Professional Documents
Culture Documents
SOY MARIO
▸ Game Tester
▸ Cybersecurity
▸ Speaker Internacional
AGENDA
▸ 5 Historias llenas de ©@#&*Ω$
La ignorancia es atrevida
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #1
▸ Caso de robo de información confidencial
IDIOTA #1
▸ Se genero la “IMAGEN” del Disco Duro
IDIOTA #1
▸ Se realizo un proceso conocido como “Data Carving”
▸ El tipo era tan “metódico” que hasta había hecho una presentación para poner
al tanto a sus nuevos compañeros de la información valiosa que traía consigo
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
LECCIONES APRENDIDAS
▸ La gente ni en ser precavida se esfuerza
IDIOTA #2
▸ Contador con privilegios acumulados
▸ Su trabajo honesto fue recompensando por partida doble todas las quincenas
durante 6 años
IDIOTA #2
▸ Por donde comenzar? La gente temía hablar
▸ Se emplearon técnicas forenses para verificar las sospechas y se analizó con FTK
IDIOTA #2
▸ Se realizaron los procesos legales pertinentes
LECCIONES APRENDIDAS
▸ No hay que dejar perder a los amigos
▸ Hay que tener control sobre el nivel de privilegio que tienen los empleados
IDIOTA #3
▸ Otro empleado desleal
IDIOTA #3
▸ Se genero la imagen del Disco Duro
▸ No se encontró nada
LECCIONES APRENDIDAS
▸ No hay mas vivo que el que se la pica
▸ El “Análisis por firma de archivo” compara las extensiones con el contenido del
archivo
Yo no fui!
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #4
▸ Otro empleado que se fue para la competencia
IDIOTA #4
▸ Se genero la imagen del Disco Duro
▸ Certificar la imagen del disco duro para que no sea alterada - Hash!
▸ Se planifico el análisis
IDIOTA #4
▸ El fulano empleo software “anti-forense” de
destrucción de datos
LECCIONES APRENDIDAS
▸ Hay gente que se la lleva de listo, y de listo… nada
▸ En los juicios civiles aun pesa mas el testimonio de un humano que la prueba científica
YO NO GUARDO NADA
EN LA COMPUTADORA
Viva la Cloud!!
DIGITAL FORENSICS: CASOS DE LA VIDA REAL
IDIOTA #5
▸ Otra estrella de las ventas se va de la empresa
IDIOTA #5
▸ Link Files: Archivos abiertos
▸ NADA de NADA
IDIOTA #5
▸ Examen del historial de IE - Estaba eliminado, pero se recuperó
▸ Dentro de un archivo HTM al que hacia referencia el historial se encontro javascript que
apuntaba a “wetransfer.com”
IDIOTA #5
▸ Ah, en la empresa ocupan Exchange Server, nada
en el server, usan PST :-(
LECCIONES APRENDIDAS
▸ Los historiales son realmente difíciles de borrar
▸ Recuerden compactar los PSTs si no quieren que alguien mas recupere lo que
creen haber eliminado :-P
RECURSOS
internet
‣ http://forensicswiki.org
‣ https://eforensicsmag.com
capacitacion local
‣ Mile2 Security -
WebcommService
mario@tigersec.co