Peritaje informático robo de información empresarial web

Peritaje informático

Peritaje informático robo de información empresarial web

Hace unos días estuve trabajando un interesante Peritaje informático que trata de demostrar evidencias respecto del robo de información de clientes y pedidos de una empresa por una tercera empresa del mismo sector, con el objetivo de disponer de la cartera de clientes, tarifas, márgenes etc para enviar ofertas a estos potenciales clientes. Estamos ante un peritaje informático de robo de información para fines mercantiles mediante técnicas de hacking malicioso contra un sistema web.

Peritaje informático de robo de información empresarial web

Voy a tratar de explicar los sucesos ocurridos y mi metodología pericial para garantizar al máximo posible la cadena de custodia y extraer evidencias que demuestren el origen de los ataques.

Entendamos que el origen de un ataque desde Internet se identifica mediante una IP, que en definitiva es una dirección que incluso puede geo localizar al atacante, pero que en la práctica ofrece dos problemas:

  1. La dirección IP es como una matrícula, identifica desde donde se hizo el ataque pero es potencialmente falsificable o utilizar terceras herramientas (Thor, proxis) que nos permiten asignar IP que o bien existen temporalmente o se remiten a ubicaciones fuera de la que realmente está atacando.
  2. Para obtener el nombre y apellidos o identificación concreta de la persona que ha realizado el ataque es necesario, basándose en esas IP, solicitar al juez una orden que pida al operador que la tenía (Telefónica, Vodafone, Ono,…) que le reporte quien tenía esa IP en esa fecha. Sería como conocer el número de matrícula de un coche pero no saber el nombre y apellidos del dueño del vehículo si no nos lo entrega Tráfico.

 

Metodología técnica

La metodología técnica se ha basado en:

  1. Análisis de logs del entorno web.
  2. Identificación de las IP atacantes.
  3. Estudio de la metodología OWASP utilizada por el hacker para detectar las vulnerabilidades.
  4. Análisis de los métodos de ataque.
  5. Identificación de los exploits utilizados.
  6. Análisis de la profundidad del ataque. En este caso se llegó hasta ser roto del sistema.
  7. Análisis de las sentencias SQL ejecutadas sobre la base de datos que identifica los datos extraídos.
  8. Detección de otros ataques con otras IP’s que no tuvieron éxito pero que seguían el mismo comportamiento.

La cadena de custodia se basara en copias de backup de los registros de log y monitorización de los servidores y bases de datos.

Conclusiones

En este caso mi pericial demostrara que IP han atacado el portal web que contenía clientes, pedidos, precios, costes etc. De esas IP analizare la ubicación y la reportare en mi informe. Con esas IP el abogado reclamara al juez un estudio con el operador de telecomunicaciones para que se identifique la persona que hay detrás de esa IP. También incluiré la técnica de hacker utilizada para extraer los datos del servidor, consultas sobre la base de datos que han extraído información de clientes, precios y pedidos que al mismo tiempo sabemos que han usado con sus clientes. En este caso mi pericial será un complemento a otras evidencias no informáticas que identifican a la empresa que está detrás de este fraude. Como perito informático mi informe permitirá al abogado disponer de una herramienta clave para defender a la victima que en este caso es mi cliente.

Estas situaciones han permitido que el cliente se sensibilice mas con la protección de la ciberseguridad de sus portales de negocio, de una forma reactiva, derivado de las evidencias y daños sufridos.