Cómo construir su propio laboratorio forense digital
Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han pisoteado la evidencia digital como un oficial de policía novato en su primera escena del crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en la corte, o peor, el sospechoso sabe que está siendo investigado.
Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito, usted puede construir fácilmente su propio equipo básico de laboratorio forense que le permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante, recuperar una valiosa evidencia para todas sus investigaciones.
Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la computadora o el disco rígido del sospechoso.
En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora, desde el punto de análisis forense, genera un cambio en el disco rígido.
Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:
- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energéticamente hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.
- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rígido del sospechoso mientras se encuentre buscando de evidencias.
Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil momento en la corte.
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas: link http://www.cxo-community.com/articulos/blogs/blogs-seguridad-forense/3508-icomo-construir-su-propio-laboratorio-forense-digital.html.
Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de bajo costo forense.
Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han pisoteado la evidencia digital como un oficial de policía novato en su primera escena del crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en la corte, o peor, el sospechoso sabe que está siendo investigado.
Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito, usted puede construir fácilmente su propio equipo básico de laboratorio forense que le permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante, recuperar una valiosa evidencia para todas sus investigaciones.
Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la computadora o el disco rígido del sospechoso.
En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora, desde el punto de análisis forense, genera un cambio en el disco rígido.
Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:
- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energéticamente hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.
- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rígido del sospechoso mientras se encuentre buscando de evidencias.
Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil momento en la corte.
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas, Guía de bolsillo.
Mejores Prácticas para Aprovechar Pruebas Electrónicas v3
View more documents from CXO Community.
Con esas normas en claro, nada le impide realizar la construcción de una configuración básica de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la misma) y la revisión de la misma para la obtención de evidencias.
El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente, encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40 GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede ayudarle de forma rápida y fácil cómo extraer la unidad.
Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar o construir.
Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios. Personalmente uso Logicube's Portable Forensic Lab (http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades portátiles de unos pocos cientos de dólares que funcionan muy bien también.
Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su configuración/registro, puede lograr la imagen de datos como un profesional.
Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser recomendable si usted no está familiarizado con la tecnología de la computadora.)
Haga clic en el botón Inicio y escriba Regedit y pulse Intro.
Navegue a través de HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control.
Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva clave FORENSICWRITEBLOCK.
Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword. Llame al nuevo Dword WriteProtect.
Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y pulse Aceptar.
Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a cero.)
Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento de copia de archivos fallará.
Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un momento posterior por usted o por un tercero y llevar a cabo la información a la corte.
Para hacer una imagen forense, descargue Accessdata's FTK Imager 2.6.1 (http://accessdata.com/) En el mercado forense hay muchos programas de código abierto, software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia. FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando "Agregar evidencia". En esta función, Imagen actúa tanto como el Explorador de Windows, pero le mostrará muchos archivos borrados marcados con una X.
Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata, ofrecen soluciones de software que organizan los documentos del sospechoso, correos electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas; crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte técnico excelente.
Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia. Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted emplea en conectar los puntos y el ordenarlos de manera inteligente a través de una gran cantidad volumen de información.
Fuente: http://www.cxo-community.com/articulos/blogs/blogs-seguridad-forense/3508-icomo-construir-su-propio-laboratorio-forense-digital.html
Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito, usted puede construir fácilmente su propio equipo básico de laboratorio forense que le permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante, recuperar una valiosa evidencia para todas sus investigaciones.
Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la computadora o el disco rígido del sospechoso.
En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora, desde el punto de análisis forense, genera un cambio en el disco rígido.
Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:
- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energéticamente hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.
- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rígido del sospechoso mientras se encuentre buscando de evidencias.
Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil momento en la corte.
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas: link http://www.cxo-community.com/articulos/blogs/blogs-seguridad-forense/3508-icomo-construir-su-propio-laboratorio-forense-digital.html.
Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de bajo costo forense.
Con demasiada frecuencia un compañero se pone en contacto en estado de pánico, para recuperar archivos borrados de un disco rígido de un sospechoso, después que mis colegas han pisoteado la evidencia digital como un oficial de policía novato en su primera escena del crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en la corte, o peor, el sospechoso sabe que está siendo investigado.
Con el hardware apropiado que usted probablemente ya tiene disponible en línea y gratuito, usted puede construir fácilmente su propio equipo básico de laboratorio forense que le permitirá ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo más importante, recuperar una valiosa evidencia para todas sus investigaciones.
Esta es la regla fundamental en el inicio de cualquier investigación forense: No toque la computadora o el disco rígido del sospechoso.
En la televisión se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesión en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratón, o incluso el simple acto de encender la computadora, desde el punto de análisis forense, genera un cambio en el disco rígido.
Estos son los dos pasos críticos que debe tener en cuenta desde el inicio:
- En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energéticamente hablando). En el caso de computadoras portátiles se deberá extraer su batería para apagar el sistema. Este cierre repentino congela las pruebas del disco rígido manteniéndolas en su lugar.
- En segundo lugar, no intente leer el disco rígido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rígido del sospechoso mientras se encuentre buscando de evidencias.
Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difícil momento en la corte.
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas, Guía de bolsillo.
Mejores Prácticas para Aprovechar Pruebas Electrónicas v3
View more documents from CXO Community.
Con esas normas en claro, nada le impide realizar la construcción de una configuración básica de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la misma) y la revisión de la misma para la obtención de evidencias.
El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente, encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40 GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede ayudarle de forma rápida y fácil cómo extraer la unidad.
Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar o construir.
Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios. Personalmente uso Logicube's Portable Forensic Lab (http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades portátiles de unos pocos cientos de dólares que funcionan muy bien también.
Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su configuración/registro, puede lograr la imagen de datos como un profesional.
Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser recomendable si usted no está familiarizado con la tecnología de la computadora.)
Haga clic en el botón Inicio y escriba Regedit y pulse Intro.
Navegue a través de HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control.
Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva clave FORENSICWRITEBLOCK.
Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword. Llame al nuevo Dword WriteProtect.
Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y pulse Aceptar.
Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a cero.)
Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento de copia de archivos fallará.
Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un momento posterior por usted o por un tercero y llevar a cabo la información a la corte.
Para hacer una imagen forense, descargue Accessdata's FTK Imager 2.6.1 (http://accessdata.com/) En el mercado forense hay muchos programas de código abierto, software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia. FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando "Agregar evidencia". En esta función, Imagen actúa tanto como el Explorador de Windows, pero le mostrará muchos archivos borrados marcados con una X.
Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata, ofrecen soluciones de software que organizan los documentos del sospechoso, correos electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas; crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte técnico excelente.
Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia. Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted emplea en conectar los puntos y el ordenarlos de manera inteligente a través de una gran cantidad volumen de información.
Fuente: http://www.cxo-community.com/articulos/blogs/blogs-seguridad-forense/3508-icomo-construir-su-propio-laboratorio-forense-digital.html
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios