Marco Legal• Art. 197.1 CP: descubrimiento y revelación de secretos (1 a 4 años y multa 12 a 24 meses) – Apoderamiento mails, papeles, cartas u otros documentos 10
    67. 67. Marco Legal• Art. 197.1 CP: descubrimiento y revelación de secretos (1 a 4 años y multa 12 a 24 meses) – Apoderamiento mails, papeles, cartas u otros documentos – Interceptar telecomunicaciones 10
    68. 68. Marco Legal• Art. 197.1 CP: descubrimiento y revelación de secretos (1 a 4 años y multa 12 a 24 meses) – Apoderamiento mails, papeles, cartas u otros documentos – Interceptar telecomunicaciones – Utilizar artificios técnicos de escucha, transmisión, grabación o reproducción del sonido, imagen o cualquier otra señal de comunicación 10
    69. 69. Marco Legal• Art. 197.1 CP: descubrimiento y revelación de secretos (1 a 4 años y multa 12 a 24 meses) – Apoderamiento mails, papeles, cartas u otros documentos – Interceptar telecomunicaciones – Utilizar artificios técnicos de escucha, transmisión, grabación o reproducción del sonido, imagen o cualquier otra señal de comunicación• Art. 197.6 CP(tipos agravados. 3 a 5 años): realización de hechos con fines lucrativos 10
    70. 70. Marco Legal 11
    71. 71. Marco Legal• Sentencia 534/10 11
    72. 72. Acciones preventivas 12
    73. 73. Acciones preventivas– Reforzar seguridad en general 12
    74. 74. Acciones preventivas– Reforzar seguridad en general • políticas internas 12
    75. 75. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio 12
    76. 76. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall 12
    77. 77. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall • antivirus, antimalware 12
    78. 78. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall • antivirus, antimalware • formación (cultura de seguridad) 12
    79. 79. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall • antivirus, antimalware • formación (cultura de seguridad) • etc 12
    80. 80. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall • antivirus, antimalware • formación (cultura de seguridad) • etc– Forensics Readiness 12
    81. 81. Acciones preventivas– Reforzar seguridad en general • políticas internas • políticas dominio • firewall • antivirus, antimalware • formación (cultura de seguridad) • etc– Forensics Readiness– DLP (Data Loss Prevention) 12
    82. 82. Acciones reactivas 13
    83. 83. Acciones reactivas– Análisis forense informático 13
    84. 84. Caso 1 14
    85. 85. Caso 1• Antecedentes 14
    86. 86. Caso 1• Antecedentes – Recientemente dos trabajadores de una empresa del sector de alimentación han comunicado su dimisión 14
    87. 87. Caso 1• Antecedentes – Recientemente dos trabajadores de una empresa del sector de alimentación han comunicado su dimisión – Uno de ellos es el Responsable de Ventas y gestiona personalmente una parte esencial del know-how de la empresa, las fórmulas de los productos 14
    88. 88. Caso 1• Antecedentes – Recientemente dos trabajadores de una empresa del sector de alimentación han comunicado su dimisión – Uno de ellos es el Responsable de Ventas y gestiona personalmente una parte esencial del know-how de la empresa, las fórmulas de los productos – Al parecer, van a seguir en el sector y están tratando de llevarse a personal de la compañía 14
    89. 89. Caso 1• Antecedentes – Recientemente dos trabajadores de una empresa del sector de alimentación han comunicado su dimisión – Uno de ellos es el Responsable de Ventas y gestiona personalmente una parte esencial del know-how de la empresa, las fórmulas de los productos – Al parecer, van a seguir en el sector y están tratando de llevarse a personal de la compañía – Se sospecha que han borrado información de las fórmulas de su ordenador. No están en el servidor 14
    90. 90. Objetivo 15
    91. 91. Objetivo• localizar patrones de fuga y borrado de información 15
    92. 92. Fuentes de información 16
    93. 93. Fuentes de información• Ordenador portátil y fijo del responsable de ventas y ordenador fijo de su compañero 16
    94. 94. Nociones análisis forense 17
    95. 95. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas 17
    96. 96. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos 17
    97. 97. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos• Los análisis forenses se basan en el estudio de: 17
    98. 98. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos• Los análisis forenses se basan en el estudio de: – líneas temporales 17
    99. 99. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos• Los análisis forenses se basan en el estudio de: – líneas temporales – archivos recientes 17
    100. 100. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos• Los análisis forenses se basan en el estudio de: – líneas temporales – archivos recientes – registro sistema 17
