Hoy
en día en las pequeñas empresas y con el auge de la implementación del uso de
nuevas tecnologías y de las comunicaciones a través de Internet, se están abriendo
puertas para cometer delitos informáticos y éste tipo de organizaciones no son la excepción para que sus empleados se
vean tentados a realizar fraudes e incidentes informáticos.
Un
tema culminante en el momento de realizar investigaciones o auditorias en
organizaciones pequeñas, que proporcionan una gran fuente de información
valiosa en una investigación, es el hallazgo de información en archivos borrados. Estes archivos que han sido
eliminados de manera accidental o
intencionalmente por los empleados para ocultar rastros de hechos malintencionados en contra de la
empresa.
Existen
empleados que cometen fraudes o robos de
información y una manera fácil de esconder sus malas acciones para no dejar
huella es eliminado cualquier rastro. Lo que no saben éstos empleados, es que
en los computadores existen varios
sitios donde queda evidencia de los archivos que eliminan, desconocen que se
borran permanentemente de los computadores y simplemente dejan de ser visibles
para el usuario. Pues el espacio que ocupaban se marca como disponible para ser
usado nuevamente. Si nada ha utilizado ese espacio desde que se borró un
archivo, entonces éste puede ser recuperado de dispositivos de almacenamiento como:
discos duros, memorias USB, tarjetas SD, en unidades de disco duro externos, cámaras
fotográficas, entre otros dispositivos. Este procedimiento se logra a través de
la herramienta especializada EnCase Forensics o EnCase Enterprise, a
continuación exponemos unos ejemplos de cómo encontrar rastros de los posibles
fraudes u robo de información ocasionados por empleados dentro de las pequeñas
empresas u organizaciones:
A
través de EnCase Forensics o Enterprise V 7.08, facilita a los examinadores o
auditores a encontrar evidencia
en el sistema operativo Windows cuando un empleado comete este tipo de actos ya que quedan rastros dentro de los
dispositivos como discos duros. Por
ejemplo para las versiones de Windows
NT/XP/2003, existe el archivo INFO2
se encuentra en el directorio: C:\Recycler\<USER
SID>\INFO2; para Windows Vista y Windows 7, se guardan los archivos en
la carpeta C:\$Recycle.Bin, estos
archivos se generan para cada usuario en los dos casos, aquí un ejemplo de cómo
EnCase los visualiza:
Así
mismo, la papelera de reciclaje es un lugar importante, puesto que proporciona
información al investigador de conocer la fecha exacta de cuándo se colocó por primera vez en la papelera de
reciclaje, a través del archivo oculto INFO2. Este archivo
contiene el tiempo de eliminados, orden
cronológico de su eliminación, nombre del archivo original, también proporciona
información como el nombre del archivo en ASCII y Unicode. Igualmente a través de EnCase Enterprise
mediante procedimientos se puede ver los archivos INFO2, para cada usuario y mostrando los archivos eliminados, con
las respectivas propiedades, fecha de eliminación, entre otros, como se observa en la siguiente imagen:
También se puede establecer para la Papelera de reciclaje en Win7 el
archivo C: \ $ Recycle.bin y encontrar para cada usuario la fecha de
haberse cometido el fraude datos como: Tiempo de
eliminados y nombre de archivo original contenidos en archivos separados y para cada
archivo de recuperación borrado. Se puede
observar para cada archivo en win7 así:
También como
se observa en la siguiente imagen cada usuario tiene identificación un SID el cual se establece a través de análisis
del Registro, para Windows 7 los archivos
precedidos por $ I
# # # # # # archivos contienen ( ruta original y el nombre), Supresión de fecha / hora y archivos Precedido $ R # # # # # # archivos
contienen ( Recuperación de Datos), como se muestra a
continuación la ruta de un archivo eliminado:
Otra opción para descubrir información de
fraudes es examinar los archivos Thumbs.db, el cual es un archivo oculto en el
directorio donde estuvieron las imágenes eliminadas o no eliminadas, la cual es
una pequeña base de datos que contiene copia de fotografías en la thumbnail, para los
