Descubriendo Fraudes a Través del Archivo Index.dat

Hoy en día el uso de Internet dentro de las organizaciones es lo más común, pues muchos trabajos se realizan a través de él y se está convirtiendo en apoyo fundamental en algunas laboras.  Lo que no es normal es que algunos empleados lo estén utilizando para cometer fraudes para el beneficio de él o de terceros. Consultando páginas a través de Internet o bajando información sin autorización, infringiendo normas y políticas establecidas dentro de la organización.

Muchas organizaciones, pueden monitorear los equipos de la empresa, con el fin de establecer que están haciendo los empleados en horarios laborales en Internet. Esta labor es revisar el archivo Index.dat. Estos archivos son creados por Windows y son los encargados de guardar el historial del navegador de Internet Explorer. Los empleados creen que desocupando el historial de internet o los archivos temporales de Internet pueden eliminar lo que hacen en Internet. Pero ésta acción no siempre se eliminará por completo, siempre deja rastro en éstos archivos disponibles para examinarlos en el trabajo de auditoria o investigativos. Igualmente estos archivos también almacenan información de los documentos que se han abierto recientemente.

EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

EnCase Para Pequeñas Organizaciones: La Evidencia Que Se Encuentra En Skype

A medida que avanza la tecnología las comunicaciones también van un paso adelante. Años atrás para comunicarnos con otras personas debíamos hacerlo a través de telefonía fija o por correo aéreo. Pero esto cambio, ahora existen los teléfonos inalámbricos, teléfonos celulares de baja y alta gama. En vez de ir al correo aéreo podemos enviar cartas o mensajes a través de los dispositivos celulares o computadores es más, si queremos podemos establecer conversaciones viendo a  otras personas que estén en la misma ciudad o incluso fuera del país, esto gracias a la evolución de la tecnología.

Dichas conversaciones se pueden establecer a través de Skype un cliente VoIP desarrollado por Kazaa que también es una red P2P. Skype permite que los usuarios realicen llamadas de voz, envíen mensajes del texto y compartan archivos  a otros usuarios clientes de Skype. 

¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase – Parte III

La intención de esta serie de publicaciones de blog es ayudar a organizaciones a entender los estándares de la versión 2 de PCI DSS. Explicar cómo EnCase puede reducir la complejidad de el cumplimiento de normas PCI y finalmente ayudar con la medición de riesgo bajo estándares al igual que reducir el tiempo mientras se mejoran los resultados de la ejecución de los requerimientos. 

En las primeras dos publicaciones de esta serie, comenzamos nuestra vista general con cómo EnCase puede asistir en análisis de primera persona o de terceros relacionado a los Estándares de Seguridad de Datos de la Industria Pagos por Tarjeta de Crédito (PCI DSS) citando directamente del estándar mismo. En esta última publicación, echaremos un vistazo a qué tipos de datos de cuenta del titular de la tarjeta EnCase eDiscovery combinado con EnCase Enterprise puede ayudar a encontrar para luego terminar nuestro vistazo estándar por estándar.

EnCase Para Pequeñas Organizaciones: Los Archivos Borrados Siempre Dejan Huella

Hoy en día en las pequeñas empresas y con el auge de la implementación del uso de nuevas tecnologías y de las comunicaciones a través de Internet, se están abriendo puertas para cometer delitos informáticos y éste tipo de organizaciones no son la excepción para que sus empleados se vean tentados a realizar fraudes e incidentes informáticos.

Un tema culminante en el momento de realizar investigaciones o auditorias en organizaciones pequeñas, que proporcionan una gran fuente de información valiosa en una investigación, es el hallazgo de información en archivos borrados. Estes archivos que han sido eliminados de  manera accidental o intencionalmente por los empleados para ocultar rastros de  hechos malintencionados en contra de la empresa. 

¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase – Parte II

En la primera publicación, de esta serie de tres partes, hemos trabajado los básicos del Estándar de Seguridad en la Industria de Datos para la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés). Aprendimos acerca de la variedad de organizaciones que necesitan cumplir con los estándares PCI DSS, miramos también de cerca los requerimientos de cumplimiento en torno a organizaciones que precisan rastrear su almacenamiento, procesado y transmisión. 

Más importante aún, aprendimos acerca de cómo se aplican los estándares PCI DSS. Esta aplicabilidad merece ser repetida en este post:

El número primario de cuenta (PAN, por sus siglas en inglés) es el factor decisivo en la aplicabilidad de los requerimientos PCI DSS y PA-DSS. Los requerimientos PCI DSS son aplicables si el número primario de cuenta (PAN) es almacenado, procesado o transmitido. Si el PAN no es almacenado, procesado o transmitido, PCI DSS y PA-DSS no se aplican.

EnCase Para Pequeñas Organizaciones: Los Fraudes y Su Rastro en el Archivo NTUSER.DAT

El avance de la tecnología agiliza y facilita la mayor parte de las actividades cotidianas dentro de una organización. Sin embargo, también es usado para actos delictivos y obtener beneficios personales, por parte de algunos funcionarios que actúan de manera inescrupulosa. Esta actividad ha generado pérdidas económicas considerables tanto al sector empresarial como en los particulares durante los últimos años.

Para los examinadores y/o auditores el gran reto es identificar el delito qué está cometiendo un empleado dentro de una organización,  por el uso de Internet, como por ejemplo cuando se comete una amenaza y/o fraude. Para ello una fuente muy importante que suministra bastante información identificando de una manera clara en qué actividad estaba involucrado el usuario, lo que estaba haciendo, cuando lo estaban haciendo y por qué, es analizar la gran base de datos que suministra el archivo NTUSER.DAT, a continuación revisaremos algunos ejemplos de fraude y cómo podemos solucionar los problemas en los que se enfrentan los examinadores y/o auditores ante un incidente cibernético.

¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase – Parte I

El cumplimiento de estándares no es fácil. Toma tiempo y esfuerzo, especialmente cuando la seguridad de la información de la tarjeta de crédito del cliente está en juego. Esta publicación es la primera de una serie en la que discutiremos en detalle cómo los productos de EnCase eDiscovery y EnCase Cybersecurity pueden asistirle en una variedad de organizaciones para cumplir con el Estándar de Seguridad en la Industria de Datos para la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés).

Monitoreo del Desempeño del Procesador de Evidencia

A través de los años, los investigadores digitales utilizando EnCase se han familiarizado íntimamente con el reporte de estados de EnCase para EnScrypts y, en años recientes, con Evidence Processor (Procesador de Evidencia). A través de los años, el reporte de progreso en EnCase se ha visto más o menos, así:

Si alguna vez ha copiado un número considerable de archivos en Windows, usted sabe cómo una cantidad mínima de información, puede, en su mejor momento, mínimamente útil y en su peor momento, frustrarle hasta el punto de ser engañosa:

Lo Básico En Investigaciones Forenses: Los Archivos Cifrados Y Su Identificación Dentro De Una Evidencia

Una gran interrogante para los investigadores forenses es saber interpretar cuando una evidencia contiene archivos cifrados, pero es más importante saber con qué herramienta se puede descifrar los archivos y conocer sus contraseñas. Hoy en día es común encontrar medios de almacenamiento digital y especialmente correos electrónicos cifrados con el programa PGP, un programa muy seguro porque requiere que el investigador conozca dos contraseñas para abrir los datos cifrados: una contraseña pública (más fácil de encontrar porque generalmente esta guardada en el computador donde descubrimos los datos) y una contraseña privada (raramente encontrada).

EnCase Para Pequeñas Organizaciones: Un Vistazo a los Retos en Seguridad de la Información

Leyendo sobre los reportes diarios de brechas de seguridad de compañías, algunos dueños de pequeñas organizaciones o personas que toman decisiones quizás no se identifican con los retos en seguridad de la información en los que se encuentra su empresa en el ámbito actual de seguridad informática. Parece ser más fácil pensar que los criminales no están interesados en la información que su pequeña organización pueda tener. Comúnmente, pequeñas organizaciones puede que no tengan el presupuesto, personas capacitadas o, más importante, el deseo de comprar y manejar herramientas de seguridad como también el constante monitoreo de los sistemas.

Investigaciones Forenses: Sistema de Archivos de Resiliencia (ReFS) en Windows

En otoño del 2012, Microsoft decidió hacer que el Servidor Windows 2012 quede prácticamente disponible con una funcionalidad sobriamente anunciada: Sistema de Archivos de Resiliencia o Resilient File System (ReFS).  Lógicamente, Microsoft no lanza nuevos sistemas de almacenamiento por casualidad, y cuando lo hace, los efectos y las repercusiones no se sienten mucho. NTFS ha estado generalmente disponible desde Windows NT 3.1, lanzado en 1993. Si uno ejecuta un centro de datos de cualquier tamaño y hace un trueque en el sistema subyacente de datos críticos y valiosos, no es una decisión que se toma a la ligera. En gran parte, esto justifica una complacencia general en nuestro campo de herramientas digitales forenses cuando se estudia cómo encarar un nuevo sistema de almacenamiento. Hoy, ReFS es un bicho raro: Los investigadores no lo experimentan muy seguido. Creemos que esto cambiará en el transcurso de este año.

Que Papel Juegan Los Metadatos Dentro De Una Evidencia?

En los estudios forenses de evidencia digital, existen hallazgos que son visibles al investigador y otros que son imperceptibles y que al descubrirlos juegan un papel importante durante el proceso de análisis y se pueden convertir en la prueba máxima (reina) de una investigación. De lo que estamos hablando es de los llamados “Metadatos” o “Datos sobre Dato”.

Al hablar de evidencias digitales, los metadatos son vitales para contextualizar un delito;  al descubrirlos podemos demostrar y mantener las características requeridas de integridad, autenticidad, conservación, trazabilidad  y permitir su acceso a largo tiempo.

Como Obtener Evidencia En Arreglos De Discos

El escenario común en una escena de delito cibernético, es encontrarse con equipos de escritorio, dispositivos extraíbles (USB, discos duros externos), entre otros. Pero cuando el investigador forense se enfrenta a una escena donde hay equipos de cómputo tipo servidores, como los arreglos RAID o un conjunto redundante de discos independientes, que hacen referencia a un sistema con gran capacidad de almacenamiento que usa múltiples discos duros (dichos sistema pueden contener un sinfín de información), es allí donde el investigador forense debe tener la sagacidad de qué información es la que requiere y como la va asegurar, manteniendo su integridad.

Los Básicos De Forense: La Importancia Del Analisis De Firmas

Después de obtener una imagen forense de un disco duro evidencia e iniciar su proceso de análisis, una pregunta que se hace cualquier examinador es ¿cuáles tipos de archivos son la que me sirven para la investigación?, al hablar de archivos hay miles de extensiones que existen en los computadores, algunas de las cuales ya han sido estandarizadas por la Organización Internacional de Estandarización (ISO) y la Unión Internacional de Telecomunicaciones (ITU-T), entidades que trabajan para estandarizar los diferentes tipos de información electrónica, por eso ya podemos hablar de archivos del sistema, archivos de aplicación, archivos de usuario.

Estos últimos son los que generalmente tienen información que el examinador encuentra y entrega en sus reportes, pero no hay que confiarse, existen otras extensiones que están camufladas escondiendo el contenido real de los archivos. Algunas veces archivos denominados con extensión 111 son realmente archivos de texto que personas malintencionadas han personalizado cambiando la extensión original.

 Hoy los ciberdelincuentes están utilizando técnicas comunes para enmascarar la información renombrando las extensiones y nombres diferentes, de modo que parezcan otro tipo de archivos; resaltando que los archivos están compuestos por tres partes, un nombre, un punto y una extensión (ejemplo ARCHIVO.EXE), el nombre sirve para identificar un archivo de otro, la extensión para asignarles propiedades concreta, como por ejemplo si el nombre del archivo tiene extensión .EXE indica y se espera que sea un  archivo de una aplicación.  Es por esto que EnCase Forenses realiza  análisis de firmas (Signature analysis), facilitando al examinador verificar entre todos los archivos contenidos en la imagen forense; este proceso lo toma comparando los encabezados de cada archivo o firmas, con la extensión. Así mismo, los programas consultan exclusivamente la extensión del archivo para obtener algún tipo de información adecuada, como por ejemplo Microsoft Windows, al abrir un archivo asocia la extensión con sus respectivas aplicaciones. Otro punto importante a tener en cuenta por un examinador forense en los análisis de firmas son los archivos generados en los Sistemas Operativos UNIX, Linux y MAC, porque archivos contenidos en este tipo de sistemas no arrojan extensión y es muy común en sistemas Mac, lo cual puede dar falsos positivos en análisis de firmas.

En una excelente investigación es importante que el examinador para todos los casos  a través de EnCase Forenses realice el análisis de firmas, para que siempre se haga la comparación entre las extensiones del archivo y los encabezados incluidos en la tabla de firmas del archivo, con el fin de verificar si la extensión del archivo ha sido modificada. Este resultado se visualiza organizando en EnCase las columnas o campos como nombres, extensión y firmas, visualizando las tres columnas inmediatas, de ésta manera el examinador podrá iniciar el análisis de las firmas de archivo, aprovechando las bondades de la herramienta organizadas de una manera que primero quede en orden la columna FIRMAS, después  EXTENSION y por último Nombre de archivo, así podrá  ver resultados posibles de archivos como:

Firma Incorrecta: el cual corresponde a que encontró un archivo con la extensión correcta pero el encabezado no corresponde a ésta extensión;

Alias: indica que el encabezado está incluido en la tabla de firmas de archivo pero la extensión no corresponde a este encabezado, este es clave para la investigación puesto que esto sucede cuando la extensión ha sido renombrada; 

Coincidencia es cuando el encabezado coincide con la extensión;

Desconocido: punto clave también para la investigación, puesto que la tabla de firmas no contiene ni el encabezado ni la extensión del archivo.

Un Ejemplo es aquel archivo con extensión .txt que después de realizar el análisis de firmas aparece como JPEG Imagen, y EnCase Forensics lo muestra como una imagen, es de anotar que si existen algunas discrepancias, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado.

EnCase Forensics detecta automáticamente la identidad del archivo, e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle, entregando resultados claros y contundentes, dentro de las múltiples investigaciones que se tienen en los laboratorios de análisis de evidencia digital.

México: Fraude o Desvío Lo Sufren 83 % de Sindicatos, Partidos, Fideicomisos y Sociedades Filantrópicas

El problema del fraude no está limitada a las organizaciones comerciales y los gobiernos. El fraude existe dondequiera que haya la motivación y la oportunidad de cometer fraude. Aquí están algunas ejemplos de fraude en algunos grupos que tradicionalmente no podrán asociarse con el fraude.

Fraude o desvío de recursos lo sufren el 83 por ciento de sindicatos, partidos políticos, fideicomisos y sociedades filantrópicas en México y en el 23 por ciento de ellas la suma de lo defraudado es de más de un millón de pesos, señala el Colegio de Juristas.

http://www.oem.com.mx/laprensa/notas/n2901813.htm

EnCase puede ayudar a todo tipo de organizaciones a combatir el fraude en múltiples formas. Por ejemplo, el artículo discute el problema de la identificación de los participantes en el fraude

Cuando mediante auditorías y controles internos se descubre el ilícito, en la mayoría de estas organizaciones se despide a quien realizó el ilícito pero poco o nada se abunda sobre la forma en que se generó y si existen o no otros implicados. 

EnCase puede ayudar a proporcionar acceso a casi todas las fuentes de información dentro de una organización para identificar a los involucrados a través de la identificación y análisis de las comunicaciones como el correo electrónico interno, chat y correo electrónico a través de la web. EnCase también puede utilizar su capacidad de análisis forense para determinar cómo los documentos confidenciales fueron trasladados dentro de una organización (USB, crapetas compartidas, IM, email, sharepoint, etc.) o si existen indicios de que algunas personas tomaron medidas para ocultar sus acciones.

La mayoría de las organizaciones son 100% reactivo al fraude. Con EnCase, una organización puede comenzar a buscar de forma proactiva los indicadores de actividad.

RELACIONADO

La Republica del Peru Reporta Que el 88% de los Fraudes Bancarios Son Internos 

El Negocio de la Cibercrimen Supera El Negocio de las Drogas Ilegales

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Si no lo sabías, EnCase tiene un grupo en LinkedIn. Aquí está el link

http://www.linkedin.com/groups?gid=4476438

También tengo un feed de Twitter en español

https://twitter.com/LATAMTony

Bienvenidos al blog en español de EnCase

T. Grey Bienvenidos al blog en español de EnCase. Los entradas o Posts del blog estarán dirigidas a organizaciones que estan usando o quieren usar EnCase Cybersecurity, EnCase eDiscovery o EnCase Enterprise.

La intención del blog es la de informar sobre ideas nuevas y abrir discusiones sobre los asuntos tratados, para atraer la atención de organizaciones corporativas/gubernamentales y expandir los horizontes sobre como la plataforma EnCase puede solucionar estos asuntos de una manera que reduzca los costos y los riesgos.

Espero que participes!

T. Grey
Ingeniero de Ventas, Latinoamerica
Guidance Software