CASOS DE LA VIDA REAL DIGITAL FORENSICS
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
SOY MARIO
▸ Game Tester
▸ Enterprise Incident Response
▸ Cybersecurity
▸ Speaker Internacional
▸ Perito Informatico Forense
▸ Certified Trainer - M$ & Mile2 Security
▸ Miembro y Speaker para OWASP
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
AGENDA
▸ 5 Historias llenas de ©@#&*Ω$
▸ Aprender algo acerca de metodología y técnicas forenses
▸ Nombres de los Idiotas han sido omitidos o cambiados y algunos hechos ofuscados por respeto a las compañías involucradas
Identificación
• Ubicar fuentes relevantes de información
• Encajar requerimientos de investigación con fuentes de datos relevantes
Recolección
• Adquisicion y Preservacion de Data
• Recoleccion de información validadora
• Documentar los procesos
Análisis
• Extraccion de evidencia de la data
• Examen de la evidencia
• Validacion cruzada
• Reduccion de datos
Presentación
• Reporte• Demo de la
logica para los hallazgos
• PresentarDocumentode Procesos utilizados
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #1
▸ Caso de robo de información confidencial
▸ El “empleado” se fue a trabajar a la competencia
▸ De repente la competencia tenía campañas muy similares
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #1▸ Se genero la “IMAGEN” del Disco Duro
▸ Se iniciaron procesos de indexado y análisis con herramientas especializadas
▸ Buscamos en su disco duro
▸ Se puede llegar a conocer mucho a una persona por la forma en que organiza sus archivos
▸ El tipo tenía archivos comprimidos con nombres de empresas en las que había trabajado antes
▸ No estaba protegidos - ni cifrados
▸ Faltaba la empresa “ofendida”
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #1
▸ Se realizo un proceso conocido como “Data Carving”
▸ Se encontró el archivo Zipeado con nombre de la empresa ofendida
▸ También se encontró una carpeta que contenía el contenido de todos los archivos comprimidos
▸ El tipo era tan “metódico” que hasta había hecho una presentación para poner al tanto a sus nuevos compañeros de la información valiosa que traía consigo
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ La gente ni en ser precavida se esfuerza
▸ Shift + Del no es lo que nos han dicho!
▸ Principio de transferencia de Lockard
▸ Perfilamiento de sospechoso - Análisis de Comportamiento
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #2
▸ Contador con privilegios acumulados
▸ Procesaba y Autorizaba la Planilla de empleados
▸ Su trabajo honesto fue recompensando por partida doble todas las quincenas durante 6 años
▸ Lo “quemó” un chambre de corredor
▸ El tipo “creció” en la empresa y fue acumulando privilegios según fue cambiando de puesto
▸ La Auditoría nunca se dio cuenta
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #2▸ Por donde comenzar? La gente temía hablar
▸ Se coordino trabajo con Area de Seguridad Interna
▸ Se emplearon técnicas forenses para verificar las sospechas y se analizó con FTK
▸ Se interpuso denuncia a la FGR
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #2
▸ Se realizaron los procesos legales pertinentes
▸ Al hacerse entrega de la evidencia para análisis se certifico la Cadena de Custodia
▸ Se estudio el proceso de pago de planillas y se trabajo en estrecha colaboración con un perito financiero
▸ La información aportada por el perito financiero permitió ubicar los archivos de planilla modificados y compararlos contra los originales enviados por RRHH
▸ Se hizo validación cruzada con correos electrónicos e historiales de navegación
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ No hay que dejar perder a los amigos
▸ Las auditorías no son infalibles
▸ Hay que tener control sobre el nivel de privilegio que tienen los empleados
▸ Nuevamente, la gente ni en ser precavida se esfuerza
▸ Los cuerpos legales carecen de técnicas y método para resguardar apropiadamente evidencia digital y electrónica
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #3
▸ Otro empleado desleal
▸ Trabajaba en asignaciones delicadas y confidenciales
▸ “Borro” todo el contenido de su carpeta de usuario
▸ Se le olvido vaciar la papelera de reciclaje
▸ Era un fanatico confeso de Mr Robot
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #3▸ Se genero la imagen del Disco Duro
▸ Se analizaron los programas instalados en busca del toolbox de Mr Robot o similares
▸ Se encontraron rastros de Deep Sound
▸ Se hizo análisis esteganografico a archivos de audio
▸ No se encontró nada
▸ Análisis mas detallado detecto cambios en extensiones
▸ Gracias magic numbers!
▸ Se habían renombrado archivos de video por archivos de audio
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ No hay mas vivo que el que se la pica
▸ Otra vez, la gente ni en ser precavida se esfuerza
▸ Un tutorial de YouTube no te convierte en Hacker
▸ El “Análisis por firma de archivo” compara las extensiones con el contenido del archivo
▸ Cualquier discrepancia es marcada y señalada por las herramientas de análisis
▸ El intento por ocultar algo te vuelve prioridad en la lista
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #4
▸ Otro empleado que se fue para la competencia
▸ Trabajaba en area de ventas, y se llevo el listado de clientes, catalogo de productos con su estrategia de asignación de precios y costos … que raro O_o
▸ Adopto una actitud desafiante, de “revisen, no van a encontrar nada”
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #4
▸ Se genero la imagen del Disco Duro
▸ Certificar la imagen del disco duro para que no sea alterada - Hash!
▸ Se planifico el análisis
▸ Buscar por archivos borrados, analizar lo no utilizado
▸ Análisis del “Slack”
▸ Examinar el registro por archivos o programas usados
▸ Corroborar la inserción de drives removibles
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #4
▸ El fulano empleo software “anti-forense” de destrucción de datos
▸ Utilizo un patron no común, nada natural a cualquier deterioro por parte del sistema operativo o el uso del sistema
▸ La existencia de un patron PODRIA, SUGERIR la destrucción intencional de información
▸ Caso aún en pelea…
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ Hay gente que se la lleva de listo, y de listo… nada
▸ En serio, la gente no conoce la precaución, ni la honestidad?
▸ Cualquier software de alteración o destrucción de datos es CASI SIEMPRE, detectable
▸ Igual no usen patrones repetitivos, siempre se detecta
▸ Puede ser que no sepa que destruíste
▸ Pero si que destruiste algo (Dolo)
▸ En los juicios civiles aun pesa mas el testimonio de un humano que la prueba científica
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #5
▸ Otra estrella de las ventas se va de la empresa
▸ Se sospecha se lleva listado de precios y de clientes, pero no hay forma de probarlo
▸ Se emplean las técnicas tradicionales y se comienzan a hacer búsquedas de lo usual
▸ No habían muchas pistas
▸ En una actitud desafiante, el fulano entrega un DVD con su “copia de seguridad” - habrá pedido consejo a su abogado? -
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #5▸ Link Files: Archivos abiertos
▸ BagMRU: Actividad del usuario en carpetas
▸ Historiales de Navegación de Firefox y Chrome
▸ NADA de NADA
▸ Nadie ocupa IE… Nadie?
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #5
▸ Examen del historial de IE - Estaba eliminado, pero se recuperó
▸ Dentro de un archivo HTM al que hacia referencia el historial se encontro javascript que apuntaba a “wetransfer.com”
▸ Se encontró el id de la cuenta, estampas de tiempo de actividad, y nombres de archivos
▸ Se pudo establecer la “linea de tiempo”
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #5
▸ Ah, en la empresa ocupan Exchange Server, nada en el server, usan PST :-(
▸ El tipo entrego un DVD con su respaldo, bingo, hay un PST. Busquemos elementos eliminados… nada
▸ Utilizamos un editor HEX (WinHex, XVI32, etc) para alterar los primeros 8 bits del archivo y luego SCANPST para recuperar… Y voilá :-)
▸ Esto consolido la investigación y probó que existía caso #WIN
▸ Quien habrá borrado los emails?
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ Los historiales son realmente difíciles de borrar
▸ los archivos .js son una joya también
▸ cargar cosas en la nube también deja rastros
▸ En una situación complicada, la gente debería consultar a su abogado
▸ Recuerden compactar los PSTs si no quieren que alguien mas recupere lo que creen haber eliminado :-P
RECURSOSinternet ‣ http://forensicswiki.org ‣ https://eforensicsmag.com capacitacion local ‣ Mile2 Security -
WebcommService