¿A quién le apetece un #casodeinformáticaforense mañanero?
Vamos allá:
Modas Asenflonhfli contacta de nuevo.
Vamos allá:
Modas Asenflonhfli contacta de nuevo.
Es la continuación de este caso anterior:
https://twitter.com/PDuchement/status/1354037554966913024?s=20
Y, para no importunar en mitad del hilo con publicidad, hago la promo ahora, para que los nuevos sepáis el enorme trabajo que algunos venimos realizando y por qué utilizaré Patreon sin afán de enriquecerme personalmente.
Infórmate sobre #CiberProtecter
pduchement.org/ciberprotecter/
Infórmate sobre #CiberProtecter
pduchement.org/ciberprotecter/
Recuerdo que la forma correcta de leer un #CasoDeInformáticaForense del Profesor Duchement es como una ficción.
Voy a a alterar muchísimo los datos para que el caso sea irreconocible (salvo la esencia delictiva) y proteger la identidad de los aludidos.
El objetivo es enseñar
Voy a a alterar muchísimo los datos para que el caso sea irreconocible (salvo la esencia delictiva) y proteger la identidad de los aludidos.
El objetivo es enseñar
Aún no había descolgado la llamada cuando, al ver el número del contacto en la pantalla de mi smartphone, supe lo que iba a ocurrir a continuación.
Supe que me esperaba otro viaje express a mi querida Málaga de luz... para enfrentarme a la cara oscura de la naturaleza humana.
Supe que me esperaba otro viaje express a mi querida Málaga de luz... para enfrentarme a la cara oscura de la naturaleza humana.
Lo advertí.
Quería pensar que esta vez no ocurriría, pero años tratando con ese animal que tantos esconden tras la barrera del anonimato me habían enseñado una verdad lamentable:
En este mundo, si creen que no serán descubiertos, muchos dan rienda suelta a lo peor se sí mismos
Quería pensar que esta vez no ocurriría, pero años tratando con ese animal que tantos esconden tras la barrera del anonimato me habían enseñado una verdad lamentable:
En este mundo, si creen que no serán descubiertos, muchos dan rienda suelta a lo peor se sí mismos
La llamada de D. Juan fue descorazonadora.
Si alguien quiere leerla, la tiene aquí a su disposición:
patreon.com/posts/expedien…
Si alguien quiere leerla, la tiene aquí a su disposición:
patreon.com/posts/expedien…
En resumen, me comenta que ha encontrado una pequeña parte de los vídeos interceptados en el caso anterior rondando la WEB y que eso pone en peligro a su empresa.
Alquilo un laboratorio forense en Málaga, reservo los billetes y viajo hasta allí.
Alquilo un laboratorio forense en Málaga, reservo los billetes y viajo hasta allí.
Fase de investigación:
D. Juan me recoge en el aeropuerto, pero le indico que no me lleve a su local de Modas AsenFlonhfli (quiero reiterar que Modas Asenflonhfli es una franquicia y que no es responsable de las decisiones de uno de sus franquiciados sobre su local).
D. Juan me recoge en el aeropuerto, pero le indico que no me lleve a su local de Modas AsenFlonhfli (quiero reiterar que Modas Asenflonhfli es una franquicia y que no es responsable de las decisiones de uno de sus franquiciados sobre su local).
¿A dónde le digo que me lleve?
Como siempre, Brais (que es el más avezado de mis lectores y se adelanta) da en el clavo con qué es lo primero.
Pero hay un detalle que se le escapa.
Pero hay un detalle que se le escapa.
https://twitter.com/braishernandez/status/1355471683398873088?s=20
Para poder comparar los videos online con los vídeos del caso anterior, tengo que rescatarlos de mi repositorio blindado.
No puedo extraerlos rompiendo la cadena de custodia: todo debe quedar protegido y documentado.
Eso no puedo hacerlo en una WiFi abierta o en casa de D. Juan.
No puedo extraerlos rompiendo la cadena de custodia: todo debe quedar protegido y documentado.
Eso no puedo hacerlo en una WiFi abierta o en casa de D. Juan.
Tiene que ser en un entorno aséptico y muy controlado:
De cabeza al laboratorio.
De cabeza al laboratorio.
Una vez protegidos, el laboratorio cuenta con jaula de Faraday y una conexión a la Red (desconectable) bien protegida. Me emplazo en uno de los puestos y accedemos a los enlaces de la web porno donde D. Juan ha localizado los vídeos.
Tras documentarlos, pido amablemente al cliente que salga del laboratorio:
Voy a tener que extraer las evidencias del caso anterior para comparar los clips (unos 500), y sería un atentado contra la privacidad de las víctimas que D. Juan los visionase.
