Cómo los metadatos resolvieron un caso de producción y comercialización de Pornografía Infantil Internacional

Cómo los metadatos resolvieron un caso de producción y comercialización de Pornografía Infantil Internacional

Hace unos meses tuve la oportunidad de realizar una Desconferencia en el pasado BarCamp 5 de la ciudad de Medellín. Allí aproveché el espacio para socializar uno de los últimos casos en que el equipo de Anti-Depredadores apoyó técnicamente a las autoridades competentes en este tipo de incidentes.


A continuación el registro de la presentación con sus respectivas descripciones. Estas a manera de post para su fácil comprensión.

Agradecimientos y Presentación de algunos de mis proyectos

@4v4t4r

 

 

Legislación en Colombia contra este tipo de delitos

 

Resumen del último caso de éxito autorizado para ser presentado al público desde Anti-Depredadores. Este caso ya lo había socializado justamente en el BarCampSE (BarCamp Security Edition) en la ciudad de Medellín. Asimismo fue presentado en elSecurityZone (Cali) y GuadalajaraCon (México).

Modalidades más comunes de agresión contra menores

 

Modo de operación del cybergroomer

 

Correos electrónicos de engaño para ganar confianza en la víctima, simulando ser 4 o 5 identidades. (Todas estas falsas)

 

Correos electrónicos de engaño para ganar confianza en la víctima, simulando ser 4 o 5 identidades. (Todas estas falsas)

 

Inicia el proceso de acoso y persecusión por parte del depredador… Aquí identificándose como otro individuo involucrado. Que supuestamnete quiere ayudar a que no se publiquen las fotografías de la menor.

 

Inicio también del proceso de tracking (seguimiento) por parte nuestra. Tratando de perfilar e identificar plenamente al depredador sexual.

 

Colaboración conjunta desde el proyecto Flu-Project (España) en la creación de una herramienta avanzada de recolección de evidencia digital para este tipo de casos por medio de la administración remota.

 

Plena identificación… Pwn3d

 

Desde aquí comienza la descripción y experiencia con uno de los nuevos casos trabajados. Previamente autorizado para su publicación.

Denuncia anónima dirigida a la Policía Nacional de Colombia… Desde allí la unidad encargada nos contactó solicitando apoyo técnico en el caso.

 

Visualización del sitio web

Es necesario aclarar que a partir de este momento se comienzan a utilizar algunas de las diferentes técnicas, tácticas y metodolgías propias de un Test de Penetración. Esto con el objetivo de tener plena identificación de la red y sus actores involucados. Esta serie de técnicas y metodologías pueden resumirse de la siguiente manera:

Planeación y Determinación de Alcances > Recolección de Información > Enumeración > Identificación y Análisis de Vulnerabilidades > Explotación y Post-Explotación de Vulnerabilidades > Reportes

Recolección de Información mediante el uso de consulta WHOIS (dominio protegido)

 

Enumeración mediante la exploración del sitio web y los recursos propios que lo conforman (secciones, archivos fotográfios, css, js, enlaces, comentarios, publicaciones, fechas, etc)

 

 

Exploración de llamadas a recursos (fotografías)

 

Rutas de almacenamiento de las fotografías

 

Identificativo característico y particular de cada una de las fotografías expuestas (marca de agua con el nombre de dominio en internet)

 

Exploración directa en directorios de almacenamiento. Desde allí fue posible identificar una vulnerabilidad Web que permite listar todos los archivos almacenados en un directorio del servidor web (Directory Indexing). Asimismo fue posible identificar todas las fotografías con respecto a un SET o galería. Estas son por ejemplo las fotografías miniaturas y de tamaño regular para una fácil publicación en portadas del sitio web (muestras de galerías). Igualmente pudimos identificar las fotografías “finales” o de alta resolución (originales en gran medida) que serán entregadas a los compradores de este tipo de material.

 

 

Procedimiento de generación y custodia de evidencia digital (Descarga automática de contenido web estático -Httrack, copias locales y firma criptográfica de la evidencia digital)

 

 

 

 

 

Ya hemos recolectado suficiente información para comenzar un análisis profundo. Desde allí evaluaremos recolectar alguna otra según vamos obteniendo resultados positivos para la investigación.

Allí identificamos un nombre común en varios de los recursos/secciones del sitio web. Algo que parece ser el nombre de la “agencia” o entidad core de las páginas (veremos que son varias similares).

 

 

 

 

 

Otros sitios web bajo el control de la “agencia/red” de distrribución.

 

Plena identificación de la estructura organizacional. Core central y diferentes dominios con distintas menores para cada uno.

 

Let’s start…

Metadatos
Muchos tipos de ficheros, especialmente los que conllevan algún tipo de contenido editable por usuarios, contienen metainformación. Los metadatos, son conjuntos de registro de información que ayudan al sistema, a los programas que los editan y a los propios usuarios de los documentos a tener más información sobre los mismos a la hora de manejar grandes volúmenes de ficheros.

Casi todos los formatos de fichero guardan algún tipo de información que puede ser utilizada en análisis forense. En ficheros gráficos que sean fotografías digitales puede encontrarse, por ejemplo, información sobre la marca y el modelo de la cámara con que fue tomada, la fecha y la hora exacta a la que se tomó e incluso, en algunas ocasiones, información del posicionamiento GPS y autor de las mismas.

EXIF (Exchangeable Image File Format)

¿Qué son los datos EXIF?

Los datos EXIF son un registro de la configuración que una cámara utilizó para tomar una fotografía o un video. Esta información se inserta en los archivos que guarda la cámara (fotos).

Justo aquí realicé un pequeño DEMO. El cual consitió en tomar una fotografía a uno de los asistentes y frente a los mismos realizar el proceso de extracción de información (metadatos). Obteniendo finalmente casi cualquier dato relacionado a esa toma… Ya veremos con el caso específico cuales podrían ser estos datos.

 

Proceso de extracción automático de metadatos en el análisis del caso. Inicialmente utilizando la FOCA de informática64

Análisis detallado con FOCA a un archivo específico (fotografías en alta resolución/orginales)

Identificación de la cámara, Modelo de cámara, Autor, fecha de la toma, edición de la misma, Números telefónicos ¿WTFFF?

 

Análisis aun más profundo (Exif Pilot) a un archivo específico. Allí fue posible obtener además de la información anterior, el número serial de la cámara (único para cada cámara)

 

Ahora bien… Con toda esta información (serial de la cámara, números telefónicos, nombre del fotógrafo, fechas, etc) lo que sigue es “carpintería”.

Pwn3d

 

En otra oportunidad y según me autoricen publicaré como pudimos llegar al core de la red por medio de los sitios web y a todos los usuarios de la misma. Por ahora algunas capturas de pantalla.

 

 

¿CSI?

Gracias…

Share this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *