Mostrando entradas con la etiqueta EnCase Forensic. Mostrar todas las entradas
Mostrando entradas con la etiqueta EnCase Forensic. Mostrar todas las entradas

El Reto Forense En Discos De Estado Sólido (SSD)

El desafío para los peritos forenses no solo es encontrar evidencia en los dispositivos de almacenamiento digital si no también, conocer los constantes avances de la tecnología. Para nadie es un secreto que día tras día la tecnología cambia a pasos agigantados, no ha salido al mercado una versión de un dispositivo cuando ya se está contemplando la siguiente. Pensemos por un segundo como eran los televisores en los años 90´s (grandes y pesados) y miremos en la actualidad (livianos y extremadamente planos). Otro claro ejemplo es, que ahora los computadores ya tienen pantallas táctiles y también se está interactuando con la tecnología a través del manejo de sensores de movimiento, un sistema que funciona con éxito en la industria de los famosos videojuegos, se convierte en un nuevo estándar para computadores personales y tabletas a los que se les exige que, además de ser "inteligentes", mejoren su interacción cada día más con el usuario.

La Evidencia Digital En Latinoamérica

La tecnología sigue avanzando, hoy en día es normal ver que los dispositivos electrónicos como los Smartphone, Tablets, entre otros ya son unos minicomputadores. Se puede encontrar datos desde el número telefónico hasta el correo electrónico y porque no decirlo datos tan privados como dirección de vivienda, fotos y cuentas de redes sociales como Facebook, Twitter. Estos dispositivos son la mano derecha de las muchas personas, desde allí realizan sus comunicaciones, transacciones electrónicas, consultas y demás. También la delincuencia en todo el mundo se está aprovechando de esto para sacar ventaja y poder cometer sus delitos.

Guerra de Fronteras: Respuestas de Incidentes vs. Investigación Forense

En mi trabajo, con frecuencia discutimos herramientas de seguridad y los procesos específicos que generan los requerimientos que demanda el uso de cada una de estas herramientas. Últimamente, hemos estado debatiendo las herramientas de respuesta a incidentes y procesos, contrastado con las herramientas de investigación forense y procesos. Obviamente, ambos tienen beneficios aparte que traen en conjunto a la disciplina general de seguridad. También tienen requerimientos diferentes, en términos del set de herramientas que se requieren para ejecutar aquellos procesos.

Para mí, los límites entre la investigación forense y la respuesta a incidentes siempre ha sido bastante clara. Quizás un poco confusa en el modo de comunicación entre ellas, pero no una gran nebulosa de incertidumbre. Como sea, últimamente, estoy comenzando a creer que allá afuera, para el resto de la comunidad puede que no esté tan claro. Podría estar errado… puede que no sea la primera vez, tampoco será la última, especialmente si me piden que mire a mis amigos cercanos.

Los Básicos De Forense: En La Papelera De Reciclaje Se Encuentra Evidencia

Un Investigador forense no debe limitar la búsqueda de evidencia dentro de un medio de almacenamiento digital como los Discos Duros, pues existen entre muchos sitios la papelera de reciclaje de Windows, lugar donde se mantienen los archivos que han sido borrados, ya sea de forma accidental o intencional y que por supuesto la persona piensa que realmente lo eliminó de su computadora cuando es de forma intencional, pero lo que sucede es que el sistema operativo modifica el archivo, es decir, cambia el primer carácter del nombre y luego el sistema de archivos marca el clúster como vacío, mostrando que el archivo al parecer ya no está.

Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Muchas veces los examinadores se preguntan ¿cómo recuperar archivos de un disco con sistema de archivo NTFS después de que éste haya sido formateado?.  Porque para ser más concretos  al realizar un formato rápido de los nuevos sistemas operativos Windows 7 o Windows 8, se pueden perder bastantes archivos.


 Como datos básicos, el sistema de archivos NTFS almacena información sobre los archivos escritos en el disco en un archivo de sistema especial denominado  $MFT tabla maestra de archivos, en el que un registro de archivo ocupa 1 KB. Cuando Windows realiza un formato rápido de un disco como un volumen NTFS, crea un archivo $MFT vacío de un tamaño mínimo establecido por defecto: 32 KB en Windows XP, 64 KB en Windows Vista y 256 KB en Windows 7. Si se van a escribir más archivos en el disco y el archivo $MFT existente no es lo suficientemente grande, el sistema aumenta su tamaño y puede fragmentarlo como un archivo normal. En realidad, los archivos $MFT están bastante fragmentados en los discos reales y contienen 3-10 datos que residen en diferentes lugares del disco, es decir, los directorios y los archivos están representados con una entrada especial dentro de éste archivo.

Los Básicos De Forense: La Importancia Del Analisis De Firmas

Después de obtener una imagen forense de un disco duro evidencia e iniciar su proceso de análisis, una pregunta que se hace cualquier examinador es ¿cuáles tipos de archivos son la que me sirven para la investigación?, al hablar de archivos hay miles de extensiones que existen en los computadores, algunas de las cuales ya han sido estandarizadas por la Organización Internacional de Estandarización (ISO) y la Unión Internacional de Telecomunicaciones (ITU-T), entidades que trabajan para estandarizar los diferentes tipos de información electrónica, por eso ya podemos hablar de archivos del sistema, archivos de aplicación, archivos de usuario.

Estos últimos son los que generalmente tienen información que el examinador encuentra y entrega en sus reportes, pero no hay que confiarse, existen otras extensiones que están camufladas escondiendo el contenido real de los archivos. Algunas veces archivos denominados con extensión 111 son realmente archivos de texto que personas malintencionadas han personalizado cambiando la extensión original.

 Hoy los ciberdelincuentes están utilizando técnicas comunes para enmascarar la información renombrando las extensiones y nombres diferentes, de modo que parezcan otro tipo de archivos; resaltando que los archivos están compuestos por tres partes, un nombre, un punto y una extensión (ejemplo ARCHIVO.EXE), el nombre sirve para identificar un archivo de otro, la extensión para asignarles propiedades concreta, como por ejemplo si el nombre del archivo tiene extensión .EXE indica y se espera que sea un  archivo de una aplicación.  Es por esto que EnCase Forenses realiza  análisis de firmas (Signature analysis), facilitando al examinador verificar entre todos los archivos contenidos en la imagen forense; este proceso lo toma comparando los encabezados de cada archivo o firmas, con la extensión. Así mismo, los programas consultan exclusivamente la extensión del archivo para obtener algún tipo de información adecuada, como por ejemplo Microsoft Windows, al abrir un archivo asocia la extensión con sus respectivas aplicaciones. Otro punto importante a tener en cuenta por un examinador forense en los análisis de firmas son los archivos generados en los Sistemas Operativos UNIX, Linux y MAC, porque archivos contenidos en este tipo de sistemas no arrojan extensión y es muy común en sistemas Mac, lo cual puede dar falsos positivos en análisis de firmas.

En una excelente investigación es importante que el examinador para todos los casos  a través de EnCase Forenses realice el análisis de firmas, para que siempre se haga la comparación entre las extensiones del archivo y los encabezados incluidos en la tabla de firmas del archivo, con el fin de verificar si la extensión del archivo ha sido modificada. Este resultado se visualiza organizando en EnCase las columnas o campos como nombres, extensión y firmas, visualizando las tres columnas inmediatas, de ésta manera el examinador podrá iniciar el análisis de las firmas de archivo, aprovechando las bondades de la herramienta organizadas de una manera que primero quede en orden la columna FIRMAS, después  EXTENSION y por último Nombre de archivo, así podrá  ver resultados posibles de archivos como:

Firma Incorrecta: el cual corresponde a que encontró un archivo con la extensión correcta pero el encabezado no corresponde a ésta extensión;

Alias: indica que el encabezado está incluido en la tabla de firmas de archivo pero la extensión no corresponde a este encabezado, este es clave para la investigación puesto que esto sucede cuando la extensión ha sido renombrada; 

Coincidencia es cuando el encabezado coincide con la extensión;

Desconocido: punto clave también para la investigación, puesto que la tabla de firmas no contiene ni el encabezado ni la extensión del archivo.

Un Ejemplo es aquel archivo con extensión .txt que después de realizar el análisis de firmas aparece como JPEG Imagen, y EnCase Forensics lo muestra como una imagen, es de anotar que si existen algunas discrepancias, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado.

EnCase Forensics detecta automáticamente la identidad del archivo, e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle, entregando resultados claros y contundentes, dentro de las múltiples investigaciones que se tienen en los laboratorios de análisis de evidencia digital.

Lo Basico Del Registro De Cadena De Custodia - Parte 2

Después de identificar  los requisitos para embalar y rotular una evidencia de tipo digital, se debe minimizar las fallas ya sean humanas, de procedimiento o tecnológicas, para que una vez lleguen a juicio no se caiga la prueba, por lo anterior , lo más importante en un procedimiento de incautación de evidencia digital es que el  investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias, medios estén esterilizados, etc), los resultados obtenidos del análisis forenses, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontación sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicación adecuada de los procedimientos es posible que un tercero escriba sus resultados utilizando la misma evidencia.

De allí la importancia del mantenimiento de un adecuado registro de cadena de custodia de evidencias digitales desde un inicio (Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras), son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de la evidencia en custodia. Una vez el experto forense tiene en su poder los elementos material de prueba o evidencia física debe continuar con el registro de todos los procedimientos que se le realiza en laboratorio; Puesto que para poder realizar el análisis de información de cada evidencia el experto debe realizar como mínimo dos imágenes forenses (copia bit a bit) de cada dispositivo de almacenamiento digital, garantizando la autenticación de la evidencia original mediante la generación de valores HASH o SHA1, los cuales se obtienen a partir de los datos contenidos en los EMP y/o EF incautada; esté método también ayuda a mantener la integridad de la evidencia, en caso que terceras personas requieran obtener nuevas imágenes de éstos elementos pueden verificar la autenticidad con algunos de los métodos de integridad HASH o SHA1. Estos métodos sirven como valor probatorio de la adquisición de la imagen forense en juicio, ya que le da un valor fundamental en la continuidad y en el buen manejo de los EMP y/o EF desde el momento de su incautación hasta el experticio técnico y los mismos  deben ser conservados hasta la finalización del proceso judicial.

Punto importante del adecuado registro de la cadena de custodia radica en preservar la evidencia, ya que muchas veces ha sucedido que la evidencia digital ha sido con antelación “analizada” por personal no idóneo, utilizando herramientas no adecuadas y lo más relevante sin documentar y una vez se realiza análisis técnico se detecta que la información original ha sido alterada y la evidencia pierde su valor en juicio.

Es por eso que con el Software EnCase Forensics, ya sea en campo o en laboratorio se preserva su autenticidad e integridad de la evidencia digital original, puesto que es un software que entre muchas de sus funcionalidades al realizar imágenes forenses utiliza diferentes algoritmos para verificar autenticidad (HASH, SHA1, CRC), los cuales por procedimientos de mantener la integridad de la evidencia, en los laboratorios forenses deben asegurarse que se genere dichos valores, así mismo, un paso importante es el dispositivo de almacenamiento debe ser conectado a través de un bloqueador de escritura Tableau, los cuales permiten como su nombre lo dice, bloquear los dispositivo protegiéndolos ante cualquier posibilidad de acceso a la información, permitiendo a los expertos trabajar sobre los archivos de imagen  .Ex0 generados por el software EnCase Forensics.

Si una persona que realice el proceso de  incautar y/o  analizar técnicamente elementos material probatorio y/o evidencias físicas de tipo digital sigue los anteriores pasos básicos de mantener una debida cadena de custodia,  seguramente no tendrá ningún tropiezo desde el inicio de la incautación, durante el estudio forense y  hasta llegar a juicio.

RELACIONADOS

 Lo Basico Del Registro De Cadena De Custodia - Parte 1

Prueba Imparcial Confirma Que EnCase Forensic Es Más Rápido Que FTK

 Adquisición Remota Con Hardware de Tableau









Prueba Imparcial Confirma Que EnCase Forensic Es Más Rápido Que FTK

Bueno, eso no tomó mucho tiempo.

Una empresa de terceros genuina e independiente, Digital Intelligence, reconocida y respetada en la comunidad forense y un distribuidor de soluciones forenses específicas, incluyendo el software de EnCase Forensic y AccessData Forensic Toolkit (FTK), publicó recientemente los resultados de sus pruebas con ambos FTK y EnCase Forensic.

Como pruebas verdaderas, independientes:

• Digital Intelligence no se vio compensada por ningún vendedor

• Las pruebas se llevaron a cabo por Digital Intelligence en sus instalaciones y en su hardware forense.

• La prueba se llevó a cabo de forma independiente por Digital Intelligence y Guidance Software (y, suponemos, AccessData) sin ningún asesoramiento o asistencia técnica.

Como cuestión de práctica, Digital Intelligence lleva a cabo este tipo de pruebas con el fin de ayudar a los clientes forenses a entender la configuración óptima del sistema para cada solución. Un subproducto de la prueba de estos sistemas es una vista relativa en el rendimiento de procesamiento para cada aplicación en una configuración dada, ya que el mismo conjunto de datos se utiliza para todos los productos. Ambos  informes de Digital Intelligence están disponibles ahora en su sitio web para que la comunidad forense lo vea y evalúe:
Digital Intelligence EnCase v7 Report  (en ingles)

Digital Intelligence FTK 4.0 Report (en ingles)

EnCase Forensic Es Más Rápido en Todas las Configuraciones del Sistema

Espero verlos en CEIC en unas pocas semanas y me encantaría discutir el tema de las pruebas con ustedes allí. Mientras tanto, si usted tiene resultados de pruebas que estaría dispuesto a compartir, por favor envíelas hacia nosotros.

Un resumen de la sección de "resultados finales" de los dos informes proporciona una fascinante comparación de velocidades de procesamiento:

Tiempo de procesamiento
Servidor de Economía
Servidor de Medio Rango
Servidor de Alto Rango
EnCase
5.92 horas
5.73 horas
5.17 horas
FTK
9.08 horas
7.73 horas
5.38 horas
  
EnCase Forensic superó en todas las configuraciones - de hecho, EnCase corriendo en un servidor de "Economía", proporciona aproximadamente el mismo rendimiento que FTK corriendo en un servidor de "Rango Medio". Lo que es más, FTK está diseñado bajo la suposición de que un investigador forense tiene un servidor extra de Alto Rango para dedicarse exclusivamente al procesamiento de los datos - con todos los cores ocupados por el procesamiento de AccessData, un investigador forense puede hacer algo mas en ese equipo mientras que se completa el proceso (por ejemplo, trabajar en un informe). EnCase Forensic, por el otro lado, está diseñado de modo que el procesamiento puede llevarse a cabo rápidamente, mientras que el servidor también se puede utilizar al mismo tiempo para otro trabajo forense, 1 por lo tanto es más rápida y más versátil a la vez.

Mejor, Más Rápido, Más Barato

La velocidad es sólo un factor que se utiliza en la evaluación de software forense. Otros factores, como la amplitud y el costo total de propiedad, son importantes también. Encase no sólo es más rápido y completo - como se detalla en un artículo de blog anterior, donde dice que EnCase proporciona indexamiento total de todos los datos, incluyendo los resultados de cualquier módulo del Evidence Procesor (por ejemplo, artefactos IM Yahoo, objetos Firefox, etc),que manejan palabras de Asia del Este de manera apropiada y son compatible con archivos de la talla de 314 tipos de archivos, en comparación con 42 para FTK - pero también es significativamente más asequible tras la reciente subida de los precios de FTK (y alza del mantenimiento del software y el 30% del precio de la licencia). De hecho, la licencia y el primer año del precio de mantenimiento de FTK es de $ 5,200, es 44% más alta que la licencia de EnCase y el precio de mantenimiento del primer año es de $ 3.600. Por supuesto, FTK requiere un hardware mejorado significativamente, por lo que su costo total de propiedad es aún peor.

EnCase Forensic ha sido siempre la herramienta en la cual los investigadores confían para encontrar más evidencia, más rápidamente. Cada nueva versión de EnCase agrega tecnología valiosa, al igual que las capacidades de exanimación de los smartphone, sin aumentar los costos de licencia o mantenimiento. Además, una empresa independiente de terceros ha confirmado la verdadera ventaja del rendimiento de EnCase  comparado con FTK.

Vamos a seguir alentando a los tipos de pruebas independientes que Digital Intelligence ha realizado. Y vamos a seguir haciendo mejoras en el motor de procesamiento que hemos desarrollado y que controlamos, de manera que podamos ofrecer un mejor rendimiento para satisfacer las necesidades de la comunidad forense.
________________________________________
1 Para grandes laboratorios o “fábricas” de procesamiento de evidencia,  ofrecemos otros productos que distribuyen el procesamiento con la expectativa de que el servidor de alto rango  usado allí, será dedicado exclusivamente a los datos procesados.

-
Ken Mizota, Gerente de Producto de Soluciones Forenses
Original en ingles:  http://encase-forensic-blog.guidancesoftware.com/2013/05/unbiased-testing-confirms-encase_14.html#more

Relacionados

Lo Basico Del Registro De Cadena De Custodia - Parte 1

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase 

Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)  

Lo Basico Del Registro De Cadena De Custodia - Parte 1



Al suceder un incidente cometido a través de un medio informático dentro de una organización, las personas encargadas de averiguar qué fue lo que sucedió, muchas veces su primer paso es tomar nota de toda las actividades que sucedieron a fin de hacer seguimiento a un posible hecho punible e iniciar la clasificación de información que sirva para despejar lo ocurrido.  Eso está muy bien, pero también por desconocimiento dejan de lado información o evidencia importante, que se debía tomar en el momento que sucedieron los hechos.  Esta información debe ser protegida de una manera segura, confiable y que se le pueda hacer seguimiento desde el momento que fue recolectada hasta su análisis o destino final.