Voy a tener que extraer las evidencias del caso anterior para comparar los clips (unos 500), y sería un atentado contra la privacidad de las víctimas que D. Juan los visionase.
Ni siquiera los he visto yo: afortunadamente, no fue necesario para el caso anterior (tan solo ver la información digital del primero de la tabla de direccionamiento de memoria de la SD). Ahora hay que comparar el contenido.
No es plato de buen gusto, pero hay que hacerlo.
No es plato de buen gusto, pero hay que hacerlo.
"¿Por qué loo compara visualmente el profesor Duchement, si ya ha comentado en otras ocasiones que se pueden comparar por su huella digital y por SW de grado de similitud de imagen?"
Por dos motivos:
Por dos motivos:
El grado de similitud de imagen es altísimo en todos (cámara fija, mismo ángulo, fondo anodino de los probadores...). Como mínimo, me va a dar una similitud de 70% (que es una barbaridad) EN TODOS.
El segundo motivo es mucho más técnico: os lo dejo aquí😇
patreon.com/posts/expedien…
El segundo motivo es mucho más técnico: os lo dejo aquí😇
patreon.com/posts/expedien…
Y ya que, sin querer, en este caso han salido las palabras "huella digital", es un buen momento para mencionar y promocionar la increíble labor didáctica que realizan l@s chic@s de @esmihuella sobre el uso de las RRSS 🥰 ¡un abrazo, compañer@s!
De todas formas, utilizo el SW de comparación de imagen y le subo la sensibilidad al 90%. Así solo veré los clips parecidísimos.
Gracias a este método, solo tengo que inmiscuirme en la privacidad de 47 víctimas (en lugar de las 500).
Gracias a este método, solo tengo que inmiscuirme en la privacidad de 47 víctimas (en lugar de las 500).
Puede parecer poca cosa, pero hay 453 mujeres que agradecerán (sin saberlo nunca) el haber optado por este medio respetando una ética profesional.
Confirmado:
Los vídeos presentes en la WEB, no solo son grabados desde la cámara perchero incautada en el caso anterior. Son de la remesa intervenida que, presuntamente, nunca vieron la luz ni fue recogida por la dueña del dispositivo espía.
Los vídeos presentes en la WEB, no solo son grabados desde la cámara perchero incautada en el caso anterior. Son de la remesa intervenida que, presuntamente, nunca vieron la luz ni fue recogida por la dueña del dispositivo espía.
Si habéis leído el caso anterior, seguro que ya tenéis sospechosos.
Haría una encuesta, pero no vale la pena. Seguro que Brais ya ha publicado la respuesta 😎
Haría una encuesta, pero no vale la pena. Seguro que Brais ya ha publicado la respuesta 😎
Salgo del laboratorio (tras actualizar la cadena de custodia y agregar las nuevas evidencias) con la pésima noticia para D. Juan, pero no lo encuentro.
Lo llamo por teléfono y descubro que el pobre hombre se había ido a rezar a una iglesia cercana para que no fueran los vídeos 😢
Lo llamo por teléfono y descubro que el pobre hombre se había ido a rezar a una iglesia cercana para que no fueran los vídeos 😢
Llevo 3 horas encerrado en el lab y D. Juan ha estado todo ese tiempo rogando de rodillas que los clips difundidos no sean los intervenidos.
Lamento confirmarle que sus oraciones no han sido escuchadas en esta ocasión.
Lamento confirmarle que sus oraciones no han sido escuchadas en esta ocasión.
Todo apunta claramente a lo ocurrido en el primer caso:
Los vigilantes de Modas Asenflonhfli, tras incautar la cámara espía, extrajeron la tarjeta SD "para comprobar quién la había puesto", destruyendo la integridad de las pruebas y situándose en la diana de futuros sospechosos.
Los vigilantes de Modas Asenflonhfli, tras incautar la cámara espía, extrajeron la tarjeta SD "para comprobar quién la había puesto", destruyendo la integridad de las pruebas y situándose en la diana de futuros sospechosos.
Salvo la encargada que se encontró el perchero espía, nadie más ha tocado la cámara. Solo los miembros del Equipo de Seguridad, y solo estos en un entorno íntimo (en su sala de control de seguridad).
Si alguien ha copiado el contenido de la SD, han tenido que ser ellos, y además en un plazo de tiempo inferior a un día, pues es lo que tardaron en cedérmela a mí.
Por suerte, ni siquiera son 24 horas, pues hay un horario laboral.
Tengo la ventana de sucesos acotadísima 😋
Por suerte, ni siquiera son 24 horas, pues hay un horario laboral.
Tengo la ventana de sucesos acotadísima 😋
¿Pero cómo demostrar cuál o cuáles de los vigilantes decidieron cruzar la línea?
