Llegamos a ustedes gracias a:



Noticias

La Forse presenta herramientas para el análisis forense digital

André Loyola, ejecutivo de La Forse

[05/02/2019] Analizar el contenido de una memoria USB no es simplemente conectarla a una computadora para ver qué archivos se encuentran dentro. Eso sería un error equivalente a levantar el arma encontrada en una escena de crimen con las manos desnudas, sin guantes.

El USB se debe conectar antes a una máquina denominada 'bloqueador' que evita que se altere su contenido; es más, esta máquina también puede proporcionar información sobre el número de serie de la memoria o impedir que el programa antivirus de la computadora a la cual se conecta el dispositivo borre automáticamente un archivo si éste se encontrara infectado.

Como este dispositivo, se mostraron otros que conforman la cartera de soluciones para análisis forense digital que ofrece La Forse, una firma dedicada al análisis forense en el Perú, que a través de André Loyola, ejecutivo de la empresa, presentó estas soluciones.

Algunas definiciones

Loyola comenzó señalando algunas definiciones que servirían para entender el ámbito de uso de la ciencia forense. En primer lugar, sostuvo que la ciencia forense no tiene como objetivo evitar los delitos o incidentes -de ello se encarga la seguridad informática- sino de realizar la investigación que se produce luego de producido un evento.

Dicho esto, pasó a otro término: el principio de intercambio de Locard. En él básicamente se señala que siempre que dos objetos entran en contacto, éstos transfieren parte del material que incorporan al otro objeto. Por ello es necesario aparatos como el mencionado al inicio de esta nota.

Es más, para poder asegurar que lo que se encuentre en un dispositivo pueda ser usado correctamente luego en un proceso, es necesario seguir ciertos lineamientos que se basan en diversas normas ISO. Loyola resumió estos lineamientos en cuatro pasos: la identificación, adquisición, análisis y presentación. Cada uno de ellos es muy importante pues si no se siguen se puede romper la llamada 'cadena de custodia'.

La identificación, por ejemplo, es muy importante pues de no hacerse bien podría dejar las puertas abiertas para alterar los hallazgos. Si un USB encontrado en una oficina simplemente se identifica por su color y su marca, sería muy fácil poder luego cambiarlo por otro similar, y alterar así los hallazgos. Se debe indicar su número de serie para tener una mayor seguridad en la identificación.

Otro de los pasos muy importantes es la adquisición. Éste básicamente consiste en obtener una copia exacta de los indicios binarios que contienen posible evidencia digital. Esta actividad se debe realizar mediante software y hardware forense que evite la posible contaminación o alteración de la fuente de origen, generando una firma de seguridad (usando MD5, SHA-1, SHA-128, etc.).

Finalmente, se realiza el análisis, el cual consiste en la actividad de buscar evidencia digital en un archivo de copia forense (indicios binarios) para lo cual se debe usar, nuevamente, software forense especializado.

En el primer ejemplo que se propuso -el del USB- claramente nos estamos refiriendo a la adquisición, y el 'bloqueador' es uno de esos dispositivos forenses especializados que se debe utilizar.

La cartera

Existen diversas compañías que se dedican a la creación de soluciones forenses. Una de ellas es MSAB. Esta firma tiene soluciones para la extracción o adquisición (XRY) y el análisis (XAMN). Sus productos se ofrecen bajo distintas plataformas que van desde MSAB Office hasta MSAB Tablet; es decir, desde dispositivos grandes a pequeños.

Office, por ejemplo, es una maleta de tamaño mediano que Loyola denominó como el sistema completo con el que debe contar todo laboratorio forense. En él se encuentran incluso cables para todo tipo de puertos de teléfonos móviles y tabletas.

Y en cuanto a los campos en los que se especializan las soluciones de esta compañía se tienen ofertas que incluyen la nube e incluso los drones. También destaca una solución llamada XAMN Horizon que analiza los datos de los dispositivos y busca las relaciones entre diversas personas, ofreciendo una visualización amigable de los datos encontrados.

Otra de las marcas presentadas fue Tableau, de la compañía Guidance Software pero que fue adquirida por Opentext. Tableau ofrece, por ejemplo, un dispositivo para encontrar contraseñas mediante la técnica de fuerza bruta, pero además presenta los bloqueadores de los que hablamos en un inicio y duplicadores forenses. Incluso ofrece estos dispositivos en un case similar al de un pequeño servidor que se puede usar en una oficina, o los bloqueadores de pequeño tamaño (de un libro) que se pueden llevar 'al campo'.

Finalmente, presentó Magnet Axiom, una marca que ofrece la adquisición y el análisis pero que se caracteriza por mostrar la información de una manera mucho más amigable que las otras marcas. Por ejemplo, al analizar un dispositivo se muestra un panel de logos con los cuales uno puede escoger el tipo de análisis que se va a realizar, como marcar los logos de los navegadores más conocidos, o los logos de los servicios de chat más conocidos. Incluso puede buscar en redes sociales tan antiguas como Hi5 o MySpace.

Las demostraciones se realizaron frente a un auditorio compuesto básicamente por funcionarios de las instituciones de seguridad, de Lima y provincias.