The World Leader in eDiscovery & Digital Investigations™

© 2008 Guidance Software, Inc. All Rights Reserved.

Análisis del software forense informático EnCase ForensicsAnálisis del software forense informático EnCase Forensics

Pablo Llanos. Técnico de I+D de Ondata International.

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 2

Ondata International: Un reconocido prestigio en seguridad informáticaOndata International: Un reconocido prestigio en seguridad informática

Especialistas en análisis forenses informáticos (Computer Forensics) encaminados a la consecución de evidencias digitales sobre cualquier medio digital.

The World Leader in eDiscovery & Digital Investigations™

© 2008 Guidance Software, Inc. All Rights Reserved.

EnCase® ForensicsEnCase® ForensicsEnforce legal holds and automatically search, identify, collect, preserve and process electronically stored information across the network

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 4

Estándar en la ciencia forense informáticaEstándar en la ciencia forense informática

¿Quién se beneficia con EnCase? Desarrolladores de casos Examinadores de análisis forense Demandantes Unidades de investigación de explotación de menores Examinadores de fraudes Espacialistas en idiomas Unidades de investigación de delitos financieros Unidades de investigación de delitos sexuales Unidades de investigación de robos y homicidios Unidades de investigación de bandas delictivas Unidades de investigación de personas desaparecidas Seguridad nacional Unidades de invetigación de narcóticos y corrupción Unidades legales

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 5

Beneficios y funcionesBeneficios y funciones

EnCase Forensics ayuda a…

Resolver más casos

Encontrar evidencias para sumar cargos en una misma investigación

Obtener condenas más largas

Incrementar la cantidad de acuerdos entre la fiscalía y la defensa

Crear una extensa base de datos vinculada (por ejemplo, bandas delictivas, crimen organizado, etc.)

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 6

EnCase ForensicsDescripción del productoEnCase ForensicsDescripción del producto

Sencillez en el manejo de investigaciones muy complejas

Capacidad para buscar y analizar grandes cantidades de datos de forma rápida y sencilla.

Multiples sistemas de archivos y lenguajes.

Permite capturar, analizar y generar informes sobre evidencia digital

Posibilidad de recolectar inteligencia procesable desde cualquier actividad en Internet, sesión de Chat, correo electrónico, documentos gráficos, libretas de direcciones, etc.

Recupera evidencias digitales que residan en archivos eliminados, discos reformateados, espacio de intercambio, archivos ocultos, colas de impresión, etc.

Ayuda a revisar datos de difícil acceso, incluidos los archivos de sistema y los datos cifrados.

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 7

Casos de Estudio:La evidencia digital contra los delitos violentosCasos de Estudio:La evidencia digital contra los delitos violentos

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 8

EnCase ForensicsDescripción del productoEnCase ForensicsDescripción del producto

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 9

EnCase ForensicsDescripción del productoEnCase ForensicsDescripción del producto

Las evidencias electrónicas provienen de medios que de alguna manera establecen conexiones entre sí, tanto en redes centralizadas (Intranet) como descentralizadas (Internet) o distribuidas (redes sociales)

La investigación de estas evidencias digitales nos lleva a establecer conexiones entre las personas que utilizan estos medios

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 10

Metodología de fucionamientoMetodología de fucionamiento

1. Crear una imagen del dispositivo sospechoso2. Comprobar identidad criptográfica de la imagen (MD5)3. Analizar datos del dispositivo sospechoso4. Buscar evidencias y generar documentos

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 11

EnCase Forensics¿Cómo funciona?EnCase Forensics¿Cómo funciona?

Obtiene adquisiciones válidas a efectos legales

Ahorra tiempo con funciones de productividad avanzadas

Permite la personalización de las funciones a través de la programación EnScript

Proporciona datos procesables y genera informes

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 12

EnCase ForensicsLista de Características y FuncionesEnCase ForensicsLista de Características y Funciones

Adquisición (Señalización de errores, reinicio de la adquisición, archivos de evidencia lógica, verificación CRC y MD5, LinEn para linux y WinEn para RAM)

Herramientas de automatización (EnScript, filtros y condiciones, análisis de hardware, recuperación de particiones y de archivos eliminados)

Funciones de análisis (Analizador de registro de eventos de Windows, análisis de firmas de archivos y de hash, buscador de datos en espacio no asignado)

Visores (Visualización nativa para 400 formatos, visor de registro, visor de imágenes integrado, visor de linea de tiempo)

Búsqueda (Por índice Unicode, por proximidad, en datos binarios sin procesar, GREP, palabras clave en varios idiomas, big endian/little endian)

Generación de informes (lista de todos los archivos y carpetas de un caso, direcciones URL, informes de respuesta a incidentes, registros, información del HDD, enformato RTF o HTML)

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 13

EnCase ForensicsLista de Características y Funciones EnCase ForensicsLista de Características y Funciones

Funciones de Marcador (datos resaltados, notas, información de carpetas, bookmarks, archivos relevantes, grupos de archivos)

Investigación del uso de internet: Análisis del historial web (Objetos de Internet, análisis de la memoria caché y del historial web, analizador de HTML, reconstrucción de páginas, herramientas Kazaa, análisis de mensajería instantánea)

Investigación del uso de internet: Análisis del correo electrónico (archivos PST y OST (outlook) , archivos DBX (outlook express), EDB (Exchange), Lotus Notes, PFC (AOL), Yahoo, Hotmail, Netscape Mail, Mbox)

Compatibilidad del sistema (RAID, disco dinámico Windows Server, máquinas virtuales VMWare, VirtualPC, DD, Safeback, Sistemas de Archivos FAT12/16/32, NTFS (Windows), HFS y HFS+ (Apple), UFS, ZFS (Sun Solaris), EXT2/3 (Linux), Reiser de BSD, FFS, FFS2, UFS2 de FreeBSD, NSS y NWFS deNovell, AIX jfs de IBM, JFS, TiVo, CDFS, Joliet, DVD, UDF, ISO9660 y Palm.

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 14

EnCase ForensicsUtilizaciónEnCase ForensicsUtilización

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 15

EnCase ForensicsDemostraciónEnCase ForensicsDemostración

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 16

EnCase ForensicsUtilizaciónEnCase ForensicsUtilización

En el CD de demostración encontramos una versión completa de EnCase con dos archivos de evidencias correspondientes a dos casos de estudio:

Hunter XP.E01: Una imágen de un disco duro sospechoso

MS E-mail Files.E01: Un archivo de evidencias de correo electrónico.

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 17

EnCase ForensicsDemostración: Interfaz GUI de EnCaseEnCase ForensicsDemostración: Interfaz GUI de EnCase

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 18

¿Somos buenos investigadores?¿Somos buenos investigadores?

Tras el análisis de los archivos de evidencia deberíamos ser capaces de demostrar que hay pruebas que incriminan a un secuestrador y que se ha producido un delito a cargo de unos lamers / crackers.

© 2008 Guidance Software, Inc. All Rights Reserved.

P A G E 19

¿Somos buenos investigadores?¿Somos buenos investigadores?

Suerte, busquen las pruebas, y recuerden: las evidencias están en el ordenador, y los ordenadores no mienten

Muchas gracias por su atención