14 mar 2019

Cuando nadie entiende la informática forense... "Culpable hasta que se demuestre la inocencia" [3 de 3]

Las pequeñas pistas

Filler está de vuelta en su casa en Toronto. Mientras su clase se prepara para graduarse sin ella en mayo, Tufts ya le envió un correo electrónico para comenzar a reclamar sus préstamos.
La noticia de la expulsión de Filler no fue inesperada dada la larga duración de la investigación, pero muchos se sorprendieron por el resultado.

TechCrunch envió a Tufts una lista de 19 preguntas antes de la publicación, incluso si la universidad contrató a especialistas forenses calificados para investigar, y si se contactó a la policía y si la escuela planea presentar cargos criminales por el presunto hackeo.

"Debido a las preocupaciones sobre la privacidad de los estudiantes, no podemos discutir asuntos disciplinarios que involucren a un estudiante actual o anterior de la Escuela de Medicina Veterinaria Cummings en la Universidad de Tufts", dijo Tara Pettinato, una portavoz de Tufts. "Asumimos seriamente nuestra responsabilidad de garantizar la privacidad de nuestros estudiantes, mantener los más altos estándares de integridad académica y cumplir con nuestras políticas y procesos, que están diseñados para ser justos y equitativos para todos los estudiantes".

Tufts nunca dijo cómo obtuvo la dirección IP o MAC. Los tribunales han descartado casos que se basan en ellos como evidencia cuando otros comparten la misma red. Las direcciones MAC pueden identificar dispositivos, pero se pueden falsificar fácilmente. Filler es propietario de un iPhone 6, no de un iPhone 5S, como afirma Tufts. Y su nombre de computadora era diferente a lo que dijo Tufts.

¿Y cómo supuestamente obtuvo acceso a la contraseña de "Scott Shaw" en primer lugar? El presidente del comité dijo en una carta que "la escuela no sabe cómo se comprometió la cuenta inicial del bibliotecario, y que era irrelevante si Filler incluso creó la cuenta del falso Scott Shaw".

Muchas cuentas fueron violadas como parte de este esquema aparentemente elaborado para alterar las calificaciones, pero no hay evidencia de que Tufts haya contratado a expertos forenses para investigar. ¿Investigó el departamento de TI con un sesgo de confirmación inherente para tratar de encontrar pruebas que relacionaran la cuenta de Filler con la actividad sospechosa, o se construyeron las acusaciones después de que se identificó a Filler como sospechosa? ¿Y por qué la universidad tardó meses desde el primer presunto hackeo en actuar para proteger las cuentas de los usuarios con autenticación de dos factores, y no antes?

"Los datos que están viendo no apoyan las conclusiones que han sacado. Es posible que los datos en los que se basan estén lejos de la carga normal o necesaria de pruebas que se pueda utilizar para una acción adversa como esta".

No todas las historias tienen un final claro. Esta es uno de ellas. Por mucho que usted quiera respuestas.

Pero sabemos dos cosas. Primero, Tufts expulsó a un estudiante meses antes de que se graduara debido a un sistema de comités no técnicos dirigidos por académicos que se vieron obligados a confiar en evidencia débil de técnicos de TI que no tenían calificaciones perceptibles en el análisis forense digital. Y segundo, no tienen que explicar por qué.

Fuente: TechCrunch

Suscríbete a nuestro Boletín

5 comentarios:

  1. pareciera que quisieran expulsar a la estudiante filler, porque las pruebas que tenían (la universidad) no eran contundentes o apuntaban totalmente a filler ya que las pruebas que ella presentaban era obvio que alguien mas hacia uso de su portátil, lo cual desarmaría en un caso las pruebas de la universidad para con la estudiante, la unica atenuante seria el tiempo que tardo en presentarla

    ResponderBorrar
    Respuestas
    1. El Experto en Informática Forense o Perito en Informática Forense a cargo del caso, lado Universidad debe presentar su evidencia digital válida ante la Corte.
      Lo mismo debe hacer el EIF o PIF, lado estudiante.
      Ambos expertos validan la evidencia del otro y viceversa.
      Junto al resto de evidencias y argumentos la Corte determina y se expide al respecto.
      Siempre y cuando cada Forense a cargo, no INVALIDE, la evidencia del otro...

