HERRAMIENTAS DE SOFTWARE UTILIZADAS EN LA INFORMÁTICA FORENSE.
En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:
• La gran cantidad de datos que pueden estar almacenados en un computador.
• La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.
• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar archivos de computadores.
• Mecanismos de encriptación, o de contraseñas.
EnCase: EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de EnCase se relacionan a continuación: Copiado Comprimido de Discos Fuente
• Búsqueda y Análisis de Múltiples partes de archivos adquiridos
• Diferente capacidad de Almacenamiento
• Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
• Análisis Compuesto del Documento.
• Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
• Firmas de archivos, Identificación y Análisis
• Análisis Electrónico Del Rastro De Intervención.
• Soporte de Múltiples Sistemas de Archivo.
• Vista de archivos y otros datos en el espacio Unallocated.
• Genera el reporte del proceso de la investigación forense como un estimado.
• Visualizador Integrado de imágenes con Galería
OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:
• buscar textos e imágenes
• recopilar rastros de actividad
• buscar archivos borrados y disfrazados
• visualizar el contenido de la memoria RAM
• crear un informe del sistema.
• Numerosas herramientas de investigación
• Instalador para unidades USB
Base de datos de firmas (hash sets)
• Gestor de casos y generador de informes
Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtro y búsqueda de archivos, Sus principales
funciones son:
• Fácil de usar
• Opciones de búsqueda avanzadas
• Registry viewer
• Análisis de correo electrónico y de archivos zip
• Diseño de capa de base de datos
• Montaje seguro de dispositivos remotos
Forense Toolkit: TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).
CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable
Clasificación de herramientas para informática forense.
Herramientas para el Monitoreo y/o Control de Computadores: Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información
Herramientas de Marcado de documentos: Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente.
Herramientas de Hardware: Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como el DIBS “Portable Evidence Recovery Unit”.
Construcción de un kit de herramientas de informática forense.
El componente esencial de toda la investigación del delito informático es como se hace la recolección de las evidencias, esto es esencial para la investigación ya que se puede extraer y proporcionar información detallada sobre un equipo o red de trabajo que se haya atacado. Para crear su kit de herramientas personalizado puede hacerlo a través de una combinación de utilidades freeware y/o shareware. Los siguientes son los tipos de herramientas que deben ser incluidos la hora de realizar un examen de informática forense básica:
• Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un rastreador de red)
• Una utilidad para crear imágenes de disco o clones a nivel de bits
• Una herramienta para crackear las contraseñas
• Una herramienta que informa sobre puertos TCP / IP abiertos y detecte las procedencias de esos puertos
• Una herramienta para recuperar borrados (borrado) de datos
• Una utilidad para realizar copias de seguridad y editar el Registro de Windows
• Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real
• Una herramienta para analizar las propiedades del archivo
• Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo real
• Una utilidad que muestra los recursos compartidos de red tanto local y remota
• Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión y el uso de privilegios
• Una herramienta que muestra los archivos abiertos, los procesos de objetos, las claves de registro, archivos DLL y los propietarios de los procesos de objetos
Utilizando rastreadores de paquetes para reunir pruebas.
Las Investigaciones forenses en algunas ocasiones ameritan la captura de datos en tiempo real a medida que viajan a través de la red computacional de una organización. Estos datagramas a medida que atraviesan una red se les conocen como paquetes Sniffing, y los programas diseñados para detectaros son llamados sniffers, analizadores de protocolo o analizadores de red.
Snort: es un programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP.
Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red.
Ethereal: es un analizador de protocolos de red gratuito con versiones para Unix y sistemas operativos de Windows.
Recomendaciones Sobre el uso de software
El software se clasifica para su uso en los denominados propietarios y los de uso libre, los de tipo propietario requieren la compra de una licencia de funcionamiento con la cual se subscribe un contrato de uso y no de propiedad del software entre los productores de software y los usuarios, al adquirir la licencia de uso no se “compra” los códigos fuentes del programa y la utilización queda restringida a lo que el productor provee.
No hay comentarios:
Publicar un comentario