    101. 101. Nociones análisis forense• Los ordenadores no disponen de un sistema de almacenamiento de todas las acciones realizadas• Es preciso conocer como funcionan para buscar posibles rastros que ayuden a reconstruir los hechos ocurridos• Los análisis forenses se basan en el estudio de: – líneas temporales – archivos recientes – registro sistema – búsquedas por palabras clave (keywords), etc 17
    102. 102. Análisis 18
    103. 103. Análisis• acceso masivo (domingo) 18
    104. 104. Análisis• acceso masivo (domingo) 18
    105. 105. Análisis 19
    106. 106. Análisis• utilización de un compresor (winzip) 19
    107. 107. Análisis• utilización de un compresor (winzip) 19
    108. 108. Análisis• utilización de un compresor (winzip)• Inserción dispositivo USB a las 9:53: – C:/WINDOWS/Media/Inserción de hardware de Windows XP.wav 19
    109. 109. Conclusiones 20
    110. 110. Conclusiones• El domingo 4 de mayo a las 8:43: se creó un fichero comprimido, conteniendo al menos trescientos (300) ficheros y doscientas (200) carpetas 20
    111. 111. Conclusiones• El domingo 4 de mayo a las 8:43: se creó un fichero comprimido, conteniendo al menos trescientos (300) ficheros y doscientas (200) carpetas• a continuación se conectó un dispositivo usb 20
    112. 112. Conclusiones• El domingo 4 de mayo a las 8:43: se creó un fichero comprimido, conteniendo al menos trescientos (300) ficheros y doscientas (200) carpetas• a continuación se conectó un dispositivo usb• poco después se eliminaron los ficheros del ordenador 20
    113. 113. Caso 2 21
    114. 114. Caso 2• Antecedentes 21
    115. 115. Caso 2• Antecedentes – Un trabajador comienza a trabajar en el departamento antifraude de una gran compañía de venta por internet el día 2 de Noviembre 21
    116. 116. Caso 2• Antecedentes – Un trabajador comienza a trabajar en el departamento antifraude de una gran compañía de venta por internet el día 2 de Noviembre – El día 8 de noviembre no se presenta en su puesto de trabajo y envía un correo electrónico alegando que por motivos personales renuncia a su posición actual y regresa a su país 21
    117. 117. Caso 2• Antecedentes – Un trabajador comienza a trabajar en el departamento antifraude de una gran compañía de venta por internet el día 2 de Noviembre – El día 8 de noviembre no se presenta en su puesto de trabajo y envía un correo electrónico alegando que por motivos personales renuncia a su posición actual y regresa a su país – Se sospecha que pueda haber sustraído información confidencial 21
    118. 118. Objetivo 22
    119. 119. Objetivo• localizar patrones de fuga de información 22
    120. 120. Fuentes de información 23
    121. 121. Fuentes de información• Ordenador portátil asignado al trabajador durante esos 6 días 23
    122. 122. Análisis 24
    123. 123. Análisis• No se observa utilización de dispositivos externos USB 24
    124. 124. Análisis• No se observa utilización de dispositivos externos USB• No se observa grabación de CD/DVD’s 24
    125. 125. Análisis• No se observa utilización de dispositivos externos USB• No se observa grabación de CD/DVD’s• No accesos servicios externos: FTP, dropbox, etc 24
    126. 126. Análisis• No se observa utilización de dispositivos externos USB• No se observa grabación de CD/DVD’s• No accesos servicios externos: FTP, dropbox, etc• Se detecta uso de cuenta de gmail: 24
    127. 127. Análisis• No se observa utilización de dispositivos externos USB• No se observa grabación de CD/DVD’s• No accesos servicios externos: FTP, dropbox, etc• Se detecta uso de cuenta de gmail: – actividad de GMail y navegador Firefox: ausencia de rastros locales 24
    128. 128. Análisis 25
    129. 129. Análisis• Se estudia el histórico de la actividad de internet y se concatena con la actividad de disco (correlación de eventos) 25
    130. 130. Análisis• Se estudia el histórico de la actividad de internet y se concatena con la actividad de disco (correlación de eventos) 25
    131. 131. Análisis 26
    132. 132. Análisis• Se recuperan archivos borrados de la papelera 26
    133. 133. Análisis• Se recuperan archivos borrados de la papelera• Se trata de capturas de pantalla de la aplicación anti-fraude 26
    134. 134. Análisis• Se recuperan archivos borrados de la papelera• Se trata de capturas de pantalla de la aplicación anti-fraude 26
    135. 135. Análisis• Se recuperan archivos borrados de la papelera• Se trata de capturas de pantalla de la aplicación anti-fraude 26
    136. 136. Conclusiones 27
    137. 137. Conclusiones• Se han encontrado rastros del uso de una cuenta de GMail los días 4 y 5 de noviembre. El día 5 de noviembre, entre las 18:20 y las 18:36, se envían diversos correos electrónicos o se generan los borradores de los mismos 27
