Los dispositivos digitales están en todas partes y su aplicación en los eventos de investigación es significativa. Ya sea que un dispositivo pertenezca a un sospechoso o víctima, la gran cantidad de datos que contienen estos sistemas podría ser todo lo que un analista necesita para llevar un caso.
Por lo tanto, recuperar esos datos de manera segura, efectiva y legal no siempre es un esfuerzo fácil. Los investigadores confían cada vez más en las nuevas herramientas forenses digitales para ayudarlos.
Las herramientas de análisis forense digital son todas relativamente nuevas. A medida que los dispositivos se volvieron más complejos y vinculados con más información, el análisis en vivo se volvió inmanejable e improductivo. Posteriormente, el freeware y las tecnologías especializadas aparecieron como hardware y software para extorsionar, localizar o filtrar datos en un dispositivo sin modificarlo ni destruirlo.
Existes diversas categorías de herramientas de análisis forense digital, dentro de las que se incluyen análisis forense de bases de datos, análisis de correo electrónico, apropiación de disco y datos, visores de archivos, análisis de archivos, análisis de Internet, análisis forense de redes, análisis de dispositivos móviles y análisis de registros. Muchas herramientas cumplen más de una función juntas, y una tendencia importante en las herramientas forenses digitales es aquella que agrupa cientos de tecnologías específicas con varias funcionalidades en un conjunto de herramientas general.
Analizaremos aquí en qué consiste el análisis forense y las principales herramientas para realizar este análisis.
Indice
¿Qué es el análisis forense?
El análisis forense se refiere a una investigación detallada para detectar y documentar el curso, los motivos, los culpables y las consecuencias de un incidente de seguridad o violación de las reglas de la organización o las leyes estatales.
El análisis forense a menudo se vincula con pruebas para los tribunales, particularmente en asuntos penales. Implica el uso de una amplia gama de tecnologías y métodos y procedimientos de investigación. Los especialistas forenses recopilan diferentes tipos de información trabajando con dispositivos electrónicos y también trabajando de manera convencional con la información en papel.
Recientemente, el análisis forense de malware se ha vuelto más significativo con la comunidad del delito cibernético que causa destrucción a las instituciones tecnológicas, minoristas y financieras.
El cibercrimen puede poner en peligro a organizaciones privadas y gubernamentales, y el malware es una herramienta comúnmente utilizada por los ciberdelincuentes para instalar cosas como gusanos, troyanos y botnets en el dispositivo infectado.
La única manera de proteger los datos de sus clientes por las organizaciones que tratan información confidencial es hacer frente al malware de forma rápida y precisa.
Cuando el análisis forense es el objetivo final, es imperativo que la evidencia almacenada electrónicamente se trate con gran cuidado. Se debe preservar la evidencia y no se debe hacer nada que pueda alterarla durante el proceso de análisis.
Es por eso que el mejor resultado legal se obtendrá analizando una imagen forense o una copia del dispositivo en lugar del dispositivo o fuente original. Una fuente de evidencia digital también puede estar basada en la nube.
Alcance
El alcance del análisis empieza identificando a los actores clave y el lugar donde se encuentra la evidencia almacenada electrónicamente. Esta información se recopila durante el paso de identificación del proceso forense digital y requiere una comunicación clara con el cliente.
Siempre que sea posible, el alcance inicial debe estar claramente identificado, pero ese no es siempre el caso. En algunos casos, podemos estar buscando una «aguja en un pajar», por lo que el alcance puede ampliarse o contraerse a medida que avanza el análisis. Esta es la parte del examen Quién, Qué, Cuándo y posiblemente Dónde y Por qué.
La documentación y la comunicación deben incluir:
- Enfoque del examen
- Naturaleza general del asunto.
- Marco temporal de la cadena de eventos.
- Datos lógicos y / o eliminados
- Fuga de datos
- Palabras clave
Enfoque del examen
¿Cuál es el enfoque del examen?
Identifica quiénes son las personas involucradas en ambos lados de la disputa y quién es el foco del examen.
Antes de comenzar cualquier examen forense digital, se debe identificar el alcance de las acciones.
¿Quiénes son los jugadores y custodios clave? ¿Cuáles son las mejores fuentes de evidencia electrónica potencial a las que se deberá acceder para la recolección?
Esta información es necesaria por muchas razones, que incluyen:
- Para que no se pierda ninguna evidencia esencial que pueda afectar un caso
- Los costes pueden estimarse por adelantado y el alcance del caso puede ajustarse para adaptarse a las necesidades reales
- Las posibles fuentes de evidencia identificadas más adelante tendrán un impacto menor en el aumento de costes
Naturaleza general de la materia
¿Cuál es la naturaleza general del asunto? ¿Se trata de un testamento o fideicomiso, o un diseño de la empresa? También han surgido muchos casos legales con respecto a las listas de clientes, que pueden considerarse propiedad intelectual valiosa.
La mala conducta de los empleados, la apropiación indebida de información de la compañía, el fraude o el divorcio son solo algunos ejemplos. Conocer la naturaleza del asunto ayudará a identificar qué tipo de datos o qué tipos de archivos debe buscar un examinador forense y dónde se pueden encontrar esos datos.
Marco de tiempo de la cadena de eventos
¿Cuándo ocurrió la cadena de eventos?
Las horas y fechas o el rango de fechas en que ocurrió un supuesto evento ayudarán a reducir el examen. En el ejemplo de mala conducta del empleado, ¿cuándo fue la última fecha de trabajo del empleado? ¿Cuándol usó el último dispositivo o lo devolvió a la empresa?
En esta y otras situaciones similares, evita la tentación de iniciar sesión en el ordenador de un empleado porque comprometerás la evidencia potencial, especialmente los sellos de fecha y hora.
Datos lógicos y eliminados
Los datos lógicos se refieren a datos que no se eliminan y no requieren recuperación de datos o software especial para acceder a la información. Determina qué tipos de datos deben incluirse en el examen, como documentos de Word, hojas de cálculo de Excel, Acrobat PDF, fotografías y correos electrónicos.
El uso de las redes sociales, como Snapchat, WhatsApp, Facebook y YouTube puede requerir análisis, según el caso.
Una Papelera de reciclaje o Papelera vacía se conoce como eliminación dura. Los datos eliminados y un historial web borrado son signos de ocultar pistas.
Con los datos eliminados, no podemos estar limitados por una recopilación específica de datos lógicos solamente. Se debe realizar una imagen forense sector por sector de todo el dispositivo. Es una buena práctica extraer de manera preventiva una imagen forense de los dispositivos de los empleados cuando cualquier empleado deja una empresa.
Establecer un alcance de análisis y comprensión de dónde se almacenan los datos nos ayuda como examinadores forenses a proporcionar al cliente resultados precisos y rápidos.
Fuga de datos
La transferencia no autorizada de información de dentro a fuera de una organización se conoce como fuga de datos.
¿Hubo algún disco duro externo u otro dispositivo conectado al ordenador? Los ejemplos incluyen USB, dispositivos móviles o dispositivos de respaldo. Asegúrate de identificar cualquier posible intercambio de datos a otro dispositivo.
Internet de las cosas (IoT) se está volviendo más frecuente en nuestras vidas y también debe considerarse. Los ejemplos incluyen tecnología portátil, vehículos de alquiler de la empresa, cámaras de vigilancia o asistentes domésticos.
¿Los servidores de correo electrónico y los sistemas de almacenamiento en la nube son monitorizados y respaldados por TI? ¿Existe una responsabilidad legal de preservar los datos?
Palabras clave
¿Cuáles son los nombres, frases y palabras que podrían ser útiles para localizar los datos de interés?
Los ejemplos pueden incluir contactos, direcciones de correo electrónico personales, nombres de proyectos o empresas en competencia directa.
Limitaciones de alcance
Las limitaciones pueden estar vigentes debido a la privacidad o intereses opuestos.
