Un
tema muy interesante para auditores o examinadores forenses en el momento de
analizar dispositivos de almacenamiento digital con sistema operativo Linux
es identificar los archivos que están en
la papelera de reciclaje. Los archivos son muchas veces eliminados por los
usuarios de manera intencional con el
fin de borrar las huellas de acciones indebidas que hayan sido cometidas.
Continuando
con nuestra serie sobre cómo realizar auditorías a dispositivos con Linux, expondremos
un par de ejemplos sencillos que muestran cómo auditores y examinadores pueden recuperar
archivos borrados en este sistema operativo de distintas maneras con la ayuda
de las soluciones de EnCase.
Linux,
al igual que Windows, provee varias papeleras de reciclaje en cada partición y
en la carpeta home de cada usuario. Por consiguiente, si un usuario borra un
archivo que está en la misma partición que su carpeta home, este archivo será
enviado a la papelera de reciclaje del usuario en la ruta home/<nombre de usuario>/.local/share/Trash. Esta ruta debería ser la primera opción que el auditor o examinador
debería explorar manualmente cuando está buscando archivos eliminados:
Esta
carpeta almacena dos sub carpetas que guardan todos los datos referentes a la papelera.
Primero, ubicaremos la sub carpeta File,
encargada de almacenar los archivos enviados a la papelera, como mostrado
en la siguiente imagen:
A
continuación ubicaremos la sub carpeta Info,
una carpeta que también es de mucho valor durante una investigación. En esta
carpeta se almacenan metadatos relacionados a los archivos eliminados. Mediante
una pre-visualización de los archivos contenidos en la carpeta con la función
de visualización hexadecimal de EnCase Enterprise, podemos observar la ubicación
original de los archivos eliminados y la fecha y hora en que fueron borrados. Podemos
identificar estos archivos porque tienen el mismo nombre del archivo borrado,
con la extensión .trashinfo adicionada
al nombre (<nombre de archivo>.<extensión original>.trashinfo):
Datos
como la fecha de eliminación son de vital importancia para establecer la
cronología de una investigación. Además de fecha y ubicación original, a través
de estos archivos también podemos ver la extensión original del archivo borrado,
como mostrado en esta visualización en estilo transcripción de EnCase Enterprise:
Con
las soluciones EnCase también podemos encontrar los documentos eliminados de una
manera un poco más automatizada. Creando una condición que filtre archivos con
la extensión .trashinfo, podremos
ver rápidamente todos los archivos eliminados en todas las unidades de varios
dispositivos de almacenamiento en el computador de un usuario, evitando hacer
una revisión manual de cada papelera de reciclaje en cada partición:
Hemos
visto como organizaciones de diferentes tamaños pueden utilizar las soluciones de EnCase para monitorear los
dispositivos con sistema operativo Linux y buscar indicios de mal uso de una
manera sencilla. Las soluciones EnCase también pueden recuperar archivos
borrados y entregar reportes inmediatos que le permitan a su organización tomar
decisiones respecto a qué podría estar fallando en las políticas y
procedimientos relacionados a la seguridad de sus dispositivos. Para ver estas
y otras funcionalidades, acompáñenos en el siguiente artículo de esta serie.
RELACIONADOS
No hay comentarios :
Publicar un comentario