    138. 138. Conclusiones• Se han encontrado rastros del uso de una cuenta de GMail los días 4 y 5 de noviembre. El día 5 de noviembre, entre las 18:20 y las 18:36, se envían diversos correos electrónicos o se generan los borradores de los mismos• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un total de 6 documentos en formato Excel 27
    139. 139. Conclusiones• Se han encontrado rastros del uso de una cuenta de GMail los días 4 y 5 de noviembre. El día 5 de noviembre, entre las 18:20 y las 18:36, se envían diversos correos electrónicos o se generan los borradores de los mismos• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un total de 6 documentos en formato Excel• A las 18:32, desde el navegador utilizado para la consulta de la dirección de Gmail, se utiliza el cuadro de diálogo Abrir para uno o varios ficheros desde la carpeta Mis Documentos ...Fraud and Payments del usuario 27
    140. 140. Conclusiones• Se han encontrado rastros del uso de una cuenta de GMail los días 4 y 5 de noviembre. El día 5 de noviembre, entre las 18:20 y las 18:36, se envían diversos correos electrónicos o se generan los borradores de los mismos• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un total de 6 documentos en formato Excel• A las 18:32, desde el navegador utilizado para la consulta de la dirección de Gmail, se utiliza el cuadro de diálogo Abrir para uno o varios ficheros desde la carpeta Mis Documentos ...Fraud and Payments del usuario• Entre las 18:35 y las 18:36, se eliminan los referidos documentos de forma secuencial 27
    141. 141. Caso 3 28
    142. 142. Caso 3• Antecedentes 28
    143. 143. Caso 3• Antecedentes – Empresa en situación complicada y un ERE en negociación 28
    144. 144. Caso 3• Antecedentes – Empresa en situación complicada y un ERE en negociación – Al comenzar las negociaciones el director de RRHH se percata de que todos los empleados están negociando muy bien y solicitan cifras cercanas al máximo previsto por la empresa 28
    145. 145. Caso 3• Antecedentes – Empresa en situación complicada y un ERE en negociación – Al comenzar las negociaciones el director de RRHH se percata de que todos los empleados están negociando muy bien y solicitan cifras cercanas al máximo previsto por la empresa – Se sospecha de filtraciones 28
    146. 146. Caso 3• Antecedentes – Empresa en situación complicada y un ERE en negociación – Al comenzar las negociaciones el director de RRHH se percata de que todos los empleados están negociando muy bien y solicitan cifras cercanas al máximo previsto por la empresa – Se sospecha de filtraciones – El Director de RRHH, el CEO y los abogados externos son los únicos que han intercambiado esta información vía correo electrónico 28
    147. 147. Objetivo 29
    148. 148. Objetivo• localizar patrones de fuga de información sin un sospechoso específico 29
    149. 149. Fuentes de información 30
    150. 150. Fuentes de información• logs de los servidores de la empresa 30
    151. 151. Análisis 31
    152. 152. Análisis• Primer paso: 31
    153. 153. Análisis• Primer paso: – Verificar si los correos electrónicos pueden estar siendo intervenidos 31
    154. 154. Análisis• Primer paso: – Verificar si los correos electrónicos pueden estar siendo intervenidos – Envío de correos electrónicos de trazabilidad 31
    155. 155. Análisis• Primer paso: – Verificar si los correos electrónicos pueden estar siendo intervenidos – Envío de correos electrónicos de trazabilidad – El abogado de la empresa envía a ambos directores un email con asunto: “actualización listado ERE” y un archivo excel adjunto. 31
    156. 156. Análisis 32
    157. 157. Análisis 33
    158. 158. Análisis• Verificada la apertura de correos electrónicos por terceros ajenos a la comunicación original, una de las aperturas es interna, desde dentro de la empresa, la otra es externa, una IP dinámica que no aporta por el momento más información. 33
    159. 159. Análisis• Verificada la apertura de correos electrónicos por terceros ajenos a la comunicación original, una de las aperturas es interna, desde dentro de la empresa, la otra es externa, una IP dinámica que no aporta por el momento más información.• Para la lectura se utiliza el OWA (outlook web app) 33
    160. 160. Análisis 34
    161. 161. Análisis• ¿Cómo acceden sin las contraseñas a los buzones de los usuarios? No ha habido reset de contraseñas y están sincronizadas con el AD (Active Directory) 34
    162. 162. Análisis• ¿Cómo acceden sin las contraseñas a los buzones de los usuarios? No ha habido reset de contraseñas y están sincronizadas con el AD (Active Directory)• Análisis logs OWA 34
    163. 163. Análisis• ¿Cómo acceden sin las contraseñas a los buzones de los usuarios? No ha habido reset de contraseñas y están sincronizadas con el AD (Active Directory)• Análisis logs OWA – Logins usuario Adminbes del servidor de Blackberry en el OWA !!! 34
    164. 164. Análisis 35
    165. 165. Análisis 36
    166. 166. Análisis 37
    167. 167. Análisis 38
    168. 168. Análisis 39
    169. 169. Análisis 40
    170. 170. Conclusiones 41
    171. 171. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros 41
    172. 172. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios 41
    173. 173. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP) 41
    174. 174. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: 41
    175. 175. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) 41
    176. 176. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) – Forense PC’s 41
    177. 177. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) – Forense PC’s – Empresa: metodología trabajo IT, incidencias 41
    178. 178. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros 41
    179. 179. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios 41
    180. 180. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP) 41
    181. 181. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: 41
    182. 182. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) 41
    183. 183. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) – Forense PC’s 41
    184. 184. Conclusiones• Los correos de trazabilidad demostraron accesos a los buzones de CEO y Dir. RRHH por parte de terceros• El análisis de logs ha demostrado accesos mediante un procedimiento poco convencional a los buzones de muchos más usuarios• Es necesario solicitar requerimientos a los Proveedores de Servicio para identificar a los posibles autores (direcciones IP)• Otras pruebas adicionales: – Análisis vulneración intimidad (¿qué se ha accedido exactamente?) – Forense PC’s – Empresa: metodología trabajo IT, incidencias 41
    185. 185. Metodología ybuenas prácticas forenses 42
    186. 186. Metodología y buenas prácticas forenses• Reglas de los NO: 42
    187. 187. Metodología y buenas prácticas forenses• Reglas de los NO: – NO encender el ordenador (de nuevo) ya que puede sobrescribir sus datos y perder indicios 42
    188. 188. Metodología y buenas prácticas forenses• Reglas de los NO: – NO encender el ordenador (de nuevo) ya que puede sobrescribir sus datos y perder indicios – NO acceder al ordenador del empleado aunque el informático le diga que no se puede detectar (SE DETECTA) 42
    189. 189. Metodología y buenas prácticas forenses• Reglas de los NO: – NO encender el ordenador (de nuevo) ya que puede sobrescribir sus datos y perder indicios – NO acceder al ordenador del empleado aunque el informático le diga que no se puede detectar (SE DETECTA) – NO hacer búsquedas 42
    190. 190. Metodología y buenas prácticas forenses• Reglas de los NO: – NO encender el ordenador (de nuevo) ya que puede sobrescribir sus datos y perder indicios – NO acceder al ordenador del empleado aunque el informático le diga que no se puede detectar (SE DETECTA) – NO hacer búsquedas – NO intentar recuperar archivos 42
    191. 191. Metodología ybuenas prácticas forenses 43
    192. 192. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: 43
    193. 193. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: 43
    194. 194. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: • Política de uso de sistemas que incluya auditoria (firmada por el trabajador) 43
    195. 195. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: • Política de uso de sistemas que incluya auditoria (firmada por el trabajador) • Indagar solo en los sistemas comunes (SAP, Proxy, logs (con cuidado), etc.) 43
    196. 196. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: • Política de uso de sistemas que incluya auditoria (firmada por el trabajador) • Indagar solo en los sistemas comunes (SAP, Proxy, logs (con cuidado), etc.) • Anotar todo el histórico de sospechas, fechas y detalles 43
    197. 197. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: • Política de uso de sistemas que incluya auditoria (firmada por el trabajador) • Indagar solo en los sistemas comunes (SAP, Proxy, logs (con cuidado), etc.) • Anotar todo el histórico de sospechas, fechas y detalles • Ser prudente (minimizar el número de informados) 43
    198. 198. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte de la empresa: • Política de uso de sistemas que incluya auditoria (firmada por el trabajador) • Indagar solo en los sistemas comunes (SAP, Proxy, logs (con cuidado), etc.) • Anotar todo el histórico de sospechas, fechas y detalles • Ser prudente (minimizar el número de informados) • Llamar a su abogado 43
    199. 199. Metodología ybuenas prácticas forenses 44
    200. 200. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: 44
