Herramientas tecnológicas para la prevención del delito

Actividades[pic 1]

Actividad: Herramientas tecnológicas para la prevención del delito.

Herramienta EnCase.

Los investigadores de datos digitales necesitan una solución que capture con facilidad los datos relevantes para respaldar investigaciones o requisitos de cumplimiento y que brinde capacidades de análisis técnico elaboradas para hallar datos ocultos. EnCase Forensic es una poderosa plataforma de investigación que recolecta datos digitales, realiza análisis, informa sobre descubrimientos y los preserva en un formato válido a efectos legales y validado por los tribunales.

Cómo funciona EnCase Forensic:

1. Obtenga adquisiciones válidas a efectos legales

EnCase Forensic produce una duplicación binaria exacta del dispositivo o medio original y luego la verifica generando valores hash MD5 de las imágenes y asignando valores de CRC a los datos. Estas verificaciones revelan cuándo la evidencia ha sido alterada o manipulada indebidamente, ayudando a mantener toda la evidencia digital con validez a efectos legales para su uso en procedimientos judiciales.

2. Ahorre tiempo valioso con funciones de productividad avanzadas

Los examinadores pueden obtener una vista previa de los datos mientras se obtiene acceso a las unidades u otros medios. Una vez creados los archivos de imagen, los examinadores pueden buscar y analizar varias unidades u otros medios simultáneamente. EnCase Forensic también ofrece un indexador de casos. Esta poderosa herramienta crea un índice completo en varios idiomas, lo que permite realizar consultas de forma rápida y sencilla. Los índices se pueden asociar entre sí para buscar palabras clave comunes a otras investigaciones. Este índice compatible con Unicode contiene documentos personales, archivos eliminados, artefactos de sistemas de archivos, demora de archivos, archivos intercambiados, espacio no asignado, correos electrónicos y páginas web. Además, EnCase ofrece una amplia compatibilidad con distintos sistemas de archivos, brindándoles a las organizaciones la posibilidad de analizar todo tipo de datos.

3. Personalice EnCase Forensic con la programación EnScript.

EnCase Forensic ofrece las capacidades de programación EnScript. EnScript, un lenguaje de programación orientada a objetos y similar a Java o C++, les permite a los usuarios crear programas personalizados que los ayuden a automatizar las tareas de investigación que demandan mucho tiempo, como la búsqueda y el análisis de tipos de documentos específicos u otros procesos y procedimientos que requieren mucho trabajo. Esta función puede ser implementada por investigadores de cualquier nivel mediante el uso de las herramientas de Forensic, como “Case Developer” o uno de los diversos filtros y condiciones integrados.

4) Proporcione datos procesables, genere informes y continúe con el siguiente caso.

Una vez que los investigadores han detectado los datos relevantes, pueden crear un informe apto para la presentación ante los tribunales, la gerencia u otra autoridad legal. Los datos también se pueden exportar en diversos formatos de archivo para su revisión. Con la herramienta EnCase Forensic los investigadores pueden disponer de:

Adquisición

• Granularidad de adquisición.
• Errores: especifica la cantidad de sectores que muestran ceros cuando se encuentra un error.
• Bloques de adquisición: define el tamaño del bloque.
• Reinicio de adquisición: continúa con una adquisición basada en Windows desde su punto de interrupción.
• Archivos de evidencia lógica: un contenedor de evidencia que incluye sólo los archivos y carpetas que necesita.
• CRC: imagen verificada por comprobación de redundancia cíclica (CRC) y MD5.
• Utilidad LinEn: adquiere evidencia a través del disco de inicio.
• Utilidad WinEn: adquiere evidencia de RAM.

[pic 2]

Herramienta FTK Imager.

     FTK Imager de AccessData es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin realizar cambios en la evidencia original. Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager para crear la imagen forense desde un disco duro u otro dispositivo electrónico. Esto asegura que el sistema operativo no alterará la unidad fuente original cuando se le adjunte a la computadora.

