Llevo un tiempo muy intenso con la cuenta plagada de hilos duros y casos estremecedores.
Creo que voy a aflojar un punto durante unos días. Lo necesito yo… y creo que lo agradecerán también mis lectores.
Por eso, voy a escribir un #CasoDeInformáticaForense de los entretenidos.
Creo que voy a aflojar un punto durante unos días. Lo necesito yo… y creo que lo agradecerán también mis lectores.
Por eso, voy a escribir un #CasoDeInformáticaForense de los entretenidos.
Una empresa con buen nivel de seguridad informática y cuyo sistema ha sido vulnerado. Unos datos sustraídos y un chantaje bastante peculiar. Este caso fue curioso y… hasta divertido.
Próximamente (como continuación a este tuit).
Ahora toca corregir exámenes 😅
Próximamente (como continuación a este tuit).
Ahora toca corregir exámenes 😅
Llegó el día. Vamos a escribir el caso.
¿Cómo crees que me llega?
¿Cómo crees que me llega?
Pues es privado… y bastante privado, puesto que el gerente de la empresa tiene mucho que perder 🤣
Disculpad que me haga gracia, pero es que se trata de una empresa de seguridad y los han vulnerado. Cómo se sepa… ¿imagináis la mala publicidad?
Disculpad que me haga gracia, pero es que se trata de una empresa de seguridad y los han vulnerado. Cómo se sepa… ¿imagináis la mala publicidad?
Me contacta directamente el gerente, Alfonso, de la empresa SecInfoAlfon (por supuesto, datos inventados).
Están desesperados en la entidad. Un agresor ha conseguido saltear sus numerosos sistemas de seguridad y extraer parte de su base de datos.
Están desesperados en la entidad. Un agresor ha conseguido saltear sus numerosos sistemas de seguridad y extraer parte de su base de datos.
En concreto, la de pedidos, clientes y datos de clientes.
Delicado, la verdad.
¿Cómo se ha dado cuenta la empresa?
Pues porque les llega un mensaje amenazante en la que es chantajeada y se aporta información de estos datos como prueba de la amenaza.
Delicado, la verdad.
¿Cómo se ha dado cuenta la empresa?
Pues porque les llega un mensaje amenazante en la que es chantajeada y se aporta información de estos datos como prueba de la amenaza.
Yo suelo aceptar solo casos de menores agredidos en entornos digitales y/o escolares (#CiberProtecter). Pero esos casos no los cobro y… necesito tener mis propios ingresos. Es por ello que asumo el expediente (y, si a tu peque lo agreden, aquí más info).
pduchement.org/ciberprotecter/
pduchement.org/ciberprotecter/
Me desplazo a la Comunidad Autónoma de SecInfoAlfon. No voy a dar datos, pero comentaré que allí hace un frío que pela 🥶
(Claro que, para un canario, eso es tan poco específico como decir “cualquier parte de la península”)
(Claro que, para un canario, eso es tan poco específico como decir “cualquier parte de la península”)
Me reúno en una sala más grande de lo necesario con 5 personas: Alfonso, el director de seguridad (que sabe mucho más de TICs de lo que me resulta habitual), dos de sus subordinados -el encargado de seguridad física, y el de ciberseguridad- y, por último, un técnico.
Peritar en una empresa de seguridad TIC tiene sus ventajas: lo tienen todo monitorizado y registrado. Ya han hecho investigación interna y de mí solo esperan que la avale. Me enseñan lo que tienen:
Se sabe en qué momento se ha producido el acceso y se tiene un histórico de la actividad que ha realizado.
-¿Se reconoce el user?
-Sí, profesor -se miran con sonrojo-. Es de una empleada. Mi secretaria.
-Y está descartada como sospechosa… ¿por que?
-Tiene 60 años y ni idea TICs.
-¿Se reconoce el user?
-Sí, profesor -se miran con sonrojo-. Es de una empleada. Mi secretaria.
-Y está descartada como sospechosa… ¿por que?
-Tiene 60 años y ni idea TICs.
Han utilizado los fallos de seguridad humana del eslabón más débil en una cadena de ciberseguridad: las personas.
Observo la actividad del atacante.
¿Qué descubro?
Movimientos de…
Observo la actividad del atacante.
¿Qué descubro?
Movimientos de…
El agresor ha ido directo al grano. Sabía dónde meterse y qué archivos copiar. No solicitaba consultas a la base de datos: antes de tener un primer acceso, ya sabía nombre de tablas y qué columnas enviarse.
