Para
muchas organizaciones utilizar software libre ya es algo muy común. Este tipo
de software usualmente se distribuye a través de una Licencia Pública General (GNU)
que permite que pueda ser copiado, distribuido y alterado libremente. El
software libre es muy útil para organizaciones que desean minimizar el costo de
adquisición, instalación e implantación de sus sistemas.
Estas
es la razón por las cual muchas organizaciones han empezado a migrar al sistema
operativo Linux para sus dispositivos. Es un sistema operativo gratis y fácil
de utilizar, que permite realizar todas las funciones de sistemas operativos pagos
como Windows o Macintosh.
Muchas
empresas han transferido todos sus dispositivos a una plataforma Linux. Esto ha
aumentado la necesidad en el mercado de herramientas que permitan auditar estos
sistemas para encontrar malware, reconocer señales de fraude, verificar el
cumplimiento de estándares y supervisar lo que están haciendo los empleados con
los recursos de la organización. Ante estas y otras necesidades de auditoría en
sistemas Linux, las soluciones de EnCase ofrecen funcionalidad sin paralelo en
la industria.
A
continuación presentaremos el primero de una serie de artículos en la cual les
mostraremos cómo las soluciones de la plataforma EnCase permiten que las
organizaciones tengan una visibilidad completa de la actividad de los dispositivos
que funcionan bajo el sistema operativo Linux. Mostraremos como la plataforma EnCase
puede capturar íntegramente estos dispositivos y visualizar la estructura de
carpetas, metadatos de archivos, cuentas de usuario, permisos, identificar los
procesos y archivos abiertos y mostrar documentos e imágenes, entre otras
funcionalidades.
En
este artículo usaremos la herramienta EnCase Enterprise V7 para explorar un dispositivo
con Ubuntu Linux, realizando una conexión remota a través del Agente EnCase desarrollado
para este sistema operativo.
Después
de realizar la conexión remota, el computador al cual nos hemos conectado es
mostrado para ser explorado. Vemos todos los distintos dispositivos de
almacenamiento del computador auditado, mostrándonos sus distintas particiones.
En este ejemplo nos conectaremos al disco principal del sistema, el disco sda.
Navegar
por la estructura de un dispositivo con sistema Linux en EnCase Enterprise es
tan sencillo como en un dispositivo con Windows. Los investigadores podrán
analizar todo el contenido de estos dispositivos en una estructura ordenada en
árbol que recuerda al explorador de Windows, como observamos en la siguiente
imagen que muestra la estructura de carpetas desde la ruta raíz / :
La
exploración de carpetas nos ayuda a
identificar el perfil de los usuarios del computador. Por ejemplo, a través de
la carpeta /home podemos
establecer las cuentas de usuario que
están configuradas en el dispositivo:
EnCase
Enterprise también permite pre-visualizar varios tipos de archivo sin necesidad
de exportarlos a otro programa. En el ejemplo a continuación, mostramos la pre-visualización
del contenido de un archivo creado en un procesador de texto y como su formato
es visualizado de manera intacta:
Otra
opción de sencilla operación para explorar el contenido de archivos es la
opción de galería. La galería nos muestra todas las imágenes de una carpeta
seleccionada para poder identificar rápidamente capturas de pantalla que podrían
contener contenido sensitivo o contenido que no sea apto según las políticas de
una organización. En el ejemplo a continuación, mostramos las imágenes
contenidas en la carpeta de un usuario en la ruta /Home/[Usuario]/Imágenes:
Complementando
las imágenes anteriores, también se pueden ver los metadatos de los documentos e
imágenes almacenados en el equipo. A continuación mostramos los metadatos de
una foto, incluyendo la cámara que capturó la imagen y la fecha en que se sacó
la foto:
A
través de EnCase Enterprise también podemos realizar la captura de los datos
volátiles (snapshot) del sistema Linux utilizando la función Sweep Enterprise. Sweep Enterprise
permite capturar los datos volátiles de un dispositivo para revisar procesos y archivos
abiertos, configuraciones de sistema, identificar programas instalados,
direcciones IP, MAC, conexiones de red, puertos abiertos y muchos otros
artefactos de sistema de la máquina examinada:
La
siguiente imagen nos muestra como esta función de EnCase Enterprise nos permite
saber los procesos que se están ejecutando en el momento que investigamos un
equipo:
Los
tópicos abordados en este artículo ofrecen solamente un vistazo general a la
funcionalidad que las soluciones EnCase ofrecen para organizaciones que cuentan
con dispositivos funcionando con el sistema operativo Linux. Síganos en esta
nueva serie de artículos y les mostraremos cómo las organizaciones pueden usar
las soluciones EnCase para implementar un monitoreo periódico en dispositivos
que tengan Linux instalado e identificar fallas en la seguridad de su
plataforma, fraude, comportamiento erróneo que indique la posibilidad de
malware y otras amenazas internas o externas que puedan comprometer las
operaciones y la integridad de su organización.
RELACIONADOS
No hay comentarios :
Publicar un comentario