A medida
que avanza la tecnología las comunicaciones también van un paso adelante. Años
atrás para comunicarnos con otras personas debíamos hacerlo a través de
telefonía fija o por correo aéreo. Pero esto cambio, ahora existen los
teléfonos inalámbricos, teléfonos celulares de baja y alta gama. En vez de ir
al correo aéreo podemos enviar cartas o mensajes a través de los dispositivos
celulares o computadores es más, si queremos podemos establecer conversaciones viendo
a otras personas que estén en la misma
ciudad o incluso fuera del país, esto gracias a la evolución de la tecnología.
Dichas conversaciones se pueden
establecer a través de Skype un
cliente VoIP desarrollado por Kazaa que también es una red P2P. Skype permite
que los usuarios realicen llamadas de voz, envíen mensajes del texto y
compartan archivos a otros usuarios
clientes de Skype.
Esencialmente, es muy similar a las aplicaciones MSN y Yahoo IM, pues tiene capacidades para llamadas de voz, mensajería instantánea, audio conferencia y listas de contactos. Para Investigaciones o auditorias esta es una gran fuente de información. Si bien es cierto, la encriptación de datos que Skype utiliza AES (Advanced Encryption Standard), que es usado por las organizaciones de protección de datos. Esta encriptación utiliza 256 bits que permiten un total de 1.1x1077 posibles claves para cifrar cada llamada o mensaje instantáneo. Pero al estar examinado un disco y encontramos que tiene instalado Skype los expertos forenses pueden obtener gran información de las huellas que quedan en algunos archivos en los dispositivos de almacenamiento digital de las comunicaciones establecidas por Skype. Esto se logra con la ayuda del Software para investigación especializado EnCase Enterprise o EnCase Forensics el cual permite identificar evidencia como la que a continuación se expone.
Esencialmente, es muy similar a las aplicaciones MSN y Yahoo IM, pues tiene capacidades para llamadas de voz, mensajería instantánea, audio conferencia y listas de contactos. Para Investigaciones o auditorias esta es una gran fuente de información. Si bien es cierto, la encriptación de datos que Skype utiliza AES (Advanced Encryption Standard), que es usado por las organizaciones de protección de datos. Esta encriptación utiliza 256 bits que permiten un total de 1.1x1077 posibles claves para cifrar cada llamada o mensaje instantáneo. Pero al estar examinado un disco y encontramos que tiene instalado Skype los expertos forenses pueden obtener gran información de las huellas que quedan en algunos archivos en los dispositivos de almacenamiento digital de las comunicaciones establecidas por Skype. Esto se logra con la ayuda del Software para investigación especializado EnCase Enterprise o EnCase Forensics el cual permite identificar evidencia como la que a continuación se expone.
Para las pequeñas organizaciones o
empresas que tienen casos de investigaciones o auditorías rutinarias, un lugar
para verificar proactivamente es examinar los archivos que genera la aplicación
Skype. El
examinador o auditor debe centrarse en algunos archivos que le proporcionarán
información que unida con otra se convierten en pruebas reinas, como por
ejemplo, el registro que deja el historial
de Skype y establecer datos de las sesiones de chat, fechas y horas,
archivos transferidos de una maquina a
otra y otros datos, analizando los siguientes archivos.
Primero para establecer si en el
dispositivo de almacenamiento digital está instalado el programa Skype, éste almacena
el caché de cliente en un archivo XML en
la siguiente ruta para:
XP: C: \ Documents and
Settings \ <nombre \Aplicación \ Skype \
<skype-name>
Win7: C: \ Users \ <nombre \ AppData \ Roaming \Skype \ <skype-name>
Win7: C: \ Users \ <nombre \ AppData \ Roaming \Skype \ <skype-name>
También, para establecer la
ubicación de buddy list o lista de
contactos se debe revisar el archivo config.xml
el cual esta
encriptado, pero al revisarlo a través de EnCase Enterprise V7.08, se puede establecer información importante como:
archivos enviados o recibidos, si cambio
la fotografía del perfil de Skype y la ubicación de la misma dentro del dispositivo,
arrojando rutas dentro del archivo config.xml
así:
C:\Users\nombre
user\AppData\Roaming\Skype\My Skype Received Files\ (identifica qué archivo fue recibido)
C:\Users\nombre user
\AppData\Roaming\Skype\Pictures\Mi instantánea 2.png (identifica imagen cambiada perfil)
C:\Users\nombre user\AppData\Roaming\Skype\Pictures\
(identifica lugar donde almacena imágenes)
Otro sitio importante para encontrar evidencia de los
movimientos que una persona hace dentro de skype es revisar el archivo queue.db gran base de datos. A través de éste archivo se puede
establecer cuándo fue creado el usuario de Skype, puesto que allí guarda fechas
de creación, acceso y última escritura (ésta última permite establecer la
última vez que tuvo abierta una sesión de Skype):
Igualmente, en la base de datos queue.db se puede establecer el
nombre de la red de la persona que está siendo investigada, además, ver si es
una conexión WiFi, datos como la MAC del equipo, dirección IP y las diferentes
sesiones que haya tenido con sus errores, como se observa en el siguiente pantallazo:
Para
complementar una auditoria o análisis forense, se debe tener en cuenta otras
carpetas: shared_httpfe y chatsync, las
cuales guardan archivos .dat, que contienen logs de sesiones de conversaciones como
conferencias entre diferentes usuarios de Skype, mostrando fechas y horas de
cada archivo y datos importantes como la identificación de los demás usuarios
de Skype:
C:\Users\user
name\AppData\Roaming\Skype\shared_httpfe\Q1376001962M838135428.dat
C:\Users\user
name\AppData\Roaming\Skype\user skype\chatsync\04\Q1376001962M838135428.dat
C:\Users\\user
name\AppData\Roaming\Skype\shared_httpfe\queue.db-journal
Concluyendo cada dispositivo de almacenamiento digital examinados
o auditados en las Pequeñas Organizaciones o Empresas y analizados con EnCase
Forensics o EnCase Enterprise, los
examinadores deben aprovechar al máximo cada proceso que éstos proporcionan, permitiendo
encontrar evidencia de lo que hace un empleado al utilizar la aplicación Skype. El presente artículo es sólo una
muestra de lo que se puede encontrar en los registros contenidos en los sistemas
operativos como Windows.
RELACIONADOS
No hay comentarios :
Publicar un comentario