Eltein Lab

Electrónica, Informática, Telecomunicaciones

Análisis de Encase Forensics

Con la tecnología avanzando de manera constante hasta en el punto de que en cada puesto de trabajo y an cada casa encontramos uno o más ordenadores. No es de extrañar entonces que cada minuto del día se produzcan actos delictivos en los que hay un ordenador implicado.

El ordenador en un testigo infalible: no puede mentir. La evidencia digital contiene contiene información de las actividades de un sospechoso, registradas con sus palabras y acciones directas que los investigadores deben ser capaces de filtrar. Para realizar esta labor, necesitan una solución potente que los ayude a generar la evidencia para denuncias existentes, identificar cómplices, incrementar denuncias y proporcionar pistas para otras investigaciones no resueltas.

La ciencia forense proporciona numerosas respuestas que impliquen cualquier tipo de delito. Pero la búsqueda de estas respuestas lleva tiempo. La manipulación y el descubrimiento de pruebas digitales parece bastante evidente. La tecnología forense digital incluye las ciencias forenses de descubrir las pruebas de un medio tecnológico. EnCase es un poco conocido pero muy utilizado software para realizar esta labor.

EnCase Forensic es la solución tecnológica estándar que permite capturar, analizar y generar informes sobre evidencia digital. Con EnCase es posible recolectar inteligencia procesable desde cualquier actividad en Internet, sesión de Chat, correo electrónico, documentos gráficos, libretas de direcciones, etc.
También es capaz de recuperar evidencias digitales que residan en archivos eliminados, discos reformateados, espacio de intercambio, archivos ocultos, colas de impresión, etc. Así como ayuda a revisar datos a los que otras herramientas no pueden acceder, incluidos los archivos de sistema y los datos cifrados.
La tecnología que utiliza EnCase Forensics está validada por los tribunales, partiendo de un desarrollo en colaboración con las aéreas de cumplimiento de leyes pro lo que ayuda a los investigadores en una correcta metodología de recolección y preservación de evidencias digitales.

Descripción del producto

EnCase Forensic es actualmente el estándar de la industria en tecnología de investigación forense digital. Una vez conocido su manejo por el investigador resulta extremadamente sencillo, especialmente con el manejo de investigaciones muy complejas. La capacidad de analizar y buscar grandes cantidades de datos de forma rápida y sencilla es una capacidad crítica de cualquier respuesta a incidentes, investigación en equipos informáticos o herramienta de análisis. EnCase ofrece la forma más avanzada, completa y fácil de llevar a cabo estas complicadas y laboriosas tareas, en múltiples sistemas de archivos y de lenguajes

EnCase también proporciona un potente motor de búsqueda que le permite buscar información específica dentro de la dispositivos sospechosos. La búsqueda aproximada permite la búsqueda de palabras clave específicas o detalles. La búsqueda de Internet y correo electrónico permite la búsqueda de diversas entidades de correo electrónico a en numerosas máquinas. Un alto número de otras opciones para la búsqueda se permite a través de datos a través de la Opciones de búsqueda de EnCase.

La utilidad EnCse Linen es una versión de encase que funciona en máquinas Linux. Esta utilidad permite a los usuarios que trabajan con la versión basada en Windows trabajar en un sistema operativo no-windows. Los usuarios de Linen serán capaces de manejar unidades de disco duro de gran tamaño y obtener datos mucho más rápido

EnCase ofrece al usuario un intuitivo interfaz gráfico, GUI, que permite una navegación sencilla. La mayoría de las veces, un examinador forense puede fácilmente abrir un archivo sospechoso en otra ventana sin cerrar la herramienta GUI. El Instituto Nacional de Estándares y Tecnología (NIST- National Institute of Standards and Technology) en virtud de su Proyecto de Test de Herramientas de Informática Forense llegó a la conclusión de que los Investigadores que utilizan EnCase pueden confiar en la fiabilidad de esta herramienta en la creación exacta y verificable de imágenes de bits de los dispositivos sospechosos.

Cómo funciona

EnCase tiene la capacidad para recoger datos forenses en una amplia gama de plataformas de sistemas operativos. Con frecuencia, en los casos de ordenadores, los delincuentes pueden tratar de borrar la información pertinente. EnCase es capaz de encontrar esta información, a pesar de los esfuerzos realizados para ocultar, encubrir o borrar.

A continuación, la imagen muestra lo simple que es. Teniendo un dispositivo sospechoso, ya sea un disco duro instalado, o una unidad externa, los archivos se copian de estos dispositivos y se almacenan como imágenes.

    1. Crear una imagen del dispositivo sospechoso
    2. Comprobar identidad criptográfica de la imagen (MD5)
    3. Analizar datos del dispositivo sospechoso
    4. Buscar evidencias y generar documentos

Estas copias de imágenes se verifican vía MD5. El algoritmo MD5 (Message Digest 5) se usa para comprobar la integridad de los archivos en los datos de análisis forense. Una vez que el contenido de el dispositivo es analizado, la información detallada es presentada y documentada.

La información detallada puede ser cualquier cosa, desde cuándo un archivo se oculta o se elimina, hasta la información del correo electrónico (remitente, receptor, mensaje, etc) o la referente a los archivos temporales de Internet y las cookies.

La información encontrada puede ser generada también dentro de un sencillo documento de informe. Los informes pueden ser generados automáticamente. Estos informes automáticos muestran una gran cantidad de información dependiendo del tipo que se generan. Ciertos ítems que se incluyen en el informe pueden ser resaltados. Estos son componentes individuales que la información del disco contiene en el informe de EnCase. Existen diferentes tipos de bookmarks para resaltar datos, notas, archivos importantes, etc. Estos informes podrán ser utilizados directamente para presentarlos en una vista judicial.

Utilización

La informática forense implica la conservación, identificación, extracción, documentación e interpretación de datos informáticos. Los ordenadores desempeñan el papel de foco del delito, pudiendo ser la víctima del crimen y/o el almacén de la misma. Las investigaciones basadas en el análisis forense informático incluyen el análisis del correo electrónico, registro de archivos, navegación web y actividad en Internet, investigación en caliente y respuesta a incidentes, análisis estáticos y dinámicos de los ejecutables desconocidos.

La mayoría de los usos de EnCase se basan en la realización periódica de imágenes de archivos de ordenadores y los medios de almacenamiento. A pesar de este hecho, las fases más críticas de la investigación suelen incluir el análisis de objetos relacionados con Internet y el correo electrónico.

Aunque EnCase Enterprise Edition se basa en la misma tecnología que la edición independiente forense, se ha modificado para funcionar en un entorno empresarial en vivo e incluye usos forenses distintos. Proporciona un nuevo centro de atención de respuestas a incidentes cuando las cosas entran en juego. Un investigador puede conectarse a las máquinas sospechosas y analizar las unidades locales para buscar y analizar archivos nuevos, verificar los nuevos procesos e identificar todos los puertos en escucha.

Presentación realizada para Ondata International.

Analisis de En Case Forensics from Pablo Llanos
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Información

Esta entrada fue publicada el septiembre 27, 2010 por en Recuperacion de datos, Seguridad.
A %d blogueros les gusta esto: