Transcript
The World Leader in eDiscovery & Digital Investigations™
Análisis del software forense informático EnCase Forensics
Pablo Llanos. Técnico de I+D de Ondata International.
© 2008 Guidance Software, Inc. All Rights Reserved.
�Ondata International: Un reconocido prestigio en seguridad informática
P A G E 2
Especialistas en análisis forenses informáticos (Computer Forensics) encaminados a la consecución de evidencias digitales sobre cualquier medio digital.
© 2008 Guidance Software, Inc. All Rights Reserved.
�The World Leader in eDiscovery & Digital Investigations™
EnCase® Forensics
Enforce legal holds and automatically search, identify, collect, preserve and process electronically stored information across the network
© 2008 Guidance Software, Inc. All Rights Reserved.
�Estándar en la ciencia forense informática
P A G E 4
¿Quién se beneficia con EnCase?
Desarrolladores de casos Examinadores de análisis forense Demandantes Unidades de investigación de explotación de menores Examinadores de fraudes Espacialistas en idiomas Unidades de investigación de delitos financieros Unidades de investigación de delitos sexuales Unidades de investigación de robos y homicidios Unidades de investigación de bandas delictivas Unidades de investigación de personas desaparecidas Seguridad nacional Unidades de invetigación de narcóticos y corrupción Unidades legales
© 2008 Guidance Software, Inc. All Rights Reserved.
�Beneficios y funciones
P A G E 5
EnCase Forensics ayuda a… Resolver más casos Encontrar evidencias para sumar cargos en una misma investigación Obtener condenas más largas Incrementar la cantidad de acuerdos entre la fiscalía y la defensa Crear una extensa base de datos vinculada (por ejemplo, bandas delictivas, crimen organizado, etc.)
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Descripción del producto
P A G E 6
Sencillez en el manejo de investigaciones muy complejas Capacidad para buscar y analizar grandes cantidades de datos de forma rápida y sencilla. Multiples sistemas de archivos y lenguajes. Permite capturar, analizar y generar informes sobre evidencia digital Posibilidad de recolectar inteligencia procesable desde cualquier actividad en Internet, sesión de Chat, correo electrónico, documentos gráficos, libretas de direcciones, etc. Recupera evidencias digitales que residan en archivos eliminados, discos reformateados, espacio de intercambio, archivos ocultos, colas de impresión, etc. Ayuda a revisar datos de difícil acceso, incluidos los archivos de sistema y los datos cifrados.
© 2008 Guidance Software, Inc. All Rights Reserved.
�Casos de Estudio:
La evidencia digital contra los delitos violentos
P A G E 7
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Descripción del producto
P A G E 8
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Descripción del producto
P A G E 9
Las evidencias electrónicas provienen de medios que de alguna manera establecen conexiones entre sí, tanto en redes centralizadas (Intranet) como descentralizadas (Internet) o distribuidas (redes sociales)
La investigación de estas evidencias digitales nos lleva a establecer conexiones entre las personas que utilizan estos medios
© 2008 Guidance Software, Inc. All Rights Reserved.
�Metodología de fucionamiento
P A G E 10
1. Crear una imagen del dispositivo sospechoso 2. Comprobar identidad criptográfica de la imagen (MD5) 3. Analizar datos del dispositivo sospechoso 4. Buscar evidencias y generar documentos
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
¿Cómo funciona?
P A G E 11
Obtiene adquisiciones válidas a efectos legales Ahorra tiempo con funciones de productividad avanzadas Permite la personalización de las funciones a través de la programación EnScript Proporciona datos procesables y genera informes
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Lista de Características y Funciones
P A G E 12
Adquisición (Señalización de errores, reinicio de la adquisición, archivos de evidencia lógica, verificación CRC y MD5, LinEn para linux y WinEn para RAM) Herramientas de automatización (EnScript, filtros y condiciones, análisis de hardware, recuperación de particiones y de archivos eliminados) Funciones de análisis (Analizador de registro de eventos de Windows, análisis de firmas de archivos y de hash, buscador de datos en espacio no asignado) Visores (Visualización nativa para 400 formatos, visor de registro, visor de imágenes integrado, visor de linea de tiempo) Búsqueda (Por índice Unicode, por proximidad, en datos binarios sin procesar, GREP, palabras clave en varios idiomas, big endian/little endian) Generación de informes (lista de todos los archivos y carpetas de un caso, direcciones URL, informes de respuesta a incidentes, registros, información del HDD, enformato RTF o HTML)
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Lista de Características y Funciones
P A G E 13
Funciones de Marcador (datos resaltados, notas, información de carpetas, bookmarks, archivos relevantes, grupos de archivos) Investigación del uso de internet: Análisis del historial web (Objetos de Internet, análisis de la memoria caché y del historial web, analizador de HTML, reconstrucción de páginas, herramientas Kazaa, análisis de mensajería instantánea) Investigación del uso de internet: Análisis del correo electrónico (archivos PST y OST (outlook) , archivos DBX (outlook express), EDB (Exchange), Lotus Notes, PFC (AOL), Yahoo, Hotmail, Netscape Mail, Mbox) Compatibilidad del sistema (RAID, disco dinámico Windows Server, máquinas virtuales VMWare, VirtualPC, DD, Safeback, Sistemas de Archivos FAT12/16/32, NTFS (Windows), HFS y HFS+ (Apple), UFS, ZFS (Sun Solaris), EXT2/3 (Linux), Reiser de BSD, FFS, FFS2, UFS2 de FreeBSD, NSS y NWFS deNovell, AIX jfs de IBM, JFS, TiVo, CDFS, Joliet, DVD, UDF, ISO9660 y Palm.
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics Utilización
P A G E 14
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Demostración
P A G E 15
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics Utilización
P A G E 16
En el CD de demostración encontramos una versión completa de EnCase con dos archivos de evidencias correspondientes a dos casos de estudio: Hunter XP.E01: Una imágen de un disco duro sospechoso MS E-mail Files.E01: Un archivo de evidencias de correo electrónico.
© 2008 Guidance Software, Inc. All Rights Reserved.
�EnCase Forensics
Demostración: Interfaz GUI de EnCase
P A G E 17
© 2008 Guidance Software, Inc. All Rights Reserved.
�¿Somos buenos investigadores?
P A G E 18
Tras el análisis de los archivos de evidencia deberíamos ser capaces de demostrar que hay pruebas que incriminan a un secuestrador y que se ha producido un delito a cargo de unos lamers / crackers.
© 2008 Guidance Software, Inc. All Rights Reserved.
�¿Somos buenos investigadores?
P A G E 19
Suerte, busquen las pruebas, y recuerden: las evidencias están en el ordenador, y los ordenadores no mienten Muchas gracias por su atención
© 2008 Guidance Software, Inc. All Rights Reserved.