En asuntos que involucran intereses opuestos, una parte o tribunal puede limitar el alcance de la información para ser analizada o incluso recopilada. Siempre es mejor hacer esto por escrito en forma de una estipulación o una orden de protección.
El analista forense digital debe incluirse en la creación de esta documentación para garantizar que las limitaciones sean posibles, en función de la forma en que se almacena la información electrónica y de cómo el software forense adquiere y procesa los datos.
El tiempo puede ser un problema.
La comunicación privilegiada entre abogado / cliente, médico / paciente y esposo / esposa son limitaciones comunes a considerar al proporcionar evidencia en un caso. El hecho de que una esposa entregue el teléfono celular de su esposo, no significa que la autoridad para analizarlo sea automática. Los empleados pueden tener una expectativa de cierta privacidad incluso cuando usan una computadora portátil suministrada por la compañía. ¿La política de la empresa define claramente qué privacidad puede esperar el empleado, y la entiende el empleado?
La información de identificación personal, como los registros de pacientes, los números de Seguro Social y los registros de impuestos debe protegerse. Es importante investigar cualquier equipo forense digital de terceros que pueda emplear para asegurarse de que todos los datos estén protegidos por las certificaciones de seguridad necesarias.
Tipos
Existen varios tipos de análisis forense dentro de los que destacamos:
- Análisis forense digital: las técnicas forenses se utilizan para recuperar evidencia de los ordenadores. Estas técnicas incluyen la identificación de información, preservación, recuperación e investigación en línea con los estándares forenses digitales.
- Análisis forense de dispositivos móviles: se refiere a esa rama de análisis forense digital que involucra evidencia encontrada en dispositivos móviles. Estos incluyen asistentes digitales personales (PDA), teléfonos móviles y tabletas, básicamente, cualquier dispositivo informático que tenga capacidades de comunicación además de ser portátil. Esta rama del análisis forense se ha vuelto muy popular entre los teléfonos inteligentes, siendo una de las partes actuales del análisis forense digital.
- Análisis forense de software: determina si el software ha sido robado. Esto se realiza analizando y comparando un código fuente, y luego detectando cualquier posible correlación. En los últimos años, el análisis forense de software se ha utilizado en varios litigios de propiedad intelectual de alto perfil.
- Análisis forense de la memoria: cuando se producen ataques sofisticados, los datos existentes en el disco duro pueden borrarse permanentemente o no quedan datos en el disco duro, por lo que casi no hay evidencia para una investigación forense. El análisis forense de la memoria es el proceso de búsqueda de posibles artefactos en la memoria del ordenador (RAM).
Etapas del análisis forense
El proceso se divide en seis etapas.
1. Disponibilidad
La preparación forense es una etapa importante y ocasionalmente pasada por alto en el proceso. En informática forense comercial, podría incluir educar a los clientes sobre la preparación del sistema. Por ejemplo, los análisis forenses ofrecen evidencia más sólida cuando las funciones de auditoría de un dispositivo están activadas previamente a que suceda un incidente.
Para el examinador forense, la preparación incluye capacitación, pruebas y verificación apropiadas de su propio software y equipo.
Estos analistas deben conocer la legislación, saber cómo hacer frente a problemas inesperados (qué hacer si durante el análisis de un fraude encuentran imágenes de abuso infantil) y garantizar la adecuación para esa tarea de su ordenador de adquisición de datos y los elementos asociados.
2. Evaluación
Durante la etapa de evaluación, el examinador recibe instrucciones y busca aclaraciones si alguna de ellas no es clara o ambigua, realiza un análisis de riesgos y asigna roles y recursos.
Para la aplicación de la ley, el análisis de riesgos puede incluir la evaluación de la probabilidad de una amenaza física al ingresar a la propiedad de un sospechoso y la mejor manera de lidiar con ella.
Las organizaciones comerciales también deben tener en cuenta los problemas de salud y seguridad, los conflictos de intereses y los posibles riesgos, financieros y para su reputación, cuando aceptan un proyecto en particular.
3. Colección
Si la adquisición de datos se lleva a cabo en el sitio en lugar de en la oficina del examinador forense del ordenador, esta etapa incluye la identificación y protección de dispositivos que pueden almacenar evidencia y documentar la escena.
El examinador también mantendría entrevistas o reuniones con el personal que podría tener información relevante para el examen, como los usuarios finales del ordenador, el gerente y la persona responsable de los servicios informáticos, es decir, un administrador de TI.
La etapa de recolección también puede involucrar el etiquetado de artículos del sitio que pueden usarse en la investigación; estos se sellan en bolsas numeradas a prueba de manipulaciones. Luego, el material debe transportarse de manera segura a la oficina del examinador o al laboratorio.
4. Análisis
El análisis incluye el descubrimiento y la extracción de información recopilada en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde separar un solo correo electrónico hasta reunir las dificultades en un supuesto de fraude o terrorismo.
Durante el análisis, el examinador generalmente retroalimenta a su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas específicas.
El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados.
Existen múltiples herramientas disponibles para el análisis forense informático. El analista debe utilizar cualquier herramienta con la que se encuentre cómodo, pero siempre justificando su preferencia. Una herramienta forense de computadora debe hacer lo que debe hacer, por lo que los examinadores deben probar y calibrar sus herramientas regularmente antes de realizar cualquier análisis.
Los examinadores también pueden usar la «verificación de doble herramienta» para confirmar la integridad de sus resultados durante el análisis. Por ejemplo, si el examinador encuentra el artefacto X en la ubicación Y utilizando la herramienta A, debería poder replicar estos resultados con la herramienta B.
5. Presentación
En esta etapa, el examinador produce un informe estructurado sobre sus hallazgos, abordando los puntos en las instrucciones iniciales, junto con cualquier otra instrucción que hayan recibido. El informe también debe cubrir cualquier otra información que el examinador considere relevante para la investigación.
El informe debe ser escrito con el lector final en mente. A menudo, el lector no será técnico, por lo que se debe utilizar la terminología adecuada. El examinador puede necesitar participar en reuniones o llamadas en conferencia para discutir y elaborar su informe.
6. Revisión
Al igual que en la etapa de preparación, la revisión a menudo se pasa por alto o se ignora, porque no es un trabajo facturable o porque el examinador necesita continuar con el próximo trabajo. Pero llevar a cabo una revisión de cada examen puede hacer que los proyectos futuros sean más eficientes y eficaces en el tiempo, lo que ahorra dinero y mejora la calidad a largo plazo.
La revisión de un examen puede ser simple, rápida y comenzar durante cualquiera de las etapas anteriores. Podría incluir un análisis básico de lo que salió mal y lo que salió bien, junto con los comentarios de la persona o empresa que solicitó la investigación. Cualquier lección aprendida de esta etapa debe aplicarse a futuros exámenes y alimentarse en la etapa de Preparación.
Herramientas de análisis forense
Al considerar las herramientas de análisis forense, es difícil cómo elegir una. Al seleccionar entre la amplia gama de opciones, analizamos los siguientes criterios:
- Coste razonable: el precio puede no ser un indicador de calidad, pero las revisiones colaborativas pueden serlo. La mayoría de las herramientas son de código abierto, gratuitas y compatibles con un grupo de desarrolladores dedicados.
- Accesibilidad: a diferencia de algunas marcas establecidas que solo venden sus productos a las autoridades policiales, el resto son accesibles para las personas.
- Responsabilidad: ya sea a través de planes de código abierto o credenciales del mundo real, estas tecnologías han sido evaluadas completamente por especialistas.
Un examinador forense digital experimentado sabrá qué herramienta o herramientas son las mejores para el tipo de dispositivo y el tipo de datos.
Independientemente de la herramienta o software que utilice, debe validarse. El examinador forense digital debe asegurarse de que la información producida por el software forense sea precisa.
Un examinador forense tiene que saber dónde se almacena la información y cómo la herramienta forense elegida analiza esa información.
Entrenamiento, experiencia y buen soporte técnico son algunas de las formas en que un examinador forense puede obtener el conocimiento necesario para validar sus herramientas. Los foros forenses, los podcasts y los artículos son otros métodos para estar al tanto de las nuevas tendencias y tecnologías.
Al mismo tiempo, debe haber algo de fe en su software forense. Si tuviéramos que validar cada paso, nunca realizaríamos ningún trabajo.
El objetivo principal de una aplicación es mejorar la productividad y la precisión. El software forense líder en la industria no se mantiene a la cabeza si sus suscriptores encuentran errores en su producto. Es importante que los analistas forenses reciban capacitación y certificación en forense digital y eDiscovery por parte de los principales proveedores de software porque estas son las herramientas que generalmente brindan los mejores resultados.
Software de código abierto vs. comercial
Hay veces que, si un examinador forense ve algo que no parece correcto o que no tiene ningún sentido, se puede usar software de código abierto para validar el software comercial mediante la comparación de resultados. Si los resultados de diferentes softwares varían en formas que no se esperaban, entonces es hora de realizar una investigación y / o soporte técnico de software.
Una cosa sobre el software de código abierto es que no hay soporte técnico.
El presupuesto también importa. El software líder en la industria y la capacitación forense no son baratos. Una gran cantidad de software de código abierto es gratuito y muchos de los principales proveedores ofrecen herramientas gratuitas, especialmente para las fuerzas del orden.
Puede ser que ya tengas un software que le resulte de utilidad a tu equipo forense, como Google Vault o Takeout. BlackBag Technology ofrece capacitación gratuita de dos días. El Instituto SANS ofrece un juego de herramientas forenses y seminarios web gratuitos que obtienen créditos de CPE.
Todo buen laboratorio forense debe tener un equilibrio saludable de software forense de calidad por parte de proveedores líderes y de código abierto, y el conocimiento para respaldarlos.
Comparación de herramientas forenses informáticas
La informática forense es una rama muy vital de la informática en relación con los escándalos relacionados con la informática e Internet. Anteriormente, los ordenadores solo se manejaban para generar datos, pero ahora se ha desarrollado para todos los dispositivos vinculados a datos digitales.
El objetivo de la informática forense es realizar investigaciones de delitos utilizando pruebas de datos digitales para determinar quién es el responsable de ese delito en particular.
Aquí hay algunas herramientas que son prominentes en este campo.
1. EnCase
EnCase es un producto creado para análisis forense, seguridad digital, investigación de seguridad y procesos de descubrimiento electrónico. Generalmente se usa para recuperar pruebas de discos duros robados. Permite a la autoridad dirigir un examen total de las cuentas de los clientes para recopilar evidencia digital que pueda usarse en un tribunal de justicia.
Ventajas
- Con la versión avanzada de pago de Encase que contiene todas las utilidades, también tiene una versión gratuita que se puede aplicar para la adquisición de confirmación, que es muy simple de usar. Esta herramienta se reconoce como Encase Imager.
- En términos de características de procesamiento y análisis, esta herramienta también tiene buenos informes integrados
- Con el aumento de las amenazas cibernéticas, el cifrado representa un papel importante en la defensa de los datos en cualquier tipo o variedad de sistema.
- Encase tiene soporte incorporado para casi todos los tipos de encriptación, incluidas buenas capacidades de búsqueda de palabras clave y funciones de scripting accesibles.
- Hay mucha aceptación de Encase para forense móvil.
Desventajas
- Esta es una herramienta muy costosa.
- El procesamiento de Encase puede llevar mucho tiempo en caso de archivos agregados muy grandes y buzones.
- Las versiones más recientes de Encase a veces no se ajustan a otras herramientas forenses.
2. Kit de herramientas forenses
El Kit de herramientas forenses (FTK) es un paquete de software de investigación forense por computadora. Comprueba un disco duro buscando información diferente.
