DIGITAL FORENSICS CASOS DE LA VIDA REAL INFOSECURITY 2017... · DIGITAL FORENSICS: CASOS DE LA VIDA...

CASOS DE LA VIDA REALDIGITAL FORENSICS

DIGITAL FORENSICS: CASOS DE LA VIDA REAL

SOY MARIO

▸ Game Tester

▸ Enterprise Incident Response

▸ Cybersecurity

▸ Speaker Internacional

▸ Perito Informatico Forense

▸ Certified Trainer - M$ & Mile2 Security

▸ Miembro y Speaker para OWASP


AGENDA

▸ 5 Historias llenas de ©@#&*Ω$

▸ Aprender algo acerca de metodología y técnicas forenses

▸ Nombres de los Idiotas han sido omitidos o cambiados y algunos hechos ofuscados por respeto a las compañías involucradas

Identificación

• Ubicar fuentes relevantes de información

• Encajar requerimientos de investigación con fuentes de datos relevantes

Recolección

• Adquisicion y Preservacion de Data

• Recoleccion de información validadora

• Documentar los procesos

Análisis

• Extraccion de evidencia de la data

• Examen de la evidencia

• Validacion cruzada

• Reduccion de datos

Presentación

• Reporte• Demo de la

logica para los hallazgos

• PresentarDocumentode Procesos utilizados

NO, SHIFT + DEL NO ES SUFICIENTE

La ignorancia es atrevida


IDIOTA #1

▸ Caso de robo de información confidencial

▸ El “empleado” se fue a trabajar a la competencia

▸ De repente la competencia tenía campañas muy similares


IDIOTA #1▸ Se genero la “IMAGEN” del Disco Duro

▸ Se iniciaron procesos de indexado y análisis con herramientas especializadas

▸ Buscamos en su disco duro

▸ Se puede llegar a conocer mucho a una persona por la forma en que organiza sus archivos

▸ El tipo tenía archivos comprimidos con nombres de empresas en las que había trabajado antes

▸ No estaba protegidos - ni cifrados

▸ Faltaba la empresa “ofendida”


IDIOTA #1

▸ Se realizo un proceso conocido como “Data Carving”

▸ Se encontró el archivo Zipeado con nombre de la empresa ofendida

▸ También se encontró una carpeta que contenía el contenido de todos los archivos comprimidos

▸ El tipo era tan “metódico” que hasta había hecho una presentación para poner al tanto a sus nuevos compañeros de la información valiosa que traía consigo


LECCIONES APRENDIDAS

▸ La gente ni en ser precavida se esfuerza

▸ Shift + Del no es lo que nos han dicho!

▸ Principio de transferencia de Lockard

▸ Perfilamiento de sospechoso - Análisis de Comportamiento

SI AQUI NI SE DAN CUENTA!

O por que es bueno hacer buenas auditorías, o al final, hacerlas!!


IDIOTA #2

▸ Contador con privilegios acumulados

▸ Procesaba y Autorizaba la Planilla de empleados

▸ Su trabajo honesto fue recompensando por partida doble todas las quincenas durante 6 años

▸ Lo “quemó” un chambre de corredor

▸ El tipo “creció” en la empresa y fue acumulando privilegios según fue cambiando de puesto

▸ La Auditoría nunca se dio cuenta


IDIOTA #2▸ Por donde comenzar? La gente temía hablar

▸ Se coordino trabajo con Area de Seguridad Interna

▸ Se emplearon técnicas forenses para verificar las sospechas y se analizó con FTK

▸ Se interpuso denuncia a la FGR


IDIOTA #2

▸ Se realizaron los procesos legales pertinentes

▸ Al hacerse entrega de la evidencia para análisis se certifico la Cadena de Custodia

▸ Se estudio el proceso de pago de planillas y se trabajo en estrecha colaboración con un perito financiero

▸ La información aportada por el perito financiero permitió ubicar los archivos de planilla modificados y compararlos contra los originales enviados por RRHH

▸ Se hizo validación cruzada con correos electrónicos e historiales de navegación



▸ No hay que dejar perder a los amigos

▸ Las auditorías no son infalibles

▸ Hay que tener control sobre el nivel de privilegio que tienen los empleados

▸ Nuevamente, la gente ni en ser precavida se esfuerza

▸ Los cuerpos legales carecen de técnicas y método para resguardar apropiadamente evidencia digital y electrónica

LO VI EN MR ROBOT

No siempre los tutoriales de Youtube te enseñan bien


IDIOTA #3

▸ Otro empleado desleal

▸ Trabajaba en asignaciones delicadas y confidenciales

▸ “Borro” todo el contenido de su carpeta de usuario

▸ Se le olvido vaciar la papelera de reciclaje

▸ Era un fanatico confeso de Mr Robot


IDIOTA #3▸ Se genero la imagen del Disco Duro

▸ Se analizaron los programas instalados en busca del toolbox de Mr Robot o similares

▸ Se encontraron rastros de Deep Sound

▸ Se hizo análisis esteganografico a archivos de audio

▸ No se encontró nada

▸ Análisis mas detallado detecto cambios en extensiones

▸ Gracias magic numbers!

▸ Se habían renombrado archivos de video por archivos de audio



▸ No hay mas vivo que el que se la pica

▸ Otra vez, la gente ni en ser precavida se esfuerza

▸ Un tutorial de YouTube no te convierte en Hacker

▸ El “Análisis por firma de archivo” compara las extensiones con el contenido del archivo

▸ Cualquier discrepancia es marcada y señalada por las herramientas de análisis

▸ El intento por ocultar algo te vuelve prioridad en la lista

A MI QUE ME REVISEN

Yo no fui!


IDIOTA #4

▸ Otro empleado que se fue para la competencia

▸ Trabajaba en area de ventas, y se llevo el listado de clientes, catalogo de productos con su estrategia de asignación de precios y costos … que raro O_o

▸ Adopto una actitud desafiante, de “revisen, no van a encontrar nada”


IDIOTA #4

▸ Se genero la imagen del Disco Duro

▸ Certificar la imagen del disco duro para que no sea alterada - Hash!

▸ Se planifico el análisis

▸ Buscar por archivos borrados, analizar lo no utilizado

▸ Análisis del “Slack”

▸ Examinar el registro por archivos o programas usados

▸ Corroborar la inserción de drives removibles


IDIOTA #4

▸ El fulano empleo software “anti-forense” de destrucción de datos

▸ Utilizo un patron no común, nada natural a cualquier deterioro por parte del sistema operativo o el uso del sistema

▸ La existencia de un patron PODRIA, SUGERIR la destrucción intencional de información

▸ Caso aún en pelea…



▸ Hay gente que se la lleva de listo, y de listo… nada

▸ En serio, la gente no conoce la precaución, ni la honestidad?

▸ Cualquier software de alteración o destrucción de datos es CASI SIEMPRE, detectable

▸ Igual no usen patrones repetitivos, siempre se detecta

▸ Puede ser que no sepa que destruíste

▸ Pero si que destruiste algo (Dolo)

▸ En los juicios civiles aun pesa mas el testimonio de un humano que la prueba científica

YO NO GUARDO NADA EN LA COMPUTADORA

Viva la Cloud!!


IDIOTA #5

▸ Otra estrella de las ventas se va de la empresa

▸ Se sospecha se lleva listado de precios y de clientes, pero no hay forma de probarlo

▸ Se emplean las técnicas tradicionales y se comienzan a hacer búsquedas de lo usual

▸ No habían muchas pistas

▸ En una actitud desafiante, el fulano entrega un DVD con su “copia de seguridad” - habrá pedido consejo a su abogado? -


IDIOTA #5▸ Link Files: Archivos abiertos

▸ BagMRU: Actividad del usuario en carpetas

▸ Historiales de Navegación de Firefox y Chrome

▸ NADA de NADA

▸ Nadie ocupa IE… Nadie?


IDIOTA #5

▸ Examen del historial de IE - Estaba eliminado, pero se recuperó

▸ Dentro de un archivo HTM al que hacia referencia el historial se encontro javascript que apuntaba a “wetransfer.com”

▸ Se encontró el id de la cuenta, estampas de tiempo de actividad, y nombres de archivos

▸ Se pudo establecer la “linea de tiempo”


IDIOTA #5

▸ Ah, en la empresa ocupan Exchange Server, nada en el server, usan PST :-(

▸ El tipo entrego un DVD con su respaldo, bingo, hay un PST. Busquemos elementos eliminados… nada

▸ Utilizamos un editor HEX (WinHex, XVI32, etc) para alterar los primeros 8 bits del archivo y luego SCANPST para recuperar… Y voilá :-)

▸ Esto consolido la investigación y probó que existía caso #WIN

▸ Quien habrá borrado los emails?



▸ Los historiales son realmente difíciles de borrar

▸ los archivos .js son una joya también

▸ cargar cosas en la nube también deja rastros

▸ En una situación complicada, la gente debería consultar a su abogado

▸ Recuerden compactar los PSTs si no quieren que alguien mas recupere lo que creen haber eliminado :-P

RECURSOSinternet ‣ http://forensicswiki.org ‣ https://eforensicsmag.com capacitacion local ‣ Mile2 Security -

WebcommService

http://forensicswiki.org

https://eforensicsmag.com

[email protected]

mailto:[email protected]

DIGITAL FORENSICS CASOS DE LA VIDA REAL INFOSECURITY 2017... · DIGITAL FORENSICS: CASOS DE LA VIDA...

Documents

Transcript of DIGITAL FORENSICS CASOS DE LA VIDA REAL INFOSECURITY 2017... · DIGITAL FORENSICS: CASOS DE LA VIDA...