Vamos allá con este #CasoDeInformáticaForense.
Como siempre, recuerden que altero ciertos datos para proteger la id de las víctimas.
Como siempre, recuerden que altero ciertos datos para proteger la id de las víctimas.
https://twitter.com/PDuchement/status/1408068440552710147
Esta vez, me voy a abstener de escribir promo en el hilo, pero os dejo este tuit importante, porque la verdad es que #CiberProtecter necesita que le echéis una mano.
Por otro lado, hay parte de este contenido (no fundamental) que reservo para mis mecenas.
Por otro lado, hay parte de este contenido (no fundamental) que reservo para mis mecenas.
https://twitter.com/PDuchement/status/1407067468229644291?s=20
Fase de contacto:
Me llama por teléfono el IES San Calavera, tras detectar una incidencia grave en la seguridad de sus datos personales. Al parecer, al firmar las actas de nota de la 2ª evaluación se han dado cuenta de ligeras... "modificaciones" 😂
Me llama por teléfono el IES San Calavera, tras detectar una incidencia grave en la seguridad de sus datos personales. Al parecer, al firmar las actas de nota de la 2ª evaluación se han dado cuenta de ligeras... "modificaciones" 😂
Un alumno que iba a llegar a casa con 3 suspensos, aparece ahora con un boletín perfecto: todo dieces (le pudo la avaricia🤣 Un cambio más sutil podría haber colado).
Y os preguntaréis, ¿es esto lo suficientemente grave como para recurrir al Profesor Duchement?
¿Qué opináis?
¿Qué opináis?
El instinto de los #PeritosVirtuales sigue intacto:
Esto es muy importante porque la plataforma vulnerada da acceso a una ingente cantidad de datos protegidos y sensibles del resto de alumnos.
Aquí cuento a mis mecenas hasta dónde llega la brecha de seg:
patreon.com/posts/expedien…
Esto es muy importante porque la plataforma vulnerada da acceso a una ingente cantidad de datos protegidos y sensibles del resto de alumnos.
Aquí cuento a mis mecenas hasta dónde llega la brecha de seg:
patreon.com/posts/expedien…
Tomy, que así se llama el alumno que ha salido beneficiado por la brecha, se niega a colaborar con el Equipo Directivo (bajo indicaciones de su familia), así que, lo que más preocupa al centro es... ¿cómo lo logró?
Hay que evitar que pueda volver a acceder (o que siga haciéndolo)
Hay que evitar que pueda volver a acceder (o que siga haciéndolo)
Fase de control de daños:
(sé que esta fase es nueva para vosotros, pero el caso la requiere)
La prioridad es reaccionar.
Realizamos un cambio en bloque de las contraseñas de acceso a la plataforma de TODO el personal del instituto.
Se procede al cierre en remoto de todas las
(sé que esta fase es nueva para vosotros, pero el caso la requiere)
La prioridad es reaccionar.
Realizamos un cambio en bloque de las contraseñas de acceso a la plataforma de TODO el personal del instituto.
Se procede al cierre en remoto de todas las
las sesiones abiertas en todas las herramientas onlines de la comunidad educativa y se procede a borrar, una a una, todas las credenciales (negligentemente) almacenadas en los PC's del centro por parte de los docentes: ¡Profe, recuerda no dejar tus datos almacenados NUNCA!
Fase de análisis:
Cuento con una ventaja grandísima. Toda la actividad en la plataforma es monitorizada por una empresa que se encarga del servicio técnico para la Consejería. Se llama Cibercentral y son unos cracks (además de muy colaboradores).
Cuento con una ventaja grandísima. Toda la actividad en la plataforma es monitorizada por una empresa que se encarga del servicio técnico para la Consejería. Se llama Cibercentral y son unos cracks (además de muy colaboradores).
Lo primero es localizar el momento del cambio de las notas, pero hay una ventana de más de dos semanas de tiempo y prisa por cerrar el caso.
¿Cómo ubicar el instante preciso?
¿Cómo ubicar el instante preciso?
Esta estuvo más disputada, y la respuesta mayoritaria ni siquiera fue la correcta:
La clave es una búsqueda dicotómica.
Aquí explico qué es y por qué se localizó el momento del cambio (entre 336 horas de monitorización)... en menos de 5 minutos 😊
patreon.com/posts/expedien…
La clave es una búsqueda dicotómica.
Aquí explico qué es y por qué se localizó el momento del cambio (entre 336 horas de monitorización)... en menos de 5 minutos 😊
patreon.com/posts/expedien…
Así que tenemos el instante concreto: un sábado a las 02:05 🙆♂️
Consultamos con cibercentral y, por supuesto, solo hay un profesor logueado en ese momento.
Investiguémoslo.
Consultamos con cibercentral y, por supuesto, solo hay un profesor logueado en ese momento.
Investiguémoslo.
El profesor asegura que nunca ha accedido a la plataforma por un ordenador personal. De hecho, nos jura que solo ha accedido desde los PC's de profesor de las clases en las que imparte (para pasar lista) y en un de la sala de profesores, para realizar gestiones académicas.
La verdad es que los datos aportados por Cibercentral corrobora estos datos: el docente accede desde 5 PC's habituales, y todos y cada uno concuerdan.
Pero hay una IP diferente que accede una sola vez, y que coincide con la fecha del cambio ilegítimo de notas.
Pero hay una IP diferente que accede una sola vez, y que coincide con la fecha del cambio ilegítimo de notas.
¿Pero cómo ha conseguido la contraseña del profesor?
Pues las credenciales de Pincel Ekade no están grabadas, ni son inseguras de por sí, ni las ha compartido, ni las ha descuidado (escritas en un post-it, por ejemplo).
Estoy desconcertado hasta que caigo en una posibilidad...
¿Usará la misma contraseña para otras herramientas?
Estoy desconcertado hasta que caigo en una posibilidad...
¿Usará la misma contraseña para otras herramientas?
Respuesta: "Claro. Si no, me volvería loco recordando cada una. He puesto la misma contraseña en todas mis herramientas de trabajo".
🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️
🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️🤦♂️
¡¿De qué sirve proteger muchísimo la contraseña del Pincel Ekade y no almacenarlas en los PC's del centro, si son las mismas credenciales que, por ejemplo, de Kahoot! (una app de juegos) y esa sí la almacena?!
Pues nada, que tenía grabado nombre de usuario y password de al menos 3 herramientas educativas, algunas de las cuales (por ejemplo, de exposición), utilizaban los alumnos, saliendo ante la clase y usando el PC del docente 🤦♂️🤦♂️🤦♂️
Así que, en resumen, todo fue responsabilidad de una grave negligencia (por parte del docente) en cuanto a sus prácticas de seguridad (además del alumno que se aprovechó de las mismas, claro).
Tomy recuperó las contraseñas grabadas mediante consultas a las credenciales guardadas (sí, era costumbre en ese instituto que solo hubiera un usuario en el PC del profesor... y que este fuera administrador 🙆♂️). No explicaré cómo, pero, si se sabe, se puede.
Luego probó con Pincel Ekade y... ¡Premio! Acceso a todo.
Siguiendo la propuesta que planteé al Equipo Directivo, las consecuencias para Tomy fueron un pequeño trabajo de 5 pág sobre valores digitales... y un "Excelente" en la competencia digital😊
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe concluido
⚠️¡Caso cerrado!
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe concluido
⚠️¡Caso cerrado!
🥰Gracias a JAM, CV y PGM por contribuir a echarme una mano con #CiberProtecter🥰
A partir de ahora, vosotros también seréis responsables de la labor que realice 🤗
patreon.com/pduchement
A partir de ahora, vosotros también seréis responsables de la labor que realice 🤗
patreon.com/pduchement
• • •
Missing some Tweet in this thread? You can try to
force a refresh