    201. 201. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: 44
    202. 202. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: • Consultar lo antes posible a expertos en prueba electrónica para: 44
    203. 203. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: • Consultar lo antes posible a expertos en prueba electrónica para: – Aseguramiento/Evitar pérdida y/o conseguir más indicios 44
    204. 204. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: • Consultar lo antes posible a expertos en prueba electrónica para: – Aseguramiento/Evitar pérdida y/o conseguir más indicios – Estrategia correcta (experiencia acumulada) 44
    205. 205. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: • Consultar lo antes posible a expertos en prueba electrónica para: – Aseguramiento/Evitar pérdida y/o conseguir más indicios – Estrategia correcta (experiencia acumulada) – Valor probatorio 44
    206. 206. Metodología y buenas prácticas forenses• Pasos a seguir tras un incidente: – Por parte del abogado: • Consultar lo antes posible a expertos en prueba electrónica para: – Aseguramiento/Evitar pérdida y/o conseguir más indicios – Estrategia correcta (experiencia acumulada) – Valor probatorio • No solo en casos en los que se evidencia un incidente informático, en todos en los que haya involucrados correos electrónicos, necesidad de acceso a equipos informáticos, etc 44
    207. 207. Metodología ybuenas prácticas forenses 45
    208. 208. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? 45
    209. 209. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia 45
    210. 210. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto 45
    211. 211. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información 45
    212. 212. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores 45
    213. 213. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores • servidores 45
    214. 214. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores • servidores • dispositivos usb 45
    215. 215. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores • servidores • dispositivos usb • teléfonos móviles 45
    216. 216. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores • servidores • dispositivos usb • teléfonos móviles – Preservación de la información 45
    217. 217. Metodología y buenas prácticas forenses• ¿Que haremos nosotros? – Reunión/Comité crisis --> estrategia – Información de contexto – Identificación fuentes de información • ordenadores • servidores • dispositivos usb • teléfonos móviles – Preservación de la información • cadena de custodia: copia espejo 45
    218. 218. Metodología ybuenas prácticas forenses 46
    219. 219. Metodología ybuenas prácticas forenses 47
    220. 220. Metodología y buenas prácticas forenses• Actuaciones in-situ: 47
    221. 221. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: 47
    222. 222. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información 47
    223. 223. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos 47
    224. 224. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión 47
    225. 225. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión • Imprecisión 47
    226. 226. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión • Imprecisión • Sesgo 47
    227. 227. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión • Imprecisión • Sesgo • Falta objetividad 47
    228. 228. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión • Imprecisión • Sesgo • Falta objetividad • Falta herramientas 47
    229. 229. Metodología y buenas prácticas forenses• Actuaciones in-situ: – Solo para casos muy concretos: • Tiempo muy limitado / exceso de información • Procesos forenses son largos y complejos • Presión • Imprecisión • Sesgo • Falta objetividad • Falta herramientas 47
    230. 230. Metodología ybuenas prácticas forenses 48
    231. 231. Metodología y buenas prácticas forenses• Cadena de custodia: 48
    232. 232. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: 48
    233. 233. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) 48
    234. 234. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) • Presencia trabajador/Notificación al trabajador 48
    235. 235. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) • Presencia trabajador/Notificación al trabajador • Representante de los trabajadores 48
    236. 236. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) • Presencia trabajador/Notificación al trabajador • Representante de los trabajadores • En horario laboral 48
    237. 237. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) • Presencia trabajador/Notificación al trabajador • Representante de los trabajadores • En horario laboral • Actas de testigos 48
    238. 238. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense, aunque exista protocolo interno y la Tribunal Supremo 26 Septiembre 2007, se recomienda: • Ante notario (presencia y depósito) • Presencia trabajador/Notificación al trabajador • Representante de los trabajadores • En horario laboral • Actas de testigos • Hash criptográfico 48
    239. 239. Metodología ybuenas prácticas forenses 49
    240. 240. Metodología y buenas prácticas forenses• Cadena de custodia: 49
    241. 241. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense 49
    242. 242. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense • Cerrar un sobre con disco duro 49
    243. 243. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense • Cerrar un sobre con disco duro • Etiqueta de seguridad 49
    244. 244. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense • Cerrar un sobre con disco duro • Etiqueta de seguridad • Reflejar información cadena de custodia 49
    245. 245. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense • Cerrar un sobre con disco duro • Etiqueta de seguridad • Reflejar información cadena de custodia • Entregar a notario o meter en caja fuerte 49
    246. 246. Metodología y buenas prácticas forenses• Cadena de custodia: – copia espejo/copia forense • Cerrar un sobre con disco duro • Etiqueta de seguridad • Reflejar información cadena de custodia • Entregar a notario o meter en caja fuerte 49
    247. 247. Metodología ybuenas prácticas forenses 50
    248. 248. Metodología y buenas prácticas forenses• Copia espejo/copia forense/copia ciega/copia bit a bit: 50
    249. 249. Metodología y buenas prácticas forenses• Copia espejo/copia forense/copia ciega/copia bit a bit: – Es una copia BIT a BIT de TODA la información contenida en un medio de almacenamiento de información (generalmente un disco duro) 50
    250. 250. Metodología ybuenas prácticas forenses 51
    251. 251. Metodología y buenas prácticas forenses• Copia espejo 51
    252. 252. Metodología y buenas prácticas forenses• Copia espejo Disco Duro Original 101000101010100011010011010 ….. Copia bit a bit ……. 101000101010100011010011010 Disco Duro DestinoArchivo decopia -No es una copia a nivel de Archivos ni de sistema operativo 51
    253. 253. Metodología ybuenas prácticas forenses 52
    254. 254. Metodología y buenas prácticas forenses• Métodos de copia 52
    255. 255. Metodología y buenas prácticas forenses• Métodos de copia – Hardware de copiado: 52
    256. 256. Metodología y buenas prácticas forenses• Métodos de copia – Hardware de copiado: • Sencillo de entender por los profanos 52
    257. 257. Metodología y buenas prácticas forenses• Métodos de copia – Hardware de copiado: • Sencillo de entender por los profanos • Método muy visual 52
    258. 258. Metodología y buenas prácticas forenses• Métodos de copia – Hardware de copiado: • Sencillo de entender por los profanos • Método muy visual • Fácil de utilizar 52
    259. 259. Metodología y buenas prácticas forenses• Métodos de copia – Hardware de copiado: • Sencillo de entender por los profanos • Método muy visual • Fácil de utilizar • Problema: No siempre es posible extraer el disco duro de un dispositivo 52
    260. 260. Metodología ybuenas prácticas forenses 53
    261. 261. Metodología y buenas prácticas forenses• Métodos de copia 53
    262. 262. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo 53
    263. 263. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos 53
    264. 264. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos • Método visual 53
    265. 265. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos • Método visual • Garantía del software de copiado 53
    266. 266. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos • Método visual • Garantía del software de copiado • (Puede entregarse el CD-ROM) 53
    267. 267. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos • Método visual • Garantía del software de copiado • (Puede entregarse el CD-ROM) • Difícil de realizar (expertos) 53
    268. 268. Metodología y buenas prácticas forenses• Métodos de copia – Copiado disco a disco desde PC Alternativo • Posible entender por los profanos • Método visual • Garantía del software de copiado • (Puede entregarse el CD-ROM) • Difícil de realizar (expertos) • Problema: No siempre es posible extraer el disco duro de un dispositivo 53
    269. 269. Metodología ybuenas prácticas forenses 54
    270. 270. Metodología y buenas prácticas forenses• Métodos de copia 54
    271. 271. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo 54
    272. 272. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo – No es necesario abrir y extraer disco 54
    273. 273. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo – No es necesario abrir y extraer disco – Garantía del software de copiado. 54