Puede, por ejemplo, encontrar correos electrónicos borrados y también puede examinar el disco en busca de secuencias de contenido. Estos pueden ser utilizados como una palabra clave secreta relacionada con romper cualquier cifrado.
La caja de herramientas incluye un programa de imagen de disco autónomo conocido como FTK Imager. Almacena una imagen de un disco duro en un documento o en diferentes secciones que luego se pueden rehacer más tarde.
El resultado es un archivo de imagen que se puede guardar en diferentes formatos.
Ventajas
- Tiene una interfaz de usuario sin complicaciones y excelentes capacidades de búsqueda.
- FTK confirma el descifrado de EFS.
- Da un archivo de registro de casos.
- Tiene importantes funciones de marcadores e informes destacados.
- FTK Imager está disponible de forma gratuita.
Desventajas
- FTK no respalda las funciones de secuencias de comandos.
- No tiene habilidades multitarea.
- No hay barra de progresión para ver el tiempo restante.
- FTK no tiene una representación de línea de tiempo.
3. XWF (X-Ways)
X Ways Forensics es una robusta herramienta de informática forense empresarial. Es un software autorizado basado en Windows que permite muchas funcionalidades relacionadas con la informática forense. Uno de los mejores beneficios de este software es que se puede usar en modo transportable.
Ventajas
- Las opciones de procesamiento de pruebas se pueden personalizar según las especificaciones del caso.
- Tiene una opción de filtrado muy adaptable y granular, así como fines de búsqueda altamente personalizables.
- Es de naturaleza portátil y revisa constantemente las nuevas innovaciones.
Desventajas
- No es fácil de usar.
- Es un software basado en dongle y no funciona sin él.
- No hay provisión para Bitlocker.
4. Oxygen Forensic Suite
El paquete Oxygen Forensics es un software forense móvil para el análisis lógico de teléfonos inteligentes, teléfonos celulares y PDA. La suite puede recuperar información del dispositivo, contactos, eventos del calendario, SMS, registros de ocasiones e informes.
Además, también puede derivar diferentes tipos de metadatos que son esenciales en cualquier investigación forense digital. La suite llega al dispositivo utilizando protocolos establecidos.
Ventajas
- Oxygen permite la extracción física de información y datos de dispositivos Android.
- La interfaz de usuario y las opciones son muy manejables y fáciles de seguir.
- El informe final se puede almacenar en muchos formatos legibles como .xls, .xlsx, .pdf, etc.
- Es una opción económicamente más adecuada en comparación con otras herramientas de análisis forense.
- Tiene una funcionalidad incorporada que se puede utilizar para romper contraseñas para reservas cifradas de iTunes, iPhone bloqueado o Android .
Desventajas
- Su soporte para una gama de dispositivos móviles está limitado.
- Dado que la herramienta está basada en computadora, existe la probabilidad de que el malware penetre dentro del teléfono que se está investigando.
- Utiliza una técnica de fuerza bruta que provoca mucho tiempo para completar el proceso.
5. Técnicas forenses móviles
Los datos se pueden recopilar de dispositivos móviles de dos maneras, específicamente, adquisición física y adquisición lógica.
La adquisición física, también identificada como un volcado de memoria física, es un método para aprovechar todos los datos de los chips de memoria flash en el dispositivo móvil. Permite a la herramienta forense ensamblar porciones de datos eliminados. Originalmente, los datos recibidos están en formato sin procesar y no se pueden leer. Más adelante, se emplean algunos métodos para transformar esos datos de manera legible para los humanos.
La adquisición lógica, o extracción lógica, es una técnica para obtener los archivos y carpetas sin ninguno de los datos eliminados de un dispositivo móvil. Aún así, algunos proveedores describen la extracción lógica casi como la capacidad de encontrar un tipo de datos distinto, como imágenes, historial de llamadas, mensajes de texto, calendario, videos y tonos de llamada. Se aplica una herramienta de software para hacer una copia de los archivos. Por ejemplo, la copia de seguridad de iTunes se utiliza para crear una imagen lógica de un iPhone o iPad.