Este tipo…
Este tipo…
-El agresor es un empleado de la empresa -deduzco-. Conoce a la perfección la base de datos y ha demasiado directo a la zona más “productiva”.
-También es nuestra conclusión.
-¿Cuanto pide de rescate?
Veo una sonrisita en los labios del técnico mientras los demás se remueven.
-También es nuestra conclusión.
-¿Cuanto pide de rescate?
Veo una sonrisita en los labios del técnico mientras los demás se remueven.
Es el gerente el que, avergonzado, me responde.
-No pide dinero.
Espero unos minutos por cortesía.
-¿Nadie me va a responder?
-El rescate solicitado no es un dato necesario para su investi…
El director de seguridad es interrumpido por Alfonso.
-Quiere mi escarnio.
-No pide dinero.
Espero unos minutos por cortesía.
-¿Nadie me va a responder?
-El rescate solicitado no es un dato necesario para su investi…
El director de seguridad es interrumpido por Alfonso.
-Quiere mi escarnio.
-¿Su dimisión?
-No. Un comunicado de disculpas a mis empleados por un… “trato degradante y poco humano”.
-Bueno… barajemos pagar el rescate. Queda poco tiempo para que se cumpla el plazo y tampoco es tan inviable.
La sonrisita del técnico se acentúa.
-No es tan fácil.
-No. Un comunicado de disculpas a mis empleados por un… “trato degradante y poco humano”.
-Bueno… barajemos pagar el rescate. Queda poco tiempo para que se cumpla el plazo y tampoco es tan inviable.
La sonrisita del técnico se acentúa.
-No es tan fácil.
-¿Por qué?
-Hay detalles del comunicado que resultan complicados de satisfacer. Quiere que sea en vídeo y quiere que lo haga… vestido de flamenca.
-Hay detalles del comunicado que resultan complicados de satisfacer. Quiere que sea en vídeo y quiere que lo haga… vestido de flamenca.
Reconozco que me reí.
Lo siento, es poco profesional. Pero me reí.
Lo siento, es poco profesional. Pero me reí.
-La plantilla de esta empresa es considerable. Necesitaré tiempo para…
-No es necesario. Sabemos quién es.
Comienzan así a darme (por fin) información verdaderamente útil.
-No es necesario. Sabemos quién es.
Comienzan así a darme (por fin) información verdaderamente útil.
Me hablan de Ricardo, un trabajador que ha sido recientemente despedido.
¿Su cargo? Se encargaba del mantenimiento de la BBDD.
El despido se ha producido por desavenencias entre él y Alfonso.
Además, la vulneración de la seguridad coincide en el tiempo con una visita
¿Su cargo? Se encargaba del mantenimiento de la BBDD.
El despido se ha producido por desavenencias entre él y Alfonso.
Además, la vulneración de la seguridad coincide en el tiempo con una visita
de Ricardo a su despacho para recoger papeleo.
-Podemos confirmar que, por la actividad tan certera, es él. Podemos incluso ubicarlo dentro del edificio cuando se produjo el evento. Pero…
-No sabéis cómo lo hizo.
Comienza la…
-Podemos confirmar que, por la actividad tan certera, es él. Podemos incluso ubicarlo dentro del edificio cuando se produjo el evento. Pero…
-No sabéis cómo lo hizo.
Comienza la…
Fase de investigación:
Solicito una copia del registro de actividad y de las cintas de las cámaras ante las que pasa Ricardo el día de su visita.
Solicito una copia del registro de actividad y de las cintas de las cámaras ante las que pasa Ricardo el día de su visita.
¿Qué hago primero?
Me tienta mucho ver sus pasos el día de autos, así que reviso las imágenes.
Ricardo entra en la empresa, pasa por el control de acceso (le dan credenciales de visitante, pues ya no tiene las propias de trabajador), se dirige al ascensor, sube a la última planta,
Ricardo entra en la empresa, pasa por el control de acceso (le dan credenciales de visitante, pues ya no tiene las propias de trabajador), se dirige al ascensor, sube a la última planta,
entra en la sala de gerencia, de acerca a la mesa de Cristina, la secretaria, para avisar de que tiene cita, se sienta a la espera, Alfonso lo hace pasar, está en su despacho 23 minutos, sale del despacho, se acerca a Cristina para despedirse (“ya no nos veremos más”) y marcha.
Ni siquiera bajo pretexto se sienta ante el teclado de un ordenador.
¿Cómo lo hizo?
¿Cómo lo hizo?
Las cámaras tienen sello de tiempo.
Voy a consultar el registro de actividad para cotejar el momento de acceso a la BBDD, y así saber con qué parte exacta de la visita de Ricardo coincide.
Voy a consultar el registro de actividad para cotejar el momento de acceso a la BBDD, y así saber con qué parte exacta de la visita de Ricardo coincide.
Resulta que es cuando se acerca a Cristina para decirle que tiene cita con Alfonso.
El plano es complicado:
Cristina está de frente a la pared de la cámara, de modo que Ricardo queda de espaldas al plano.
Es cierto que está muy cerca de PC de la secretaria…
El plano es complicado:
Cristina está de frente a la pared de la cámara, de modo que Ricardo queda de espaldas al plano.
Es cierto que está muy cerca de PC de la secretaria…
pero por el lado incorrecto.
Es decir, se acerca al culo del monitor y de la torre, no al teclado (que queda al otro lado de la pantalla). Desde su posición, ni siquiera puede ver lo que Cristina monitorea 🤷🏼♂️
Pero el registro no miente: el momento es ese.
Es decir, se acerca al culo del monitor y de la torre, no al teclado (que queda al otro lado de la pantalla). Desde su posición, ni siquiera puede ver lo que Cristina monitorea 🤷🏼♂️
Pero el registro no miente: el momento es ese.
¿Cómo pudo usar el PC de Cristina, utilizar sus credenciales, navegar como una flecha por la BBDD que conoce y copiar toda info relevante… sin mirar la pantalla y sin acercar sus manos al teclado y desde el lado trasero del ordenador?
Además, todo eso en unos segundos que está frente a Cristina anunciando su llegada. Por mucho que se conozca la BBDD, este es un trabajo que lleva su tiempo. De hecho, según el registro de actividad, el atacante tardó…
Oh. Wait.
Oh. Wait.
¡¿4,638 segundos?!
Por lo menos se van aclarando algunas cosas.
Un proceso con tantos pasos y tan coordinado no puede ser realizado por un humano en tan poco tiempo.
Esto es el resultado de un script, un pequeño algoritmo que ejecuta los pasos en orden y a la velocidad que soporta el PC.
Un proceso con tantos pasos y tan coordinado no puede ser realizado por un humano en tan poco tiempo.
Esto es el resultado de un script, un pequeño algoritmo que ejecuta los pasos en orden y a la velocidad que soporta el PC.
Comentó mis conclusiones con Alfonso.
-Imposible -me asegura-. Nadie en SecInfoAlfon sería capaz de colarnos un virus sin que nos enterásemos. Además, ¿para qué iba a necesitar estar presente para desencadenarlo si está programado? No. Esta actividad es humana. Y es suya.
-Imposible -me asegura-. Nadie en SecInfoAlfon sería capaz de colarnos un virus sin que nos enterásemos. Además, ¿para qué iba a necesitar estar presente para desencadenarlo si está programado? No. Esta actividad es humana. Y es suya.
Me pregunto si Alfonso se da cuenta de que mantener esa hipótesis es exonerar a Ricardo.
Si vas a un juez asegurando que a las 10:23:54 un ser humano ha vulnerado tu sistema y, a la vez, presentas unas imágenes que muestran al tipo a las 10:23:54 esperando tranquilamente tras el
Si vas a un juez asegurando que a las 10:23:54 un ser humano ha vulnerado tu sistema y, a la vez, presentas unas imágenes que muestran al tipo a las 10:23:54 esperando tranquilamente tras el
equipo de tu secretaria, estás probando que es inocente 🤷🏼♂️
Reviso de nuevo los movimientos de Ricardo tras el PC de Cristina justo momentos antes y después del ataque.
Es difícil ver si toca la computadora: al estar de pie entre el culo del equipo y la cámara, el tipo tapa con su propio cuerpo la torre.
Es difícil ver si toca la computadora: al estar de pie entre el culo del equipo y la cámara, el tipo tapa con su propio cuerpo la torre.
Zoom a toda potencia.
¿Por qué serán de tan mala calidad las ampliaciones de imágenes de seguridad? ¡Son las más necesarias!
¿Por qué serán de tan mala calidad las ampliaciones de imágenes de seguridad? ¡Son las más necesarias!
Finalmente sacó dos capturas: una de la trasera de la torre antes de acercársele Ricardo y otra cuando se aparta para entrar en el despacho del gerente.
Hay algo diferente.
Hay algo diferente.
Se ve fatal, pero ha colocado un dispositivo USB en uno de las entradas posteriores del equipo.
Avanzo hasta la despedida de Ricardo con Cristina. Cuando se marcha, el dispositivo ya no está.