    274. 274. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo – No es necesario abrir y extraer disco – Garantía del software de copiado. – Puede entregarse el CD-ROM 54
    275. 275. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo – No es necesario abrir y extraer disco – Garantía del software de copiado. – Puede entregarse el CD-ROM – Muy poco visual 54
    276. 276. Metodología y buenas prácticas forenses• Métodos de copia • Copia del disco desde el mismo PC Objetivo – No es necesario abrir y extraer disco – Garantía del software de copiado. – Puede entregarse el CD-ROM – Muy poco visual – Difícil de realizar (expertos) 54
    277. 277. Metodología ybuenas prácticas forenses 55
    278. 278. Metodología y buenas prácticas forenses• HASH criptográfico 55
    279. 279. Metodología y buenas prácticas forenses• HASH criptográfico – Integridad de la información adquirida 55
    280. 280. Metodología y buenas prácticas forenses• HASH criptográfico – Integridad de la información adquirida10100010101010001101 SHA-1 b7642ba8a766b0d6b197b6d00883bea94b578dec 10100010101010001101 SHA-1 b7642ba8a766b0d6b197b6d00883bea94b578dec 55
    281. 281. Metodología ybuenas prácticas forenses 56
    282. 282. Metodología y buenas prácticas forenses• Análisis 56
    283. 283. Metodología y buenas prácticas forenses• Análisis – Alcance --> ¿PODEMOS ANALIZARLO TODO? 56
    284. 284. Metodología y buenas prácticas forenses• Análisis – Alcance --> ¿PODEMOS ANALIZARLO TODO? • Ejemplo:Disco Duro 100 GB 56
    285. 285. Metodología y buenas prácticas forenses• Análisis – Alcance --> ¿PODEMOS ANALIZARLO TODO? • Ejemplo:Disco Duro 100 GB • 1 Página WORD aprox. 400 palabras, 3000 caracteres, 3Kb 56
    286. 286. Metodología y buenas prácticas forenses• Análisis – Alcance --> ¿PODEMOS ANALIZARLO TODO? • Ejemplo:Disco Duro 100 GB • 1 Página WORD aprox. 400 palabras, 3000 caracteres, 3Kb • lectura media: 0,3 páginas/ minuto100.000.000.000 / 3000 = 33MM Páginas 56
    287. 287. Metodología y buenas prácticas forenses• Análisis – Alcance --> ¿PODEMOS ANALIZARLO TODO? • Ejemplo:Disco Duro 100 GB • 1 Página WORD aprox. 400 palabras, 3000 caracteres, 3Kb • lectura media: 0,3 páginas/ minuto100.000.000.000 / 3000 = 33MM Páginas • 634 años para una persona a razón de 8 horas al día 56
    288. 288. Metodología ybuenas prácticas forenses 57
    289. 289. Metodología y buenas prácticas forenses• Como debe ser la prueba: 57
    290. 290. Metodología y buenas prácticas forenses• Como debe ser la prueba: – Lícita 57
    291. 291. Metodología y buenas prácticas forenses• Como debe ser la prueba: – Lícita – Necesaria 57
    292. 292. Metodología y buenas prácticas forenses• Como debe ser la prueba: – Lícita – Necesaria – Idónea 57
    293. 293. Metodología y buenas prácticas forenses• Como debe ser la prueba: – Lícita – Necesaria – Idónea – Proporcional 57
    294. 294. Metodología ybuenas prácticas forenses 58
    295. 295. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses 58
    296. 296. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador 58
    297. 297. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) 58
    298. 298. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) 58
    299. 299. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos 58
    300. 300. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos – Dispositivos HW conectados 58
    301. 301. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos – Dispositivos HW conectados – Navegación 58
    302. 302. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos – Dispositivos HW conectados – Navegación – Historial 58
    303. 303. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos – Dispositivos HW conectados – Navegación – Historial – Temporales 58
    304. 304. Metodología y buenas prácticas forenses• Procedimientos técnicos forenses – Timeline. Actividad del ordenador – Timeline hechos (línea temporal de sucesos) – Logs (registros del sistema) – Recuperación datos – Dispositivos HW conectados – Navegación – Historial – Temporales – … 58
    305. 305. Metodología ybuenas prácticas forenses 59
    306. 306. Metodología y buenas prácticas forenses• Procedimientos búsqueda y revisión de información 59
    307. 307. Metodología y buenas prácticas forenses• Procedimientos búsqueda y revisión de información – Búsquedas ciegas 59
    308. 308. Metodología y buenas prácticas forenses• Procedimientos búsqueda y revisión de información – Búsquedas ciegas – Heurística 59
    309. 309. Metodología ybuenas prácticas forenses Software especializado 60
    310. 310. Metodología y buenas prácticas forenses• Búsquedas ciegas por palabras clave: Software especializado 60
    311. 311. Metodología y buenas prácticas forenses• Búsquedas ciegas por palabras clave: ENTORNO FORENSE INDICIO 1 PALABRAS información Software especializado INDICIO 2 INDICIO 3 60
    312. 312. Metodología ybuenas prácticas forenses 61
    313. 313. Metodología y buenas prácticas forenses• Búsquedas ciegas por palabras clave: 61
    314. 314. Metodología y buenas prácticas forenses • Búsquedas ciegas por palabras clave: En un lugar de la Manc01011010101010101010101111111111010101ha [2], de cuyosdfhldfkghkldhjwrgirtky3p 45kyqt69876pyhethjrt01011010101010101010101111111111010101muw5thlla de algo más vaca que carnero, salpi có n las más noches [5], duelos y 1 queb01011010101010101010101111111111010101rantos los sábados [6], lantejas los viernes [7], algún palomino 2 d01011010101010101010101111111111010101e añadidura los domingos [8], consumían las tres partes de su hsdfgawemñ ropghaeropvthkkwrterghtrjdetgjdor 3 y amigo de la caza. Quieren decir que tenía el sobrenombre de «Quijada», o «Quesada», que en esdgsdfhdfjyghjsto hay alguna diferencia en los autores que 4 deste caso escriben, aunque por conjeturas verisímiles [*] se 01011010101010101010101111111111010101deja entender que se llamaba «Quijana» [*][16]. 5 Pero esto importa poco a nuestro cuento: basta que en la narración dél no se salga un punto de la verdad.asgsdh sghhstrbvqyw45yc4w 576457878k9mnbu v65we 45yxc34qt6w45yub57jws45 pepe@hotmail.com 834058234058230458erwerwerwer oc01010101010010101001 010101010 10101000000000000000000000101011010 10101010101010111111 11110101010110asdñfjjqcgmex El software forense nos indica si la palabra clave localizada corresponde a un fichero, si está borrado o es un rastro que quedaPalabras por el discoClave 61
    315. 315. Metodología ybuenas prácticas forenses Forensics 62
    316. 316. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) Forensics 62
    317. 317. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos Forensics 62
    318. 318. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos – Ficheros PDF Forensics 62
    319. 319. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos – Ficheros PDF – Correo corporativo Forensics 62
    320. 320. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos – Ficheros PDF – Correo corporativo – Ficheros comprimidos Forensics 62
    321. 321. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos – Ficheros PDF – Correo corporativo – Ficheros comprimidos Forensics – Registro sistema 62
    322. 322. Metodología y buenas prácticas forenses• Búsqueda forense: (Búsqueda extendida) – Ficheros Ofimáticos – Ficheros PDF – Correo corporativo – Ficheros comprimidos Forensics – Registro sistema –… 62
    323. 323. Metodología ybuenas prácticas forenses 63
    324. 324. Metodología y buenas prácticas forenses• Sentencia 164/08 Audiencia Provincial de Barcelona 63
    325. 325. Metodología y buenas prácticas forenses• Sentencia 164/08 Audiencia Provincial de Barcelona – “Y a la vista de ello argumentábamos que en este caso no era posible apreciar una vulneración de este derecho constitucional porque el perito informá́tico no había interferido ningún proceso de comunicación ajeno. El perito lo que hizo fue una búsqueda ciega a través de una herramienta in- formática (...),que no conlleva la lectura de toda la información para detectar lo relevante para la empresa, sino la utilización de palabras clave que solo permiten rescatar lo que interesa, si es que no hubiera sido borrado en la reinstalación. El borrado usual (pues existen otros de bajo nivel que sí eliminan la información), no hace desaparecer los datos, sino que elimina las entradas de los mismos y hace imposible acceder a ellos: al romperse el código de entrada en sistema binario, los datos permanecen, pero confundidos e indistinguibles en una enorme cantidad de ceros y unos, de modo que el programa empleado pretende detectar los patrones binarios de ciertas palabras, y una vez detectados, reinterpretar por encima y por debajo hasta reconstruir un texto. 63
    326. 326. Metodología ybuenas prácticas forenses 64
    327. 327. Metodología y buenas prácticas forenses• Heurística 64
    328. 328. Metodología ybuenas prácticas forenses 65
    329. 329. Contacto INCIDE – Investigación Digital Passeig Sant Gervasi, 10 ent. 3ª 08021 Barcelona info@incide.es http://www.incide.es http://www.twitter.com/1NC1D3 http://www.atrapadosporlosbits.com http://www.youtube.com/incidetube Companies > INCIDE - Investigación Digital Tel./Fax. +34 932 546 277 / +34 932 546 314 66
    330. 330. Contacto INCIDE – Investigación Digital• ¿Preguntas? Passeig Sant Gervasi, 10 ent. 3ª 08021 Barcelona info@incide.es http://www.incide.es http://www.twitter.com/1NC1D3 http://www.atrapadosporlosbits.com http://www.youtube.com/incidetube Companies > INCIDE - Investigación Digital Tel./Fax. +34 932 546 277 / +34 932 546 314 66

    ×