La mayoría de los
investigadores está familiarizado con las capacidades de EnCase® Forensic o EnCase® Enterprise como herramientas para investigación de computadoras de escritorio, servidores y
discos duros, pero, ¿sabía usted que desde que EnCase Forensic v7 y EnCase Enterprise v7 fueron
introducido, ha provisto de soporte para sistemas operativos de teléfonos
inteligentes desde el momento que lo saca de la caja? En la Versión 7.09, la
última actualización, EnCase mejora la adquisición de teléfonos móviles, las
capacidades de análisis y reporte al agregar soporte para dipositivos con iOS
7.
Como usted debe
saber, el mercado de dispositivos móviles está dominado por iOS y Android. Más
del 90 por ciento de los usuarios de teléfonos inteligentes tiene un
dispositivo que soporta Apple o Google. Sin embargo, no obstante dentro de la
mayoría, hay múltiples factores que los investigadores como usted debe
considerar y, últimamente lidiar con, incluyendo:
· Las versiones de los sistemas
operativos de los teléfonos inteligentes varía ampliamente a medida que las
nuevas tecnologías son adoptadas en diferentes magnitudes por los consumidores
de dispositivos móviles.
·
Nuevos dispositivos y capacidades de hardware son actualizados
constantemente.
·
Los datos pueden presentársele en
un sinfín de maneras, requiriéndole preguntar:
·
¿Debería una imagen física ser
obtenida o una imagen lógica será suficiente?
·
¿Siquiera es posible adquirir una
imagen física sin rootear y afectar el contenido del dispositivo de manera
dramática?
·
¿Qué aplicaciones existen en el
dispositivo?
·
¿Cómo se puede acceder a los datos
desde un backup?
·
¿Qué pasa si el backup está
protegido por una contraseña?
Todo esto hace que
la tarea de investigar un dispositivo móvil sea compleja. Para complicarlo aún
más, es más frecuente que un caso involucre tablets, computadoras de
escritorio, teléfonos inteligentes, laptops y servidores de red. EnCase v7 le da un amplio espectro de herramientas y técnicas para reducir la
complejidad y ayudarle a encontrar la mayor cantidad de evidencia posible.
Investigaciones iOS dentro de alcance
Los investigadores
de hoy puedes usar EnCase Enterprise o EnCase Forensic v7.09 para adquirir datos lógicos de
dispositivos iOS de la misma manera en la que herramientas específicas para
dispositivos móviles lo hacen. Para dispositivos iOS en particular, la
adquisición lógica es la única manera de realizar una adquisición sin alterar
materialmente el dispositivo (i.e. jailbreaking).
Puede conectar un
dispositivo iOS 7 a EnCase Forensic o EnCase Enterprise v7.09 vía
cable USB para obtener mensajes SMS eliminados, chats, historial del
navegador, contactos, registro de llamadas e incluso datos de aplicaciones de
Apple Maps y Google Plus. Esto puede sonar como un concepto simple, pero
considere lo siguiente: La mayoría de los investigadores NO tiene una
herramienta de examinadora específica para dispositivos móviles a mano todo el
tiempo. Cuando consideramos que muchos investigadores tienen acceso pronto a
EnCase, el valor de tener capacidades de análisis de teléfonos inteligentes
predeterminado, siempre listo, donde quiera que EnCase Forensic ha sido
instalado, se hace inmediatamente aparente.
Simplemente agregue
evidencia a su caso…
…conecte el
dispositivo, establezca sus opciones de adquisición…
Una vez el teléfono
inteligente es analizado, usted puede ver reportes comprehensivos y realizar
una búsqueda de palabras claves a través de la evidencia, incluyendo
dispositivos móviles o computadoras de escritorio o laptops. Usted puede ver
información de localización como localizaciones de mapas, localizaciones de
teléfono e imágenes geo – etiquetadas directamente en herramientas como Google
Earth.
Respaldos de iTunes protegidos por contraseñas
Los investigadores
no siempre tienen acceso físico al dispositivo iOS. Quizás la única evidencia
disponible para usted sea un respaldo de iTunes y los usuarios de iTunes pueden
proteger con contraseñas sus archivos de respaldo. Con EnCase v7.09, usted
ahora puede adquirir estos archivos de iTunes protegidos o sin proteger con las
credenciales apropiadas. Esta capacidad es típicamente vista en investigaciones
de dispositivos móviles con propósito o herramientas de recuperación de
contraseñas, pero en un día a día, tener esta capacidad en cada instalación de
EnCase Forensic puede ser de mucha ayuda. De hecho, puede significar la
diferencia entre tener datos para examinar o no tenerlos en absoluto.
Investigaciones eficientes multi-dispositivo
Las investigaciones
de hoy puede que incluyan una diversidad de tecnologías incluyendo: teléfonos
inteligentes, memorias USB, almacenamiento adjuntado por red de tipo RAID, como
también el tradicional hard drive en computadoras y laptops. Todos los datos
recolectados en la investigación pueden estar en diferentes containers, pero
está todo relacionado con ser investigado. Realizar tareas de investigación
común como búsqueda de palabras claves o incluso la revisión del historial de
interna toma tiempo completar a través de distintas herramientas. Cuando los
resultados son generados, usted todavía tiene que tomarse el tiempo de agregar
y crear el reporte final. ¿Podría ser más simple y eficiente el realizar una
simple búsqueda de palabras claves a través de TODA la evidencia?
Las capacidades
integradas de análisis de teléfonos inteligentes y creación de reportes en
EnCase Forensic o EnCase Enterprise v7 expanden el poder de tareas investigativas comunes, como la
búsqueda de palabras claves a través de un caso, incluyendo todos los
dispositivos y todos los datos. Ahora puede realizar búsquedas a través de
muchos tipos de datos: colmenas de registro en desktops, plists en dispositivos
IOS y archivos eliminados en RAIDs reconstruidos son sólo algunos ejemplos.
Todos estos resultados pueden ser analizados en conjunto, en contexto y luego
marcado y reportado.
En la historia de
15 años de Guidance Software, EnCase ha sido consistente en mantener
el foco a darle lo que necesita para encontrar la mayor cantidad de evidencia
potencial en la manera más eficiente. Con la versión 7.09, todos nosotros en
Guidance Software esperamos que los investigadores como usted comiencen a ver
los beneficios de la investigación de dispositivos móviles integrada.
Por favor siéntase
libre de compartir sus comentarios, preguntas o preocupaciones conmigo. Puedo
ser contactado mediante email ken.mizota[[arroba]]guidancesoftware.com
o en Twitter @kenm_encase.
- Ken Mizota, Gerente de Producto de Soluciones Forenses
Traducido del original en ingles, EnCase Forensic 7.09: iOS Investigations Out of the Box
Traducido del original en ingles, EnCase Forensic 7.09: iOS Investigations Out of the Box
RELACIONADOS
Los Básicos De Forense: En La Papelera De Reciclaje Se Encuentra Evidencia
Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)
Los Básicos De Forense: La Importancia Del Analisis De Firmas
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)
Los Básicos De Forense: La Importancia Del Analisis De Firmas
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario