Guidance Software 101: Las Bases – La Ciencia de la Recolección de Archivos (#3)



Este es el tercer artículo de una serie de 101 artículos que le darán al lector una visión general o una referencia de cómo los productos de Guidance Software pueden ayudar a una organización y las ventajas que nuestros productos ofrecen. Aún estamos en el principio de esta serie, por lo tanto, estamos cubriendo “las bases”. En nuestro último artículo abordamos el arte de la búsqueda de archivos. En este artículo, abordaremos una visión global de la ciencia de la recolección de archivos, una parte central de la ejecución de auditorías o investigaciones accionables por auditores, investigadores y asesores legales.

QUÉ ES LA RECOLECCIÓN DE ARCHIVOS

Generalmente, cuando datos digitales son recolectados como parte de una investigación, los auditores de TI o investigadores digitales están intentando comprender si las computadoras, recursos de red o recursos en la nube de una organización han sido accedidos o usados como (1) un objetivo para actos criminales, intrusiones o violaciones a las políticas internas; (2) como un instrumento para el crimen, intrusiones o violaciones de políticas internas o (3) como un repositorio de evidencia asociada a un crimen o a una violación a una política interna. Esto se descubre gracias al resultado de la análisis de los resultados de una auditoría de TI proactiva o de una investigación digital. Los archivos identificados como sospechosos o como evidencia son una parte integral del análisis general.

La recolección de archivos es el acto de hacer una réplica digital de un archivo o de un conjunto de archivos en su estado original. Estos se identifican mediante una búsqueda de archivos relacionada a una auditoría proactiva o a una investigación reactiva. Los tipos de archivos que deben ser recolectados como parte de una auditoría o investigación pueden incluir cualquiera de los siguientes:

    •    Documentos, comunicaciones e imágenes creadas, modificadas, accedidas, escondidas o cacheadas en cualquier parte del endpoint o en carpetas compartidas.
    •    Documentos, comunicaciones e imágenes creadas, modificadas, accedidas, escondidas o cacheadas en recursos de red como Exchange o Sharepoint, o en recursos de la nube como Office365, Google Apps, Dropbox, Box o Amazon S3
    •    Comunicaciones enviadas mediante email, chat o mensajes instantáneas
    •    Documentos, comunicaciones e imágenes que no hayan sido guardados pero residen en la memoria
    •    Archivos y otros datos borrados que no hayan sido sobrescritos en el endpoint, recursos de red o recursos de la nube (p. ej. documentos borrados, imágenes, archivos de enlace o de acceso directo y mensajes de email)
    •    Archivos accedidos o borrados mediante procesos automatizados de la computadora
    •    Archivos temporales de almacenamiento automático (auto-save)
    •    Artefactos de internet como archivos descargados (intencionalmente o involuntariamente), transacciones de internet de carácter financiero, cookies u otros artefactos
    •    El historial de sitios web visitados, incluso cuando el historial del navegador y su cache han sido borrados
    •    La información de fecha y hora de los archivos (p. ej. cuándo los archivos fueron creados, accedidos, modificados, instalados, borrados o descargados)
    •    Datos de un disco que haya sido desfragmentado o reformateado

Los archivos pueden ser recolectados in situ en la misma máquina o remotamente y recolectar tanto a máquinas que hayan sido apagadas como máquinas al vivo. Los archivos pueden ser recolectados de máquinas con cualquier sistema operativo, incluyendo Linux, Mac, AIX, UNIX, Solaris u otros.

¿POR QUÉ ES IMPORTANTE LA RECOLECCIÓN DE ARCHIVOS?


Los investigadores o auditores pueden necesitar examinar, analizar o investigar archivos en múltiples máquinas remotas. Las máquinas, datos o archivos pueden estar localizados en cualquier lugar. Las herramientas que los investigadores o auditores usen tienen que producir toda la evidencia potencial disponible a ellos sin importar su localización o tipo de archivo. El crimen, la intrusión o política de violación examinada podría envolver la recolección de discos enteros, volúmenes de discos, subconjuntos de archivos, archivos únicos o todo tipo de artefactos forenses que se hayan determinado que residen en una o múltiples máquinas. Después de identificar la evidencia potencial, los auditores o investigadores podrían necesitar probar que un archivo fue producido en los endpoints examinados u obtenido de otro lugar.

Dados los grandes peligros relacionados a una recolección ejecutada de forma incorrecta, el proceso de recolección de archivos puede representar un riesgo para la organización. La recolección de archivos significa más que simplemente copiar archivos para el análisis, también representa la preservación de la evidencia.

Los archivos recolectados necesitan ser tratados como evidencia…porque lo son. Su departamento jurídico, equipo de RR.HH. o asesores legales pueden no poder proseguir con un caso si no se recoge la evidencia de forma pericialmente correcta. Adicionalmente, el proceso de cómo un archivo fue recolectado puede ser cuestionado durante un juicio. Como discutimos en el artículo inicial de esta serie, las herramientas de administración de TI pueden no ser suficientes para la recolección de evidencia al estándar necesario para que la evidencia sea accionable.

LA VENTAJA DE GUIDANCE SOFTWARE PARA LA RECOLECCIÓN DE ARCHIVOS

Durante mucho tiempo Guidance Software ha servido a las necesidades de los investigadores y abogados con el legado de productos de la familia EnCase Forensic. Hace ya años, Guidance Software fue el pionero en el desarrollo del conjunto de tipos de archivo de evidencia que son el estándar de la industria y representan una perfecta copia forense al nivel del bit de un disco completo (.E01 o .Ex01) o copias forenses de archivos recolectados individualmente (.L01 o .Lx01).

Cualquier tipo de archivo o dato puede ser preservado junto a sus metadatos originales dentro de estos archivos de evidencia. Actualmente todos los productos de Guidance Software, ya sea para auditorias proactivas o investigaciones reactivas, pueden usar estos mismos archivos de evidencia de forma nativa como parte de sus capacidades de recolección. Como prueba del estándar de excelencia de estos archivos de evidencia, muchos productos de nuestros competidores también usan los formatos de archivos de evidencia de Guidance Software.

Como los archivos de evidencia pueden verificar la integridad de cualquier archivo que contengan, un archivo recolectado por una organización dentro de un archivo de evidencia de Guidance Software puede ser enviado a otras partes, como fuerzas del orden, sin necesidad de romper la cadena de custodia. Los archivos de evidencia opcionalmente también pueden ser cifrados de forma que solo puedan ser abiertos por personas que tengan la clave de descifrado correcta.

Espero que este artículo del blog le haya ayudado a entender las bases de la recolección de archivos, qué es lo que potencialmente tendría que ser recolectado y los riesgos a una organización que representa la recolección de evidencia. El siguiente artículo que postearemos discutirá cómo Guidance Software puede aplicar fácilmente un nivel de visibilidad forense dentro de centenas o miles de endpoints remotos para ayudarle a encontrar de forma fácil y proactiva las anomalías que yacen dentro de esos endpoints sin que necesite el entrenamiento de un investigador forense.

Tony Grey
Guidance Software
Latinoamérica

Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a sales-latam@guidancesoftware.com.


TEMAS RELACIONADOS

Guidance Software 101: Conceptos Fundamentales

Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español

Guidance Software 101: Las Bases – El Arte de Buscar Archivos 


Dé un "Me Gusta" a Nuestra Página en Facebook


No hay comentarios :

Publicar un comentario