13 mar. 2019

Cuando nadie entiende la informática forense... "Culpable hasta que se demuestre la inocencia" [2 de 3]

Un RAT en la habitación

Los pocos hechos en los que Filler y Tufts podrían estar de acuerdo es que casi con seguridad había un atacante. Simplemente no estaban de acuerdo sobre quién era.

Luchando por obtener respuestas y convencida que su MacBook Air, era la fuente de los supuestos ataques, Filler pagó a alguien para que escaneara su computadora. En cuestión de minutos, se encontraron varios archivos maliciosos, entre los que se encontraban dos troyanos de acceso remoto, o RAT, utilizados para controlar remotamente las computadoras a través de Internet. El escaneo encontró dos: Coldroot y CrossRAT. El primero se implementa fácilmente, y el otro es un malware muy avanzado, que se dice que está vinculado al gobierno libanés.

La evidencia sobre el RAT podría sugerir que alguien tenía el control remoto de su computadora sin su conocimiento. Pero la existencia de ambos en la misma máquina, dicen los expertos, es improbable, si no completamente inverosímil.

Thomas Reed, director en Malwarebytes, el mismo software utilizado para escanear la computadora de Filler, confirmó las detecciones pero dijo que no había pruebas concluyentes de que el malware funcionara. "La infección de Coldroot era solo la aplicación y faltaba el demonio de lanzamiento que habría sido clave para mantenerla en funcionamiento", dijo Reed.

Filler dijo que no era cautelosa con respecto a su propia ciberseguridad, en la medida en que colocaba su contraseña en un panel de corcho en su habitación. ¿Podría haber sido una trampa? ¿Alguien que estaba tratando de incriminarla?

Filler también llevó su computadora a una tienda de Apple, diciendo que "el mouse estaba actuando por sí solo y que la luz verde de la cámara se encendía", dijo. El personal de soporte técnico realizó una copia de seguridad de sus archivos, pero borró su computadora, junto con cualquier evidencia de software malicioso más allá de algunas capturas de pantalla que tomó como parte del expediente de pruebas que presentó en su apelación.

De todos modos, estas "pruebas" no convencieron al comité de quejas de una posible interferencia maliciosa. "Los comentarios de IT indicaron que estos problemas con su computadora no estaban relacionados de ninguna manera con las supuestas acusaciones", dijeron en el comité. Citando a un miembro del personal de TI, el departamento afirmó con "un alto grado de certeza que era "altamente improbable que los cambios de calificación fueran realizados por software malintencionado o personas sin conocimientos de hacking".

Incapaz de probar quién estaba detrás del malware de acceso remoto, o incluso si estaba activo, Filler volvió a luchar por su inocencia.

Pruebas de ¿inocencia?

Pasó más de un mes antes de que Filler obtuviera las fechas y horas específicas de sus supuestos hacks. Finalmente pudo revelarse hasta el segundo cuando ocurrió cada ataque. Con esto Filler pensó que podía convencer al comité de que ella no era la hacker. Dijo que podía, en casi todos los casos, proporcionar evidencia que demuestraba que no estaba con su computadora.

En una de las primeras acusaciones, Filler estaba en una sala de conferencias repleta, con su computadora portátil abierta, rodeada por sus colegas de la escuela veterinaria. Varios estudiantes que conocían a Filler escribieron cartas para testificar en su defensa. Dos compañeros de clase que vieron la pantalla de la computadora de Filler durante la conferencia dijeron que no vieron nada sospechoso, solo su correo electrónico y las diapositivas de la conferencia.

En otra ocasión, estuvo en rondas con otros médicos, residentes y estudiantes para hablar sobre los pacientes a su cargo. Un estudiante dijo que "Filler estaba con todo el grupo de rotación y los residentes, sin acceso a una computadora" durante dos horas.

En otra acusación, Filler salió a cenar en una ciudad vecina. "Ella no tenía su computadora portátil con ella", dijo uno de los compañeros de estudios que estaba con Filler en la cena. Más estudiantes enviaron cartas a Tufts en su defensa. Tufts dijo que en esa ocasión que su computadora, a ocho millas de distancia del restaurante, supuestamente se usó para acceder a la cuenta de otro miembro del personal y trató de evitar la autenticación de dos factores, utilizando un iPhone 5S, un modelo que Filler no posee. Filler tiene un iPhone 6.

Filler, quien usa un rastreador de ejercicios y de sueño marca Xiaomi, dijo que los registros del rastreador mostraron que estaba dormida en la mayoría, pero no en todas las ocasiones en que fue acusada de los hackeos.
La lista de acusaciones incluyó una serie de actividades desde su computadora en su residencia, pero Filler estaba a 70 millas de distancia visitando la Casa Mark Twain en la vecina ciudad de Hartford, Connecticut. Incluso tomó dos fotos de su visita, una de ella en la casa y otra de ella afuera.
Los metadatos incluidos en las fotos, tomadas de su iPhone, contenían una fecha y hora coincidentes con el presunto hackeo, así como un conjunto de coordenadas que la colocaron en la Casa Mark Twain. Si bien los metadatos de la foto pueden modificarse, no hay evidencia de que estos hayan sido modificados.

Sin embargo, nada de eso fue suficiente para mantenerla inscrita en Tufts. En una carta el 16 de enero se confirma su expulsión.

¿Culpable o inocente?

Continuará...

Fuente: TechCrunch 

2 comentarios:

  1. Tiene pinta de ser víctima, pero esperando la tercera parte aquí va mi teoría peliculera:
    Pagó a alguien para que lo hiciera y el ejecutor decidió usar su ordenador sin que ella lo supiera 😉

    ResponderEliminar
  2. Muy buena historia, esperando la tercera parte

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!