Una vez ocurrido el hecho, las personas encargadas de recolectar la evidencia digital, deben asegurarse de seguir una serie de pasos sencillos pero que a futuro son importantes dentro de una auditoria o seguimiento de una conducta punible, dichos pasos, a tener en cuenta es siempre, siempre utilizar herramientas adecuadas (ver en parte II) para proteger la evidencia,  garantizar que es auténtica, mantener su identidad e integridad, preservarla en lugares adecuados al tipo de evidencia, brindarle seguridad, y sobre todo saber quién ha tenido contacto con dicho elemento (continuidad y registro), todo lo anterior se llama llevar una adecuada cadena de custodia desde que inicia hasta que se le da destino final a elemento material de prueba (EMP), es decir que una persona que recolecte una evidencia será responsable del contenedor (embalaje o empaque) y de la evidencia. Siempre que sea posible, registre fotográficamente los EMP antes de su embalaje, durante el embalaje y al finalizar su embalaje y rotulado (descripción del elemento).

De acuerdo con lo anterior se deben diligenciar dos documentos uno se llamara rotulo, donde va la descripción del elemento y otro donde se llevara el registro y allí se plasme lo anterior y que cada vez que cambia de responsable, se diligencia su ubicación, estado y fecha de cambio, por lo que se siguiere se tengan en cuenta los siguientes campos donde la información debe ser completa y precisa:
-       Rotulo
o   Identificación del caso
o   Fecha y hora de recolección o toma de evidencia
o   Lugar de recolección
o   Descripción del elemento (aquí se debe hacer una descripción completa del tipo de elemento, marca, serial, modelo, capacidad de almacenamiento)
-       Cadena de custodia
o   Identificación del caso
o   Fecha y hora de recolección
o   Quien encontró o halló, quien recolecto, embalo (persona que encontró la evidencia)
o   Fecha y hora de entrega de la cadena de custodia a otra persona
o   Nombre e identificación de la persona que recibe el elemento
o   Calidad en la que actúa (perito, custodio, analista, etc)
o   Descripción de como recibe el elemento
o   Objetivo de la entrega (análisis, custodio)
o   Firma
Así pues, llevando muy sigilosamente los dos registros, durante la investigación de los hechos siempre se garantizará su integridad y que los elementos recolectados producto de una investigación de carácter digital se les ha hecho un excelente seguimiento de sus traslados y traspasos.

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Si no lo sabías, EnCase tiene un grupo en LinkedIn. Aquí está el link

http://www.linkedin.com/groups?gid=4476438

También tengo un feed de Twitter en español

https://twitter.com/LATAMTony



Adquisición Remota Con Hardware de Tableau


Guidance Software es el número 1 en software y hardware para las investigaciones forenses. La división de hardware produce la línea de productos que se llama Tableau. 



En caso de que no sepan, pueden utilizar el TD3 Tableau como un "bloqueador de escritura remota". Cuando se usa de esta manera, los usuarios remotos pueden conectarse al TD3 a través de Internet y buscar/clasificar dispositivos de almacenamiento que están conectados a la TD3. El siguiente video en inglés muestra lo fácil que es conectarse de forma remota y acceder a los dispositivos de almacenamiento conectados al TD3


Todo lo que se requiere para hacerlo es una red conectada a TD3 y el acceso a iSCSI desde un equipo remoto conectado en red. Tengan en cuenta que Windows 7 incluye iniciador iSCSI que se demuestra en el vídeo.

Para las situaciones en donde los ingenieros les gustaría enviar información a los empleados de una oficina central  o en un laborotorio, para obtener una vista previa/buscar/clasificar información sobre los dispositivos de almacenamiento, esta característica única es ideal. La gente que está en lugares remotos puede explorar un dispositivo de almacenamiento sabiendo que la escritura está bien bloqueada vía TD3. Se puede arrastrar y soltar archivos a través de TD3 hasta su ubicación remota. En el video se muestra a un usuario remoto conectándose a TD3, usando EnCase Forensic. Esta modalidad permitiría la adquisición directa de los datos presentados a través TD3 de EnCase.

Interesante, ¿verdad?