¿Estás de vacaciones?

Recuerda que los ciber criminales nunca descansan: Por eso te traigo un... ¡nuevo #CasoDeInformáticaForense!

Este fue uno de mis mayores quebraderos de cabeza a nivel búsqueda.

¿Sabrán ayudarme a resolverlo mis #PeritosVirtuales?
Eso sí😳 el fondo para la defensa de víctimas de agresiones a menores en las RRSS y #bullying anda bastante vacío (por ahora solo se sustenta con los beneficios de mi libro “Te espero a la salida, un manual para padres frente al #AcosoEscolar” 2ª Ed.) y...
amazon.es/espero-salida-…
...necesitamos que tenga algo de margen de maniobra, por si se presenta alguna familia pidiendo ayuda tras la navidades (las vacaciones suelen provocar un aumento de agresiones y de #ciberbullying). Por eso vas a ver que inserto bastante promo entre tuit y tuit. Lo siento 😞
Fase de contacto:

Este peritaje me llega a través del Colegio Profesional de Ingenieros. Han recibido una petición y el colegio ha activado a tres forenses de su Cuerpo Oficial de Peritos (entre ellos, yo).

Por separado e individualmente, ofrecemos presupuesto al cliente.
¡Este caso es gordo!

Se trata de una famosa empresa de telecomunicaciones (llamémosla Matrix Telecom -que es un nombre inventado-), y que tiene una intrusión en su sistema hasta el corvejón.
Sus ingenieros no la detectan y piden ayuda para localizar y reunir pruebas para juicio.
Si toda esa plantilla de cracks no ha logrado localizarla, una de dos:

-O va a ser terriblemente difícil...

-O necesitan una perspectiva más relacionada con los ataques que con la defensa.

No quiero el caso: me pegaría meses enfangado en trabajo.
Así que, como cuando no se trata de agresiones a menores, cobro mis honorarios de perito (que son bastante altos), les hago un presupuesto muy alto.

Es habitual que los clientes que acuden al colegio escojan al perito más económico, así que entiendo que me rechazarán.
Pues nada 🤦 que los ingenieros de Matrix Telecom han oído hablar de mí y han recomendado al director de seguridad escoger mi presupuesto.

Y así, por la cortesía de no rechazarlo yo (y esperar a que me rechazasen ellos a mí), me veo inmerso en esta pesadilla durante 128 días🤦🤦
Varias plantas, 1.430 equipos, 3 salas con cubículos, 12 despachos, 2 sistemas operativos en 5 versiones distintas, una red del tamaño de una telaraña, protocolos de seguridad informales y un intruso 🤦
Fase de entrevista:

Me reúno con Marcial (nombre ficticio) para averiguar los detalles.

Al parecer ha habido una fuga de datos de clientes considerable y descartan la posibilidad de piratería industrial.

¿Por qué?

Porque los ingenieros...
En lo que esperamos respuestas: “Te espero a la salida, un manual para padres frente al #AcosoEscolar” ha estrenado su 2ª edición con contenido extra: ¡todo un capítulo sobre cómo reclamar judicialmente responsabilidades frente al #bullying!

amazon.es/espero-salida-…
Sus especialistas han localizado rastros de una intrusión, pero no han sabido detectarla.

Marcial quiere saber cómo han conseguido colarse.

Yo... solo viendo el percal (el sindiós de sistema informático), le respondo que el milagro es que no hayan entrado antes.
Fase de investigación:

#PeritosVirtuales, ¿por dónde empiezo?

Investiga...
Mientras llegan las respuestas, déjenme decirles que la nueva edición de “Te espero a la salida” está de oferta...

⚠️¡Solo hasta el 01/01/21!⚠️

📲0€ en Kindle Unlimited
📱3,50€ en eBook
📖4,99€ en papel

amazon.es/espero-salida-…
Los #PeritosVirtuales, como siempre, dando en el clavo (al final me quitarán el trabajo 😅):

Claro. Si ya hay parte del trabajo hecho, lo revisaré, verificaré, avalaré y me lo ahorraré 🤓
Mi acuerdo de confidencialidad con Matrix Telecom y la autorización que me han dado para divulgar su caso, no me permite explicar las pistas que tenían y cómo las consiguieron (no sé por qué 🤷🏼‍♂️ es un procedimiento bastante común en seguridad informática). Yo lo respeto. Pero...
Sí que puedo contaros que no hay duda:

La intrusión...
¡Hay una intrusión externa que se ha quedado dentro de la red!
¿Y ahora?
Mientras llegan respuestas:

¿Te cuento un secreto?
Los beneficios de “Te espero a la salida” se invierten en una buena causa, pero si no puedes permitirte pagarlo, puedes solicitar en este enlace la prueba de 30 días de Kindle Unlimited y leerlo gratis🤫

amazon.es/kindle-dbs/hz/…
Pues sí, la red es la principal sospechosa. Pero debo descartar PC’s intervenidos primero.

Un equipo infectado por un troyano explicaría las pistas (una intrusión externa que se mueve dentro de la LAN).
Paso por los 1.430 equipos y... ¿qué encuentro?
¡Todas!

Incluso las VPN’s. ¡Una locura!

Veo de todo: uso personal, uso profesional externo, consumo de pornografía, gusanos, spyware... pero nada grave a nivel intrusión que case con las pistas.
Vamos a por la LAN:

Para continuar, es necesario que todos los lectores sepan lo que es un Switch:

amazon.es/Cisco-Meraki-P…
Los hay de todos los tamaños y sirven para interconectar los equipos de una red.

amazon.es/Cisco-Meraki-G…
A medida que hay más equipos en una red, se necesita un switch con más bocas de conexión...

amazon.es/Meraki-Go-Port…
Cuando hay varios de estos módulos (racks) se reúnen en un armario como este:
Lamentablemente, algunos montajes son... un tanto más parecidos a esto:
Hay un equipo dentro de la red sirviendo de entrada al intruso, pero no es ninguno de los 1.430.

¿Entonces?
Este es un buen momento para comentar que, si quieres hacer una contribución desinteresada, aquí podrás hacer donaciones de 1€ o de 5€ para el fondo.

pduchement.org/donaciones/
Pues resulta que hay un “equipo” real extra conectado a la LAN y que está sirviendo de entrada al intruso 🤦

Me llevó más de 3 meses dar con él.

Era...
Pues sí, una Raspberry Pi: un equipo informático que tiene muchas de las funciones de un equipo común, pero que ocupa menos de 10cm.

Y estaba conectada al switch dentro del propio armario rack, mezclado entre los cables y tapado por el amasijo.

amazon.es/RASPBERRY-Plac…
¿Y cómo llegó hasta allí?
Mientras responden, les diré que, si quieren dar soporte a mi labor divulgativa, pueden hacerse mecenas de mi Patreon:

patreon.com/pduchement
Pues tiramos de CCTV para revisar el ataque al armario rack. Afortunadamente, cae dentro del ángulo de visión de una de las cámaras.
Consúltanos la grabación del día en el que comenzó la intrusión y...
Gracias a Fra., Ru. y Jo. por su aportación a la causa 🥰
Pues resulta que es un visitante que entra en el edificio haciéndose pasar por un mensajero.

¡Flipante que abra el armario rack con toda la tranquilidad del mundo y conecte una raspberry a una boca libre delante de media plantilla sin que nadie se percate!
Verifico y certifico el vídeo.