Para prevenir la manipulación accidental o intencional de la evidencia original, FTK Imager realizar una imagen duplicado bit a bit del medio. La imagen forense es idéntica en cualquier forma al original, incluyendo espacio de holgura o residual y espacio sin asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un lugar seguro de daño mientras se procede con la investigación utilizando la imagen forense.

Esta es una herramienta gratuita de la empresa AccessData, con las siguientes funcionalidades:

• Crea imágenes de discos duros, discos Zip, CD-ROMs, DVD-ROMs, carpetas o ficheros individuales.
• Vista previa de los ficheros y carpetas en discos duros, discos Zip, CD-ROMs y DVD-ROMs.
• Monta la imagen para visualizar el contenido de la imagen exactamente como el usuario con la unidad original.
• Exportar ficheros y carpetas de imágenes de disco.
• Ver y recuperar ficheros que se han borrado desde la papelera de reciclaje, pero que aún no se han sobrescrito en la unidad.
• Crear hashes de ficheros mediante dos funciones: MD5 y SHA-1.
• Generar informes de hashes para fichero y para imágenes de disco para comprobar la integridad de los contenidos. El hash es la prueba de que los ficheros no se han alterado ni modificado en ningún caso.

[pic 3]

Herramienta Autopsy.

Autopsy es un software de análisis forense digital que permite la identificación y descubrimiento de información relevante en fuentes de datos como imágenes de discos duros, memorias USB, capturas de tráfico de red, o volcados de memoria de computadoras. El navegador Forense Autopsy es una interfáz gráfica para las herramientas de análisis de investigación digital en línea de comando contenidas en Sleuth Kit. Ambos unidos pueden analizar discos UNIX y Windows, además de sistemas de archivos (NTFS, FAT, UFS1/2 y Ext2/3).

Un Análisis “En reposo” ocurre cuando un sistema dedicado para análisis es utilizado para examinar los datos de un sistema sospechoso. En este caso, Autopsy y Sleuth Kit son ejecutados en un entorno confiable, típicamente en un laboratorio. Autopsy y TSK soportan formatos de archivos AFF (Advanced Forensic Format), Expert Witness, y raw (en bruto).

Análisis “En vivo” ocurre cuando el sistema sospechoso empieza a ser analizado mientras está en ejecución. En este caso, Autopsy y Sleuth Kit son ejecutados desde un CD en un entorno no confiable. Esto se utiliza frecuentemente durante la respuesta del incidente mientras está siendo confirmado. Después de la confirmación, se puede adquirir el sistema y realizar un análisis “En reposo”.

Para iniciar por primera vez una recolección y análisis de evidencia digital, es importante previamente haber obtenido la réplica o imagen del disco donde reside la evidencia. Una vez iniciada la interfaz gráfica de Autopsy, se procede a la creación de un nuevo caso. El siguiente paso es añadir la fuente de datos de entrada para el caso. El Asistente para agregar dicho origen de datos se iniciará automáticamente, aunque tambien se puede iniciar manualmente desde el menú o barra de herramientas "Archivo". Podremos elegir el tipo de fuente de datos de entrada imagen, disco local o archivos lógicos y carpetas).

Para una imagen de disco, vaya al primer archivo de la serie (La autopsia se encuentra el resto de los archivos). Autopsia actualmente soporta (dd) archivos RAW y E01.

Para el disco local, seleccione uno de los discos detectados. Autopsia añadirá la vista actual del disco para el caso (es decir, instantánea de la meta-datos). Sin embargo, el contenido del archivo individual (no meta-datos) no se actualiza con los cambios realizados en el disco. Tenga en cuenta, es posible que necesite ejecutar la autopsia como administrador para detectar todos los discos.

Para los archivos lógicos (un único archivo o carpeta de archivos), utilice el botón "Agregar" para agregar uno o más archivos o carpetas en su sistema para el caso. Las carpetas se añaden de forma recursiva al caso.

Hay un par de opciones en el asistente que le permitirá realizar el proceso más rápido. Estos por lo general, se ocupan de los archivos eliminados. Tomará más tiempo si se analiza el espacio no asignado y toda la unidad se busca en los archivos borrados. Autopsy comenzará a analizar estas fuentes de datos y añadirlos a la base de datos interna.

...