Aplicaciones para Investigación Forense
En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:
• La gran cantidad de datos que pueden estar almacenados en un
computador.
• La variedad de formatos de archivos, los cuales pueden variar
enormemente, aún dentro del contexto de un mismo sistema operativo.
• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar archivos de computadores.
• Mecanismos de encriptación, o de contraseñas.
Entre los más populares se encuentran:
- EnCase
EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características son:
- Copiado Comprimido de Discos Fuente
- Búsqueda y Análisis de Múltiples partes de archivos adquiridos
- Diferente capacidad de Almacenamiento
- Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
- Análisis Compuesto del Documento.
- Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
- Firmas de archivos, Identificación y Análisis
- Análisis Electrónico Del Rastro De Intervención.
- Soporte de Múltiples Sistemas de Archivo.
- Vista de archivos y otros datos en el espacio Unallocated.
- Genera el reporte del proceso de la investigación forense como un
estimado.
- Visualizador Integrado de imágenes con Galería.
- Osforensics
OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:
- buscar textos e imágenes
- recopilar rastros de actividad
- buscar archivos borrados y disfrazados
- visualizar el contenido de la memoria RAM
- crear un informe del sistema.
- Numerosas herramientas de investigación
- Instalador para unidades USB
- Access Data Forensic Tool Kit (Ftk)
Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos.
FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico. Sus principales funciones son:
- Fácil de usar
- Opciones de búsqueda avanzadas
- Registry viewer
- Análisis de correo electrónico y de archivos zip
- Diseño de capa de base de datos
- Montaje seguro de dispositivos remotos
- Forense Toolkit (TCT)
TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).
- Caine
CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.
Los objetivos de diseño principales de CAINE son los siguientes:
-Un entorno interoperable que admite el investigador digital durante las fases de la investigación digital
- Una interfaz gráfica de usuario amigable
- una recopilación semiautomática del informe final
- Herramientas para el Monitoreo y/o Control de Computadores
Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas
que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente “KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones.
- Herramientas de Marcado de documentos
Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente.
El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes.
- Herramientas de Hardware
Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como el DIBS “Portable Evidence Recovery Unit”.
Construcción de un kit de herramientas de informática forense
Los Kits de herramientas para informática forense vienen en dos tipos: uno que puede montar directamente el investigador y otro el prefabricada que se puede descargar o comprar, hay que tener en cuenta que en algunos momentos de la investigación forense se necesite controlar el trafico de datos y romper la contraseñas, por ello, el kit forense debe contener los programas necesarios para realizar cada una de estas tareas.
Para crear su kit de herramientas personalizado puede hacerlo a través de una combinación de utilidades freeware y/o shareware. Los siguientes son los tipos de herramientas que deben ser incluidos la hora de realizar un examen de informática forense básica:
-Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un rastreador de red)
- Una utilidad para crear imágenes de disco o clones a nivel de bits
- Una herramienta para crackear las contraseñas
- Una herramienta que informa sobre puertos TCP / IP abiertos y detecte las procedencias de esos puertos
- Una herramienta para recuperar borrados (borrado) de datos
- Una utilidad para realizar copias de seguridad y editar el Registro de Windows
- Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real
- Una herramienta para analizar las propiedades del archivo
- Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo real
- Una utilidad que muestra los recursos compartidos de red tanto local y remota
- Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión y el uso de privilegios
- Una herramienta que muestra los archivos abiertos, los procesos de objetos, las claves de registro, archivos DLL y los propietarios de los procesos de objetos
Las Investigaciones forenses en algunas ocasiones ameritan la captura de datos en tiempo real a medida que viajan a través de la red computacional de una organización. Estos datagramas a medida que atraviesan una red se les conocen como paquetes Sniffing, entre los caules se tiene:
• Snort: es un programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP. Mientras que sobresale como un sistema de detección de intrusiones, también puede ser utilizado como un analizador de paquetes. Para más información o para descargar una copia, visite www.snort.org.
• Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red. Este paquete sniffer se puede descargar en www.nextgenss.com / products / ngssniff.html.
• Ethereal: es un analizador de protocolos de red gratuito con versiones para Unix y sistemas operativos de Windows. Le permite examinar datos de una red activa o de un archivo de captura en disco. Se puede descargar desde www.ethereal.com.
Ten en cuenta que las nuevas tecnologías y los dispositivos electrónicos son uno de los elementos más usados en la actualidad a la hora de cometer delitos. Por ejemplo, en los últimos años han aumentado de forma exponencial las pruebas en juicios basadas en correos electrónicos o mensajes de WhatsApp. trabajo perfecto para un perito informatico
ResponderEliminarEl perito informatico galicia es el profesional encargado de asesorar a un juez respecto a temas informáticos. La principal función de este consiste en analizar elementos informáticos y encontrar datos que puedan utilizarse como prueba o indicio útil para el litigio jurídico que se le ha asignado. De hecho, en los últimos años el peritaje informático se ha convertido en una prueba esencial en muchos casos. Por tanto, el perito judicial es el que muestra la veracidad de las pruebas presentadas en un proceso legal. Si quieres enfocar tu carrera profesional hacia este sector, echa un vistazo al Curso de análisis de datos.
ResponderEliminarLos peritos informáticos son profesionales altamente capacitados en el análisis de sistemas y dispositivos informáticos. Estos expertos pueden realizar análisis forenses de discos duros, bases de datos y otros dispositivos electrónicos para determinar la causa de un problema o para presentar pruebas en casos legales. El perito informático también puede brindar asesoramiento en casos de seguridad informática y protección de datos.
ResponderEliminar