Interrogarlos sería levantar la liebre, y perseguir a los usuarios que compartieron el vídeo o el histograma de los clips sería una tarea ingente y duradera por los motivos técnicos que relato aquí:
patreon.com/posts/expedien…
patreon.com/posts/expedien…
Así que el PC de la sala de control es la clave.
Se trata de una tarjeta SD, y dudo que los vigilantes de seguridad suelan ir a currar con un portátil en la mochila, así que, si duplicaron el contenido, tuvieron que utilizar el ordenador de la sala.
Se trata de una tarjeta SD, y dudo que los vigilantes de seguridad suelan ir a currar con un portátil en la mochila, así que, si duplicaron el contenido, tuvieron que utilizar el ordenador de la sala.
Me presento a las 3:00 en el local con D. Juan. Hemos quedado a esa hora para que la plantilla no sepa que hay investigación en curso.
Nos abre la sala de control y empiezo a investigar.
Sobre cómo confirmé que la SD se había duplicado, no puedo hablar (ni siquiera a mis mecenas)
Nos abre la sala de control y empiezo a investigar.
Sobre cómo confirmé que la SD se había duplicado, no puedo hablar (ni siquiera a mis mecenas)
Pero lo confirmé: no cabía duda.
Además, pude saber fácilmente en qué momento se hizo la copia.
Lamentablemente, la sala de control y de vigilancia del CCTV no es vigilada por el propio CCTV. No hay una cámara "vigilando a los vigilantes", así que, aunque sé cuando, no sé quién.
Además, pude saber fácilmente en qué momento se hizo la copia.
Lamentablemente, la sala de control y de vigilancia del CCTV no es vigilada por el propio CCTV. No hay una cámara "vigilando a los vigilantes", así que, aunque sé cuando, no sé quién.
Y no se me ocurre cómo continuar.
¡Vamos! ¡Tienes que pensar como el culpable! ¡Sigue sus pasos!
-Me entero de que hay una cámara espía
-El material está en una SD
-Que el equipo de seguridad ha extraído
-En la privacidad de la sala de control
-A la que tengo acceso
-Con un PC
¡Vamos! ¡Tienes que pensar como el culpable! ¡Sigue sus pasos!
-Me entero de que hay una cámara espía
-El material está en una SD
-Que el equipo de seguridad ha extraído
-En la privacidad de la sala de control
-A la que tengo acceso
-Con un PC
-Quiero una copia del material ilícito
-Porque soy un salido sin moral
-Y creo que nadie me va a pillar
-Entro en la sala
-Meto la SD en el PC
-Y para hacerme una copia y llevármela discretamente...
-Porque soy un salido sin moral
-Y creo que nadie me va a pillar
-Entro en la sala
-Meto la SD en el PC
-Y para hacerme una copia y llevármela discretamente...
¡SACO MI PENDRIVE!
Tiene sentido: No iba a entrar en su correo (dejando evidencias) para mandarse 500 vídeos, ¿no?
Llevaba un pendrive en su bolsillo, en su cartera o en su llavero. Muchos los llevamos incluso sin pensar en usarlo ese día. ¡Ha visto la "oportunidad" y la ha "aprovechado"!
Llevaba un pendrive en su bolsillo, en su cartera o en su llavero. Muchos los llevamos incluso sin pensar en usarlo ese día. ¡Ha visto la "oportunidad" y la ha "aprovechado"!
Si lo lleva encima como norma habitualmente, quizás lo lleve al trabajo mañana también...
¿Te cuento un secreto?
Sin herramientas profesionales, sin SW específico, en cualquier PC Windows y solo con saber las palabras mágicas, el Sistema Operativo nos puede proporcionar el historial de dispositivos USB que se le han conectado y sus propiedades.
Sin herramientas profesionales, sin SW específico, en cualquier PC Windows y solo con saber las palabras mágicas, el Sistema Operativo nos puede proporcionar el historial de dispositivos USB que se le han conectado y sus propiedades.
Eso incluye UN IDENTIFICADOR ÚNICO PARA CADA PENDRIVE con el que podríamos reconocer unívocamente que se ha utilizado en el equipo.
Te cuento cómo aquí:
patreon.com/posts/expedien…
Te cuento cómo aquí:
patreon.com/posts/expedien…
Te muestro en primicia una imagen (con datos protegidos, claro) de la prueba.
Tengo el dispositivo identificado (es como una huella dactilar en la escena del crimen).
Ahora solo necesito encontrar la memoria USB (el dedo con el que comparar la huella).
Tengo el dispositivo identificado (es como una huella dactilar en la escena del crimen).
Ahora solo necesito encontrar la memoria USB (el dedo con el que comparar la huella).
Aquí es donde nos cae del cielo la lista que solicité al Director de Seguridad en la que debía constar todo vigilante que hubiera tenido acceso a la SD 😁
Sin avisar de para qué, al día siguiente son citados en la sala de control los vigilantes de la lista y el Director de Seguridad.
No sé con qué excusa, D. Juan los va haciendo pasar e indicando que introduzcan en su portátil algún pendrive que lleven encima para copiarles un PDF.
No sé con qué excusa, D. Juan los va haciendo pasar e indicando que introduzcan en su portátil algún pendrive que lleven encima para copiarles un PDF.
Tres no portaban pendrive. Podrían ser los culpables, pero no llevarlo encima ese día 🤦♂️
Uno llevaba un nano pendrive en la cartera:
amazon.es/Pendrive-Vansu…
amazon.es/Pendrive-Vansu…
¿Resultado?
Entro a revisar el portátil de D. Juan y...
¡Premio!
El identificador del dispositivo en el que se copiaron los vídeos de la SD se ha conectado. Tiene el mismo identificador.
EL DE LA LLAVE.
¡Premio!
El identificador del dispositivo en el que se copiaron los vídeos de la SD se ha conectado. Tiene el mismo identificador.
EL DE LA LLAVE.
Igual que le ocurrió a "la mirona", cuando el vigilante fue llevado a juicio tuvo que afrontar una consecuencia inesperada: sus delitos se vieron agravados por la presencia de menores entre los clips que duplico (lo supiera o no).
Y yo me cogí unos días de descanso, disfrutando de Málaga y de su buena gente 😊
⚠️Pruebas localizadas
⚠️Evidencias certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
⚠️Pruebas localizadas
⚠️Evidencias certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
Aclaro:
En el juicio se descubrió que no fue el vigilante quien difundió el contenido por la WEB. Él se lo pasó "en privado" a un amigo y este a otro... al final dio el salto a la Red.
En el juicio se descubrió que no fue el vigilante quien difundió el contenido por la WEB. Él se lo pasó "en privado" a un amigo y este a otro... al final dio el salto a la Red.
https://twitter.com/Bloodmoonspell/status/1355496896492658690?s=20
Hola.
Te voy a contar por qué no puedo:
Un perito que no respeta la confidencialidad de las víctimas o de sus clientes, es un pésimo perito (uno que se irá quedando sin trabajo poco a poco).
Por eso, aunque fricciono muchísimo los casos que divulgó y pido consentimiento...
Te voy a contar por qué no puedo:
Un perito que no respeta la confidencialidad de las víctimas o de sus clientes, es un pésimo perito (uno que se irá quedando sin trabajo poco a poco).
Por eso, aunque fricciono muchísimo los casos que divulgó y pido consentimiento...
https://twitter.com/TitoBridge/status/1355498522708160514
cuando lo solicito doy una lista de detalles y datos que el aludido elegirá entre las siguientes opciones:
-Despistar con ficción
-Omitir
-Mencionar superficialmente
-Divulgar si restricciones
-Despistar con ficción
-Omitir
-Mencionar superficialmente
-Divulgar si restricciones
Para este caso, D. Juan (que no se llama D. Juan, claro) solicitó que omitiera totalmente la sentencia. Y yo lo respeto y le agradezco igualmente que me dejase contar su caso 😊
Pero por aquí hay mucho jurista tecnológico, y ellos (que son los expertos sobre legislación informática, yo solo soy el perito que aporrea el teclado 😜) pueden teorizar al respecto con total libertad 😊
🤩¡Bienvenid@s a mi Patreon, Javi, Jorge, David, Arantza, (wow! Arantza! Gracias!), Laura y Caro (Dios mío, Caro! #CiberProtecter hará mucho gracias a ti!)🤩
Cada vez que ayude a una familia con menores víctimas de las RRSS, vosotros también la estaréis auxiliando 🥰🥰🥰🥰🥰🥰🥰
Cada vez que ayude a una familia con menores víctimas de las RRSS, vosotros también la estaréis auxiliando 🥰🥰🥰🥰🥰🥰🥰
🤩Bienvenido a mi Patreon, Eric🤩
🤩Bienvenidos Adrià y David a mi Patreon🤩
patreon.com/pduchement
patreon.com/pduchement
🤩Bienvenida a mi Patreon, Ana Belén🤩
Ahora tienes todos mis casos en un mismo sitio (desde el primero que publiqué) y acceso a todos los detalles que guardo solo para mis mecenas 🥰
Gracias a vosotros... puedo seguir ayudando por la Red 😊
patreon.com/pduchement
Ahora tienes todos mis casos en un mismo sitio (desde el primero que publiqué) y acceso a todos los detalles que guardo solo para mis mecenas 🥰
Gracias a vosotros... puedo seguir ayudando por la Red 😊
patreon.com/pduchement
• • •
Missing some Tweet in this thread? You can try to
force a refresh