investigadores o auditores es importante revisar este archivo, puesto que con ellos se puede
establecer fraudes como ver la pornografía en horario de oficina, haber
escaneado información de documentos y dejarlos en jpg o descargar de sus cámaras fotográficas en las
computadoras de la empresa, muchas veces sin necesidad de
descargarlas sólo con hacer una conexión de la cámara al computador y visualizarlas,
se auto genera un Thumbs.db, dejando rastro de
datos como: Miniatura Imagen del original, hora de última modificación, nombre
del archivo original, entre otros, como se observa en la siguiente imagen, un
empleado elimino la fotografía de un documento:
A
continuación o algunos ejemplos de donde más encontrar información eliminada
que es de dominio de examinadores forenses que tienen un poco más de
experiencia:
Otra posibilidad para los investigadores es
poder leer a través de EnCase Enterprise o EnCase Forensic y recuperar datos del slack de las entradas del registro $MFT
(tabla maestra de archivos). Allí
podemos encontrar información
que queda residente en la entrada del registro $MFT, cuando ésta pasa de ser
residente a no residente (cuando los datos son demasiado grandes se almacenen
en varios clúster dentro del volumen y ya no están en el registro de $MFT).
Como por ejemplo en un fraude donde un funcionario reviso sin autorización
listados de clientes, proveedores, clientes sin pagar, entre muchos más, que tiene un tamaño inicial de 485 bytes pero
luego de modificarlo hasta 1465 bytes. En este caso queda registro en la $MFT
como residente pero por sobrepasar su tamaño básico se convierten en no-residente después de la modificación.
El examinador puede observar rastros de esta lista en el registro $MFT slack, pero cuando sobrepasa el
tamaño, el contenido se desplaza del todo a uno o más clústeres. Pero allí se
puede también encontrar gran información de lo que revisó el empleado y se debe entender que cuando se
elimina información en un volumen NFTS , la entrada $MFT es alterada para
indicar que ahora se hace referencia a un objeto eliminado (sea carpeta o
archivo).
Otro
ejemplo, cuando en empresas los empleados cometen fraudes se encuentran rastros
y se puede establecer a través de EnCase Forensics , montando la evidencia con el módulo Sistema de Archivos Virtual (VFS) y examinar el disco duro a través del
Explorador de Windows, facilitando la visualización de todo el disco, revisando
espacio sin asignar, zona libre del disco duro, revisión de archivos y carpetas
eliminadas.
También
para encontrar información rastros de si un empleado estuvo cometiendo algún
fraude de fuga de información, es
revisar los archivos .SPL o .SHD,
archivos que se generan al enviar trabajos de impresión y quedan como cola de impresión; en el caso de un empleado que estaba filtrando
información confidencial a través de
impresiones como el listado de clientes de la empresa o la fórmula de algún
producto, y éste al tratar de imprimir la información envió varias impresiones y
hubo un corte de luz o de red, quedando en memoria la evidencia en éstos
archivos que faltaron por imprimir; los
examinadores deben buscarlos en el computador éstos archivos y muchas veces también como eliminados, allí
se puede encontrar éste tipo de hallazgos importantes de lo que estaba haciendo
el empleado.
Para
finalizar las empresas pequeñas, no pueden evitar sufrir algún tipo de robo o
fraude, puesto que donde este implementada
tecnología y comunicaciones se está en riesgo constante, lo que sí
pueden evitar es que el hecho quede impune y tomar medidas que protejan éste
tipo de empresas, así como la reputación de la misma, con ayuda de análisis o
auditorias constantes a través de herramientas especializadas como EnCase Forensics o EnCase Enterprise
utilizadas por expertos, se puede establecer cuándo, qué y cómo se cometió el
fraude informático y tener un mejor control de lo que hacen los empleados
internos dentro de la organización y así evitar fraudes o incidentes
informáticos.
RELACIONADOS
No hay comentarios :
Publicar un comentario