Avanzo hasta la despedida de Ricardo con Cristina. Cuando se marcha, el dispositivo ya no está.
Reconstrucción:
Llegó ante el equipo de la secretaria y avisó de su cita, conectó algo parecido a un pendrive y lo dejó allí mientras entraba a gestionar sus papeles de despido con Alfonso. Al salir y acercarse a su compañera para despedirse, lo recogió.
Llegó ante el equipo de la secretaria y avisó de su cita, conectó algo parecido a un pendrive y lo dejó allí mientras entraba a gestionar sus papeles de despido con Alfonso. Al salir y acercarse a su compañera para despedirse, lo recogió.
Pero, ¿qué es ese dispositivo?
Si fuera un pendrive con un software malicioso autoejecutable, los mecanismos de seguridad de InfoSecAlfon habrían cantado la Traviata.
¡Necesito verlo mejor!
Si fuera un pendrive con un software malicioso autoejecutable, los mecanismos de seguridad de InfoSecAlfon habrían cantado la Traviata.
¡Necesito verlo mejor!
Entonces recuerdo que Ricardo tuvo que pasar por el control de seguridad de acceso.
Tuvo que dejar sus objetos de metal en una bandeja y pasarlos por un scanner.
Reviso esa parte de las grabaciones y hay una cámara que graba las bandejas a la salida del scanner. Más cerca.
Tuvo que dejar sus objetos de metal en una bandeja y pasarlos por un scanner.
Reviso esa parte de las grabaciones y hay una cámara que graba las bandejas a la salida del scanner. Más cerca.
Veo su cartera, sus llaves, su cinturón y… ¿un pendrive?
Aquí viene el único error del plan de Ricardo: dar por sentada la ignorancia de los demás.
Aunque parece completamente una unidad de memoria USB, tiene serigrafiada una marca que reconozco en un santiamén (no la borró).
Aquí viene el único error del plan de Ricardo: dar por sentada la ignorancia de los demás.
Aunque parece completamente una unidad de memoria USB, tiene serigrafiada una marca que reconozco en un santiamén (no la borró).
Eso no es un pendrive.
Es otra cosa. Un dispositivo (cuyo nombre voy a omitir y que pido a los lectores con alto nivel de conocimientos hack que no publiquen) que almacena scripts de simulación de teclado.
Más información aquí:
patreon.com/posts/59229032
Es otra cosa. Un dispositivo (cuyo nombre voy a omitir y que pido a los lectores con alto nivel de conocimientos hack que no publiquen) que almacena scripts de simulación de teclado.
Más información aquí:
patreon.com/posts/59229032
Con estos datos extra agradezco a mis mecenas que gracias a ellos pueda seguir atendiendo a las familias de los peques que me necesitan 😊
Pero descuidad los demás, no hay nada más que contar sobre este aparatoso diabólico:
Le grabas qué debe hacer y él lo hace. En segundos.
Pero descuidad los demás, no hay nada más que contar sobre este aparatoso diabólico:
Le grabas qué debe hacer y él lo hace. En segundos.
Esto explica la necesidad de la presencia del autor a la vez que su velocidad de proceso propia de un script.
Antes de terminar, deciros que hizo falta una enorme cantidad de pedagogía en este informe pericial, porque hacer entender a Su Señoría qué es este cachivache y lo que hace… fue muy complicado.
Intentaba todo el rato tratarlo como un pendrive y el abogado defensor
Intentaba todo el rato tratarlo como un pendrive y el abogado defensor
se aferraba a ello para invalidar la hipótesis, pues una memoria USB con un autoejecutable malicisoso era inservible en el entorno seguro de SecInfoAlfon.
Afortunadamente, el perito no era solo perito 😉 también era profe 😊
¡Me llevé un PowerPoint al juicio!
Afortunadamente, el perito no era solo perito 😉 también era profe 😊
¡Me llevé un PowerPoint al juicio!
Y así fue cómo obtuvimos justicia ante el robo de datos de clientes (aunque me quedó algo de pena por no ver a Alfonso vestido de flamenca).
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
Un poquito de promo para finalizar:
¿El mejor regalo para docentes y padres?
¡Un libro que ayude a combatir el acoso y cuyos beneficios se destinen a combatir el acoso!
amzn.to/3CUh6pD
¿El mejor regalo para docentes y padres?
¡Un libro que ayude a combatir el acoso y cuyos beneficios se destinen a combatir el acoso!
amzn.to/3CUh6pD
• • •
Missing some Tweet in this thread? You can try to
force a refresh