⚠️Evidencias localizadas
⚠️Pruebas documentadas
⚠️Informe pericial concluido

⚠️¡Caso cerrado!
Y mucho cuidadito con estos chismes, que los hay bastante baratos y, dentro de un armario rack embrollado... pasan muy desapercibidos:

amazon.es/Raspberry-Pi-M…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with P. Duchement🍏

P. Duchement🍏 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @PDuchement

27 Dec
🤫¿Te cuento un secreto?

AUNQUE los beneficios de “Te espero a la salida” van destinados a víctimas de agresiones en RRSS y #bullying, si no puedes permitirte comprarlo, puedes subscribirte aquí a la prueba de 30 días de Kindle Unlimited y leerlo gratis.

amazon.es/kindle-dbs/hz/…
Si puedes permitírtelo, no olvides que lo que me deja Amazon se emplea en ayuda legal para familia con menores víctimas de las RRSS y del #AcosoEscolar:

amazon.es/espero-salida-…
Si quieres hacer una donación desinteresada a dicha causa, en esta página encontrarás cómo hacer donaciones de 1€ o de 5€:

pduchement.org/donaciones/
Read 5 tweets
20 Dec
Pues nada, como parece que están haciendo un esfuerzo considerable en tumbarme la cuenta y no puedo garantizar tenerla activa dentro de una hora, adelanto mi agenda y lo publico ya:
En agosto de este año publiqué una serie de hilos llamados #TikTokExposed sobre los peligros de #TikTok. El primero contenía información sobre la cuestionable seguridad, política de privacidad e intención de sus creadores:

pduchement.org/2020/11/26/tik…
El segundo #TikTokExposed hablaba sobre los peligros que conlleva #TikTok para sus usuarios mayoritarios: los menores.

pduchement.org/2020/12/18/cat…
Read 25 tweets
20 Dec
Somos seres extraños. Nos atraen más los problemas que las soluciones.

Me explico:
Suelo publicar mis post de alerta sobre peligros RRSS para menores y, a continuación, formas de subsanarlos.

Hace dos días publiqué este especial sobre peligros de TikTok

pduchement.org/2020/12/18/cat…
Fue todo un éxito: Mucho interés, mucha preocupación, mucho seguimiento, muchas reacciones, mucha difusión, muchas peticiones de ayuda...
Tantas solicitudes de indicaciones llegaron a mi buzón... que hoy publiqué este otro artículo sobre soluciones y medidas de protección.

pduchement.org/2020/12/20/com…
Read 10 tweets
19 Dec
Me llegan muchos DM diciéndome en privado lo que esta lectora me dice en público: que siente que su entorno la empuja a ser permisiva con su hija frente darle acceso a las RRSS y que la hacen sentir mal por no ceder.

Mi respuesta para ella es mi respuesta para todo padre/madre.
Lo sé 😞 también tengo hijos. Cuando toda la familia, todos los amigos, toda la televisión dice que se haga algo que “es normal” y tú lo impides, sientes una presión enorme.
Tengo familiares que quieren compartir en sus redes y en sus fotos de perfil de WhatsApp fotos con mi hijo.

¿Cómo le dices que no a una prima, a un tío, a su padrino...?

¿Cómo le dices que no A UNA ABUELA?

Te desgarra el corazón dar la negativa, y se sienten dolidos.
Read 18 tweets
19 Dec
¿Cómo te quedas si te cuento que el mismo Facebook que bloquea esta ilustración...
...por considerarla “sexualmente sugerente”...
...permite este tipo de contenido sin cortapisas?
Read 4 tweets
17 Dec
Tras publicar este #casodeinformáticaforense he recibido algunas preguntas sobre comprar y utilizar inhibidores de señal.

¡Cuidado!
“Los dispositivos inhibidores de frecuencia sólo pueden ser usados por las Fuerzas y Cuerpos de Seguridad y Administraciones Públicas autorizadas, por lo que, en la actualidad, todos aquellos que se estén utilizando fuera de esta excepción,
y sin la autorización expresa de la Secretaría de Estado de Telecomunicaciones, se encuentran al margen de la legislación vigente, pudiendo aplicarse, en consecuencia, previa denuncia, el correspondiente régimen sancionador por parte del organismo competente”.
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!