Para
los examinadores y/o auditores el gran reto es identificar el delito qué está
cometiendo un empleado dentro de una organización, por el uso de Internet, como por ejemplo
cuando se comete una amenaza y/o fraude. Para ello una fuente muy importante
que suministra bastante información identificando de una manera clara en qué
actividad estaba involucrado el usuario, lo que estaba haciendo, cuando lo
estaban haciendo y por qué, es analizar la gran base de datos que suministra el
archivo NTUSER.DAT, a continuación
revisaremos algunos ejemplos de fraude y cómo podemos solucionar los problemas
en los que se enfrentan los examinadores y/o auditores ante un incidente
cibernético.
Un
fraude puede ser el realizado por medio de computadores y con la ayuda del uso
de Internet, por ejemplo, robo de
propiedad intelectual, espionaje industrial, fraude y robo electrónico,
pornografía infantil, pedofilia, entre muchos otros; para éstos problemas,
una gran ayuda para los examinadores y auditores mediante el uso de la
herramientas que permite hacer una correlación y establecer un patrón de
comportamiento, es EnCase Forensics o EnCase Enterprise la cual visualiza su contenido
como un archivo compuesto de una manera fácil y ordenada, facilitando el análisis
al registro de Windows en especial al archivo NTUSER.DAT, con el fin de
identificar qué empleados ingresaron al computador intervenido, y determinar
quien cometió éste tipo de delitos.
En
el caso de ser robo de propiedad intelectual, podemos analizar la ejecución de
programas a través de NTUSER.DAT revisando
el Asistente de Usuario, ya que éste permite visualizar los programas basado en
GUI lanzados desde el escritorio, haciendo seguimiento a los programas de
ejecución en un sistema Windows, para ello podemos ver la llave NTUSER.DAT \ Software \
Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist
\ {GUID} \ Conde.
A través de ésta llave podemos tener una idea de cuando un usuario ejecuto un programa objeto
de fraude, también saber qué programas estaban en el escritorio, así mismo si
realizó descargas de programas o documentos, entre otros datos así:
Todos los valores son ROT-13 codificados
• GUID para XP - 75048700 Active Desktop • GUID para Win7 - CEBFF5CD ejecución de archivos ejecutables - F4E57C4B Shortcut ejecución de archivos • Lugares Programa para Win7 UserAssist - ProgramFilesX64 6D809377-... - ProgramFilesX86 7C5A40EF-... - Sistema 1AC14E77-... - SystemX86 D65231B0-... - Escritorio B4BFCC3A-... - Documentos FDD39AD0-... - Descargas 374DE290-... - UserProfiles 0762D272-... |
También
otro análisis que se puede hacer cuando el tipo de fraude es de propiedad
intelectual, es establecer la instalación de programas no autorizados, mediante
la clave OpenSaveMRU, identificando el
último programa ejecutable utilizado, adicionalmente determinar la ubicación
del directorio accedido de la aplicación, este dato esta en la clave:
XP NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU y
Win7 NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
Por
consiguiente la clave OpenSaveMRU contribuye a establecer en nuestra auditoria o análisis forense los
archivos ejecutables de las aplicaciones utilizadas y su última ruta utilizada.
Otra información que
proporciona la clave OpenSave, es
identificar qué archivos han sido descargados dentro de Windows, a través de
OpenSaveMRU, conocer los archivos descargados, abiertos y guardados, en
términos más simples, esta llave rastrea éste tipo de archivos dejándolo en una caja de diálogo de Windows
Shell, el cual también incluye información de los navegadores como Internet
Explorer y Firefox, y otras aplicaciones de uso común, dejándolos en la
siguiente llave:
XP
NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \
Comdlg32 \ OpenSaveMRU
Win7 NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \OpenSavePIDlMRU
Win7 NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \OpenSavePIDlMRU
Así mismo, la información encontrada
en la llave OpenSave sirve para realizar
seguimiento a los archivos guardados o abiertos recientes de cualquier entrada
de extensión desde el dialogo de OpenSave por extensión específica (por ejemplo
Excel).
Otra opción para encontrar señales de fraude cuando
alguien está haciendo espionaje industrial
(robo de documentos para entregar a la competencia) es determinar a través de
la llave NTUSER.DAT \ Software \Microsoft Office \ VERSION los últimos archivos usados o archivos
recientes. También se puede determinar en que versión de Microsoft office fue
editando o modificado, identificados dentro de la llave así: 14.0
= Office 2010, 12.0 = Office 2007, 11.0 =
Office 2003, 10.0 = Office XP.
Esta utilidad permite
determinar en este tipo de fraudes hacer seguimiento de los últimos archivos que estaban abiertos en la aplicación MS Office. La última entrada completada, por
la MRU (es la abreviatura de 'most-recently-used'), será el tiempo de la último
archivo
que
fue abierto por una específica aplicación de MS Office.
Igualmente otra
información que proporciona NTUSER.DAT es identificar en el equipo auditado,
qué tipo de búsquedas realizó (Search Asistente), sobre todo si el equipo es Windows XP interpretando a través de la clave NTUSER.DAT \ Software \ Microsoft \ Search
Asistente \ ACMru \ # # # #.
Allí se puede
encontrar gran fuente de información y orientar la investigación del tipo de
búsquedas y tipo de información que estaba monitoreando nuestro sospechoso.
Puesto que a través de ésta llave podemos encontrar si estaba buscando equipos,
impresoras que estuviesen en una red, nombre de archivos, o palabras contenidas
en archivos.
Este es un ejemplo donde se puede encontrar el " Historial de búsqueda " en el sistema de Windows y los resultados estarían así: Buscar en Internet - # # # # = 5001, Todo o parte del nombre de un documento - # # # # = 5603, Una palabra o frase dentro de un archivo - # # # # = 5604, Impresoras , Computadoras y Gente - # # # # = 5647.
Este es un ejemplo donde se puede encontrar el " Historial de búsqueda " en el sistema de Windows y los resultados estarían así: Buscar en Internet - # # # # = 5001, Todo o parte del nombre de un documento - # # # # = 5603, Una palabra o frase dentro de un archivo - # # # # = 5604, Impresoras , Computadoras y Gente - # # # # = 5647.
Cuando se tiene una amenaza y/o fraude
en la empresa u organización, y que se tengan indicios de la persona que los
está cometiendo, los encargados de responder a estos incidentes deben enfocarse
en ésta gran base de datos que deja cada usuario en el archivo NTUSER,DAT,
desde allí se logra la relación de qué, quién, cómo y cuándo se cometió el
fraude. Así mismo, mediante el análisis o auditoria se puede conseguir un
control y chequeo para evitar estos y muchos tipos de fraudes que pueden ser
dañinos a una empresa y organización, fraudes hay de mucho tipos, algunos más
dañinos que otros.
Para finalizar, los fraudes Informáticos van en aumento por la gran cantidad de usuarios que existen dentro del ramo, y con estos ejemplos son una mínima parte de lo que podemos encontrar dentro del registro de Windows, así entonces, a través de las bondades que posee EnCase Forensics o EnCase Enterprise, podemos presentar informes con resultados evidenciando los hallazgos en cada análisis o auditorias concernientes a fraudes.
RELACIONADOS
No hay comentarios :
Publicar un comentario