      Borrar
    2. Completo mi respuesta anterior...

      Entiendo, que de esa manera y NO otra, deberían haber procedido ambas partes.

      Borrar
  2. tenia la clave en una pizara en su casa??? ahi esta todo! alguien la conocio y la uso para todo

    ResponderBorrar
  3. El hacker quizá pudo colar el RAT o los RATs en el portátil de Filler, quizá pudo hacer transacciones controlando remotamente el portátil mientras Filler lo usaba, quizá pudo arrancar el portátil con la clave del panel de corcho y hacer transacciones localmente o remotamente y además borrar parte de los RAT. Pero aún en el caso de que ésto fuese así, me temo que Filler no es inocente. Al menos no es totalmente inocente. Es responsable, como mínimo, de una negligencia, en mi opinión, claro: no proteger adecuadamente el acceso al uso de su máquina.
    Me explicaré con un ejemplo no informático: yo tengo un coche y tengo una escopeta. El coche lo tengo cerrado con llave en el garaje, la escopeta la tengo en un armario cerrado con llave. Y las llaves las tengo, creo, adecuadamente protegidas, para que nadie las pueda coger. Tengo que tener un seguro para cualquier daño a terceros que cause mi coche o mi escopeta. Si en este estado me roban alguno de ellos o los dos, se entiende forzando la puerta del coche o la del armario, y el ladrón realiza con lo robado algún delito, yo soy inocente. Si me dejo abierto el coche y se lo llevan sin forzar la puerta, ignoro si seré inocente (simplemente no lo sé, quizá alguien nos pueda ayudar con su comentario legal), pero si tengo el armario abierto o no tengo armario reglamentario para tener almacenada el arma de caza, sí que tendré que pagar una multa en el momento de declarar ante la Guardia Civil el robo de mi arma, al no poder acreditar que el arma ha sido sustraida de un almacén válido.
    En informática todavía quedan muchas cosas por hacer. No sé hasta qué punto deberíamos ser responsables de nuestros ordenadores y del estado de salud libre de virus en el que se encuentren. No podemos circular por las carreteras con nuestro coche si no ha pasado la ITV, no podemos ir a cazar al campo con una escopeta si no ha pasado la Revista de Armas, pero sí que podemos usar nuestro ordenador para conectarnos a internet aunque tenga virus, sin necesidad de que la autoridad lo revise para que no sea medio para delinquir o causar daños a terceros. Las leyes no persiguen por igual a quienes usan vías públicas (carretera, campo, internet,...), dependiendo de con qué máquina, herramienta o artefacto lo hagamos, y no entiendo por qué.
    Lo que sí entiendo es que cada cuál debe ser responsable de lo que posee, desde la piedra afilada del cavernícola hasta la multinacional del sapiens, y que tener un ordenador no debería eximirte de esa responsabilidad.

    Filler es, como mínimo, una irresponsable, o sea, culpable de irresponsabilidad, por no custodiar adecuadamente su portátil y la clave de acceso de su portátil.

    Filler es, además, culpable confesa de robar la contraseña del bibiliotecario.

    Pero me temo que no existen pruebas forenses que demuestren la culpabilidad de las transacciones de las que es acusada por la Universidad, ni de ser el hacker, ni su complicidad con el hacker. El registro de una transacción desde una dirección MAC no es prueba de que un ordenador concreto sea el origen de una transacción, porque la dirección MAC es falsificable. Por tanto pudo ser cualquier máquina. Pero en este caso, además, suponiendo que la transacción tuviera origen en el portátil de Filler, la presencia de un RAT plantea una duda de si Filler fue quien realizó la transacción, o fue un hacker quien la realizó remotamente, controlando remotamente el portátil de Filler.
    Por tanto Filler es inocente de las transacciones a menos que la Universidad pueda probar su culpabilidad.

    Mucho tendrá que evolucionar legalmente la informática forense para poder perseguir con certeza a los infractores de transacciones ilegales, fake news, etc...
    Cuando lo consiga quizá todos podamos votar por internet de forma segura y participar más activamente en el día a día de la política, o de otros aspectos de nuestra sociedad.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!