Descubriendo Fraudes a Través del Archivo Index.dat

Hoy en día el uso de Internet dentro de las organizaciones es lo más común, pues muchos trabajos se realizan a través de él y se está convirtiendo en apoyo fundamental en algunas laboras.  Lo que no es normal es que algunos empleados lo estén utilizando para cometer fraudes para el beneficio de él o de terceros. Consultando páginas a través de Internet o bajando información sin autorización, infringiendo normas y políticas establecidas dentro de la organización.

Muchas organizaciones, pueden monitorear los equipos de la empresa, con el fin de establecer que están haciendo los empleados en horarios laborales en Internet. Esta labor es revisar el archivo Index.dat. Estos archivos son creados por Windows y son los encargados de guardar el historial del navegador de Internet Explorer. Los empleados creen que desocupando el historial de internet o los archivos temporales de Internet pueden eliminar lo que hacen en Internet. Pero ésta acción no siempre se eliminará por completo, siempre deja rastro en éstos archivos disponibles para examinarlos en el trabajo de auditoria o investigativos. Igualmente estos archivos también almacenan información de los documentos que se han abierto recientemente.

El archivo Index.dat, es un archivo oculto de las páginas Web que se visita y guarda las direcciones de correo electrónico que envíe. Estos archivos están en varios lugares dependiendo de la versión del  sistema operativo y generalmente se encuentran en los siguientes lugares predeterminados:

Windows XP

 Documents and Settings \ [nombre de usuario] \ Local Settings \ Historia \ History.IE5 \

Windows Vista, 7

Win7 % userprofile % \ AppData \ Local \ Microsoft \ Windows \ Historia \ History.IE5
Win7 % userprofile % \ AppData \ Local \ Microsoft \ Windows \ Historia \ Low \ History.IE5

Con ayuda de EnCase Enterprise o EnCase Forensic, los auditores pueden realizar conexiones remotas, con el fin de monitorear que sus empleados estén cumpliendo con las políticas de las Pequeñas Empresas u Organizaciones. Este tipo de herramientas permite previsualizar el archivo index.dat y de una manera rápida comprobar el uso de Internet. A continuación se muestra  éste archivo a través de EnCase Enterprise o EnCase Forense V 7.08.01:

También en el archivo Index.dat, encontramos información de los documentos que los empleados han revisado recientemente. Lo que permite identificar el tipo de archivos que se está consultando y lo más importante su ubicación, como lo muestra la siguiente imagen: 

Para complementar la búsqueda de archivos recientes a través de Index.dat, también se puede localizar la ruta \AppData\Roaming\Microsoft\Office\Reciente\Index.dat.  Ubicando de esta manera el log total con los archivos abiertos con extensión .lnk revisados dentro del equipo auditado así:

 

Otra manera de establecer qué están haciendo los empleados de las Organizaciones en Internet, es identificar para cada usuario los archivos temporales de Internet (TIF archivos que quedan en la memoria cache). Dentro de éstos también existe el archivo Index.dat. Los auditores deben analizar el subárbol del registro para cada usuario, a continuación se muestra la estructura de carpetas que encontrará para cada usuario en un disco típico con  Internet Explorer:

Dentro de la auditoría se revisa la carpeta raíz Archivos Temporales de Internet, seguido de la carpeta Content.IE5. Encontrando allí un mínimo de 4 carpetas de caché de Internet Explorer. Los nombres de archivos de estas carpetas de caché forman parte de 8 caracteres aleatorios. Cuando más se necesita espacio de caché, Internet Explorer agregará carpetas adicionales en múltiplos de 4. La siguiente imagen muestra como se ve a través de EnCase Enterprise o EnCase Forensics este archivo y subcarpetas, conteniendo el archivo Index.dat:

Es de resaltar, que este archivo es muy importante dentro de las investigaciones de Fraudes cometidos dentro de organizaciones. Allí encontramos almacenados todas las páginas visitadas por el usuario. Como también las imágenes contenidas en cada sitio web revisado.

Así mismo, también una idea de qué sitios web han visitado los empleados y que actividades pueden estar teniendo. Se debe registrar la carpeta Cookies., correspondiente para cada usuario así:

Ubicación: Internet Explorer
XP % userprofile % \ Cookies
Win7 % userprofile % \ AppData \ Roaming \ Microsoft \Windows \ Cookies
Win7 % userprofile % \ AppData \ Roaming \ Microsoft \Windows \ cookies \ Low

Ubicación: Firefox
XP % userprofile % \ Datos de programa \ Mozilla \ Firefox \Profiles \ aleatorio> text> . Default \ cookies.sqlite
Win7 % userprofile % \ AppData \ Roaming \ Mozilla \ Firefox \Profiles \ aleatorio> text> . Default \cookies.sqlite

Otra ventaja de revisar los archivos Index.dat, es identificar que no solo el historial de Internet Explorer almacena los archivos relacionados con la navegación o visitas a páginas web.  Éstos también registran el acceso a archivos locales y remotos (recursos compartidos a través de la red). Permitiendo al auditor o examinador determinar qué aplicaciones se acceden en el sistema en el día a día de trabajo dentro de una organización, ubicando las siguientes rutas:

Ubicación: Internet Explorer
XP % userprofile % \ Configuración local \ Historia \ History.IE5
Win7 % userprofile % \ AppData \ Local \ Microsoft \ Windows \ Historia \ History.IE5
Win7 % userprofile % \ AppData \ Local \ Microsoft \ Windows \ Historia \ Low \ History.IE5

Igualmente, existen muchas páginas visitadas en el historial de internet. Por lo tanto es importante revisar los archivos que se abren desde sitios remotos y que son descargados por los empleados en los equipos de la empresa localmente. El historial mostrará el acceso en la página web a través de un enlace, revisando el archivo index.dat/places.sqlite, ubicado en:

Ubicación: Internet Explorer
XP% userprofile% \ Configuración local \ Historia \ History.IE5
Win7% userprofile% \ AppData \ Local \ Microsoft \ Windows \ Historia \ History.IE5
Win7% userprofile% \ AppData \ Local \ Microsoft \ Windows \ Historia \ Low \ History.IE5

Ubicación: Firefox
IE% userprofile% \ Datos de programa \ Mozilla \ Firefox \ Profiles \ aleatorio> text>. Default \ places.sqlite
Win7% userprofile% \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \ aleatorio> text>. Default \ places.sqlite

Finalmente con los avances tecnológicos y la constante conexión a Internet por parte de empleados. Las empresas siempre van a tener expuestos los equipos a actividades ilícitas criminales. Ataques internos o externos como fraude financiero, la intrusión no autorizada a los sistemas, robo datos personales de clientes, propiedad intelectual, transferencia de archivos indebidos (imágenes  con contenido pornográfico o sexual) o realizar actividades malintencionadas, entre otros. Por eso es importante que éste tipo de organizaciones monitoreen constantemente los equipos de los empleados. 

Explorando archivos como Index.dat, qué sitios web están visitando, qué archivos están bajando, estableciendo si éstos tienen relación con su trabajo del día a día o están perdiendo la visión de la empresa en actividades ilícitas o vanas. Y con ayuda de auditorías realizadas con EnCase Enterprise o EnCase Forensic facilitan la  identificación de éstas actividades realizadas por empleados. Poniendo en riesgo a la organización con inconvenientes éticos, financieros y porque no decirlos también legales.

RELACIONADOS

Los Básicos De Forense: En La Papelera De Reciclaje Se Encuentra Evidencia

Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Los Básicos De Forense: La Importancia Del Analisis De Firmas

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase