Con la tecnología avanzando de manera constante hasta en el punto de que en cada puesto de trabajo y en cada casa encontramos uno o más ordenadores. No es de extrañar entonces que cada minuto del día se produzcan actos delictivos en los que hay un ordenador implicado.
El ordenador en un testigo infalible: no puede mentir. La evidencia digital contiene información de las actividades de un sospechoso, registradas con sus palabras y acciones directas que los investigadores deben ser capaces de filtrar. Para realizar esta labor, necesitan una solución potente que los ayude a generar la evidencia para denuncias existentes, identificar complices, incremetnar denuncias y proporcionar pistas para otras investigaciones no resueltas.
La ciencia forense proporciona numerosas respuestas que impliquen cualquier tipo de delito. Pero la búsqueda de estas respuestas lleva tiempo. La manipulación y el descubrimiento de pruebas digitales parece bastante evidente. La tecnología forense digital incluye las ciencias forenses de descubrir las pruebas de un medio tecnológico. EnCase es un poco conocido pero muy utilizado software para realizar esta labor.
EnCase Forensic es la solución tecnológica estándar que permite capturar, analizar y generar informes sobre evidencia digital. Con EnCase es posible recolectar inteligencia procesable desde cualquier actividad en Internet, sesión de Chat, correo electrónico, documentos gráficos, libretas de direcciones, etc.
También es capaz de recuperar evidencias digitales que residan en archivos eliminados, discos reformateados, espacio de intercambio, archivos ocultos, colas de impresión, etc. Así como ayuda a revisar datos a los que otras herramientas no pueden acceder, incluidos los archivos de sistema y los datos cifrados.
La tecnología que utiliza EnCase Forensics está validada por los tribunales, partiendo de un desarrollo en colaboración con las áreas de cumplimiento de leyes por lo que ayuda a los investigadores en una correcta metodología de recolección y preservación de evidencias digitales.
Descripción del producto
EnCase Forensic es actualmente el estándar de la industria en tecnología de investigación forense digital. Una vez conocido su manejo por el investigador resulta extremadamente sencillo, especialmente con el manejo de investigaciones muy complejas. La capacidad de analizar y buscar grandes cantidades de datos de forma rápida y sencilla es una capacidad crítica de cualquier respuesta a incidentes, investigación en equipos informáticos o herramienta de análisis. EnCase ofrece la forma más avanzada, completa y fácil de llevar a cabo estas complicadas y laboriosas tareas, en múltiples sistemas de archivos y de lenguajes
EnCase también proporciona un potente motor de búsqueda que le permite buscar información específica dentro de la dispositivos sospechosos. La búsqueda aproximada permite la búsqueda de palabras clave específicas o detalles. La búsqueda de Internet y correo electrónico permite la búsqueda de diversas entidades de correo electrónico a en numerosas máquinas. Un alto número de otras opciones para la búsqueda se permite a través de datos a través de la Opciones de búsqueda de EnCase.
Cómo funciona
EnCase tiene la capacidad para recoger datos forenses en una amplia gama de plataformas de sistemas operativos. Con frecuencia, en los casos de ordenadores, los delincuentes pueden tratar de borrar la información pertinente. EnCase es capaz de encontrar esta información, a pesar de los esfuerzos realizados para ocultar, encubrir o borrar.
Teniendo un dispositivo sospechoso, ya sea un disco duro instalado, o una unidad externa, los archivos se copian de estos dispositivos y se almacenan como imágenes.
1. Crear una imagen del dispositivo sospechoso
2. Comprobar identidad criptográfica de la imagen (MD5)
3. Analizar datos del dispositivo sospechoso
4. Buscar evidencias y generar documentos
Estas copias de imágenes se verifican vía MD5. El algoritmo Message Digest 5 se usa para comprobar la integridad de los archivos en los datos de análisis forense. Una vez que el contenido de el dispositivo es analizado, la información detallada es presentada y documentada.
La información detallada puede ser cualquier cosa, desde cuándo un archivo se oculta o se elimina, hasta la información del correo electrónico (remitente, receptor, mensaje, etc) o la referente a los archivos temporales de Internet y las cookies.
La información encontrada puede ser generada también dentro de un sencillo documento de informe. Los informes pueden ser generados automáticamente. Estos informes automáticos muestran una gran cantidad de información dependiendo del tipo que se generan. Ciertos ítems que se incluyen en el informe pueden ser resaltados. Estos son componentes individuales que la información del disco contiene en el informe de EnCase. Existen diferentes tipos de bookmarks para resaltar daos, notas, archivos importantes, etc. Estos informes podrán ser utilizados directamente para presentarlos en una vista judicial.
Utilización
La informática forense implica la conservación, identificación, extracción, documentación e interpretación de datos informáticos. Los ordenadores desempeñan el papel de foco del delito, pudiendo ser la víctima del crimen y/o el almacén de la misma. Las investigaciones basadas en el análisis forense informático incluyen el análisis del correo electrónico, registro de archivos, navegación web y actividad en Internet, investigación en caliente y respuesta a incidentes, análisis estáticos y dinámicos de los ejecutables desconocidos.
La mayoría de los usos de EnCase se basan en la realización periódica de imágenes de archivos de ordenadores y los medios de almacenamiento. A pesar de este hecho, las fases más críticas de la investigación suelen incluir el análisis de objetos relacionados con Internet y el correo electrónico.
Referencias
1. Guidance Software: EnCase Forensics. http://www.guidancesoftware.com/products/ef_index.asp. September 15, 2007.
2. Guidance Software. EnCase Forensic Detailed Product Description. 2006: Pasadena, California.
3. Guidance Software. EnCase Enterprise Detailed Product Description. April 2005.
4. Guidance Software. Evidentiary Authentication within the EnCase Enterpise Process. June 2003.
El modelo en concreto pertenece a la serie Scorpio Blue. Junto al disco duro de 1 TB para portátiles, llega otro disco duro de 750 MB. Ambos SATA contasas de transferencia de datos de 3 GB por segundo y 333 MB por plato.
