06 Sep Ronda de preguntas DragonJarCON 2020
Ayer tuve la oportunidad de participar en la edición 2020 de la Dragonjar Security Conference. Este evento se lleva a cabo desde hace 7 años, de manera presencial en Colombia, pero este año por la situación de pandemia por COVID19, se ha hecho de manera online y gratuita.
Esto ha provocado que la asistencia haya sido enorme, desde muchos países, y que el número de preguntas que se hacen durante y tras la charla sea imposible de contestar en el tiempo de Q&A especificado para ello.
Por este motivo, la organización me envió las preguntas que hubo en redes tras mi charla «Memorias de un Perito Informático Forense Vol. VII», y las contesto aquí. Expongo las preguntas literalmente como me las han enviado:
¿Te ha tocado analizar una memoria USB q se ha saltado la cadena de custodia en el caso y ha sido corrompida antes del analisis forense?
En este caso en concreto no me tocó analizar ningún USB con esta finalidad. En otros, me ha tocado hacer una imagen de un USB y analizar determinadas características del sistema de ficheros, que permiten identificar la actividad que ha tenido y poder determinar (en caso que haya evidencias suficientes que los soporte) qué ha pasado. Aunque lo recomendable es mantener una cadena de custodia lo más sólida posible, porque la otra parte hará todo lo posible por poner en duda la validez de la prueba.
Con que herramienta protegemos la empresa de una exfiltracion de datos por dispositivos? Es muy complicado, ya que cualquiera puede llevar uno y conectarlo.
Hay muchas herramientas y soluciones (habitualmente de pago) denominadas DLP. Las hay de diferentes fabricantes y en general se caracterizan por poder prohibir determinadas acciones, o permitirlas, pero al menos dejar registro de lo que se ha hecho. Esto es de suma utilidad para una organización y/o para un perito que pueda usar dichos logs para un caso de exfiltración de información.
También es cierto que el propio Windows permite aplicar políticas para restringir algunas operaciones a realizar en el USB. Mi compañero Julio Semper lo explica a detalle en el curso Online++ de Hardening de Infraestructuras Windows.
entiendo que este programa monitoriza mediante la instalación de un agente, no? Y si yo hago que el agente no ejecute, tambirn habria incumplimiento de contrato
La pregunta que haces entiendo que se refiere a EAM iMonitor. Efectivamene se basa en un agente. En el caso que yo expliqué, el usuario no sabía que un agente con estas capacidades tan intrusivas estaba instalado y corriendo en su equipo. No obstante, si no eres administrador local en tu PC, no podrás eliminar el software ni prohibir su ejecución. Es decir, que no se trata de incumplimiento de contrato o no.
como sabemos si los archivos de eam han sido modificados por la empresa?
Eso requiere un análisis forense del equipo. Hay que tener en cuenta múltiples artifacts, tanto de sistema como de sistema de ficheros, siendo imprescindible el análisis de LogFile y UsnJrnl del sistema de ficheros NTFS donde se albergan dichos ficheros para poder ver la actividad que se ha efectuado sobre el mismo. Es imposible explicar esto en una respuesta corta. Te recomiendo que si estás en España valores asistir, ya sea de forma presencial u online en tiempo real (se puede de ambas), al curso de DFIR y Análisis Forense en Windows o, si estás en Latinoamérica el mismo curso pero en modalidad Online++. En ambas formaciones explico lo necesario para poder llegar a delimitar si ha podido haber alguna alteración, y por tanto poder dar robustez a que la prueba es correcta.
Que tan escalable es el software y cuandos usuarios puede monitorear en linea, la información entre el PC y el servidor está cifrada o como en transferida?
Esta pregunta la contesté online, por lo que me remito a la respuesta que dije.
¿Qué herramientas recomiendas que no rompan la cadena de custodia?
Más que herramientas, muchas veces es qué procedimiento seguir. Aunque creo que la contesté en vivo, añado que lo importante es tener sentido común y ponerse en los zapatos de todas las partes. Es decir, que aquello que estés haciendo como perito será rebatido a posteriori seguro, y por ello es importante tener claro antes de hacer algo, pensar qué hará la parte contraria para decir que tu trabajo es incorrecto o incompleto, o que no has tenido en cuenta determinadas medidas para evitar que pueda haber sido adulterado. La utilización de hashes criptográficos robustos (a día de hoy) como SHA-256, son tus aliados siempre que puedas y sepas defender la integridad de dicha prueba a posteriori.
los correos electronicos recibidos se autenticar, pero que pasa con los enviados?
Los correos electrónicos enviados es más complicado de certificar su envío. Si el servidor de correo que has utilizado te permite acceso a sus logs, puedes acompañar la prueba con los logs que indicarían origen, destino, asunto, fecha/hora,… aunque no el contenido. No te queda más remedio que irte al servidor del lado contrario y verificar la existencia, o al menos la llegada del mismo. Por otro lado, la utilización en el envío de correos de sistemas de certificación digital, como por ejemplo eG-mail de eGarante (dispone de versión gratuita), sirve de ayuda para asegurar además la integridad el contenido del correo y sus adjuntos.
software usado para lo que son celulares cual utilizas? en temas forenses?
Desde hace años, en Securízame utilizamos Oxygen Forensics.
En la resolución de estas preguntas he remitido a algunos cursos de Securízame que están en modalidad Online++. Dicha modalidad, hasta ahora no la ofrecíamos a alumnos de fuera de España, pero ayer anuncié tras la charla que ya podemos hacerlo. Esta semana lo anunciaremos oficialmente en nuestro blog, pero ya os podéis registrar y formalizar matrícula sin problema.
Lorenzo Martínez Rodríguez (@lawwait)
CTO Securízame