04/05/2024

FCA

Forensic Tool

ENCASE FORENSIC – V20.3

Guido Rosales 10/08/2020

En días recientes, Opentext ha liberado una actualización de su popular herramienta para la investigación forense de evidencia digital, ENCASE FORENSIC, ahora en la versión 20.3

Sin duda le tengo un cariño especial a ENCASE, son mas de 10 años con esta herramienta

Entrenamiento ENCE. Buenos Aires 2010

Que podemos ver hasta ahora:
1️⃣ Vemos con mucho agrado que mantiene ese motor de EnScripts (c++ y java) para poder personalizar la herramienta. Ahora hay mas recursos libres para poder adaptar a las necesidades. Código fuente disponible en muchos sitios. Quizá de versiones anteriores, pero sigue sirviendo para reciclar.

2️⃣Los pathways resultaron muy útiles al momento de preconfigurar tareas según el tipo de casos. Se puede aprovechar de mejor manera el trabajo en equipo.

3️⃣La integración con módulos para móviles alivia la tarea de requerir mas herramientas. Hace bastantes cosas con la misma licencia.

4️⃣El manejo de hashes ha sido ampliado a mas opciones ademas de la típica dupla Md5 y Sha1, ahora tiene mas posibilidades.

5️⃣El soporte técnico mas eficiente. el entorno de soporte mas prolijo. Responden de manera mas clara y en menor tiempo.

6️⃣El área comercial y financiera lo propio. Hubo un momento que sus políticas de venta eran muy asfixiantes. Pero parece que su estrategia ha cambiado.

7️⃣Sin duda estaremos explorando mucho mas las nuevas facilidades como el manejo de hashes NSLR. Su integración con herramientas de cyberseguridad y los scripts disponibles.

8️⃣ Su indexacion de archivos sigue siendo muy útil

9️⃣ La facilidad de instalación destacable. Next, next.

🔟 La gestión de licencias de igual manera.

Que trae la version 20.3?

La nueva versión tiene importantes actualizaciones que sin duda representan tiempo de análisis y procesamiento. Al final mucho del trabajo se resume a la disponibilidad de tiempo para dedicar a la interpretación del caso y su relación con la evidencia digital. La herramienta es un facilitador, pero si nos brinda buenos resultados en la variable tiempo, eso es muy relevante.

Analizar los datos del archivo de imagen

Puede analizar los datos del archivo de imagen intercambiable (Exif) en EnCase Forensic al procesar su evidencia seleccionando la opción del analizador Exif en el cuadro de diálogo Opciones del procesador EnCase. Los datos Exif se agrega a los atributos de archivo para imágenes JPG.

Vista dinámica de tablas

Ahora puede seleccionar dinámicamente atributos de archivo desde el panel Ver y agregar y eliminar como columnas en el panel Tabla. Las columnas agregadas al panel Tabla se pueden ordenar y filtrar. Los atributos agregados pueden ser eliminados individualmente o todos a la vez

Trabajo con G-SUITE

EnCase Forensic ahora puede recopilar correo electrónico y elementos relacionados de Google G Suite.
• Todos los mensajes de correo electrónico, incluida la basura (reciclados)
• Calendario de eventos
• Etiquetas
• Adjuntos de correo electrónico
• Archivos adjuntos de calendario

Soporte de compresión RAR 5

EnCase Forensic ahora puede identificar y montar el contenido de contenedores comprimidos RAR5 cuando se activa procesamiento de archivos compuestos en un caso. Al igual que con otros algoritmos de compresión compatibles, puede también montar manualmente el contenido de los contenedores comprimidos RAR5 utilizando la estructura de archivo Ver como una función EnCase Forensic.

Adquisición de móviles

Se ha agregado compatibilidad con dispositivos iOS con jailbreak de checkra1n.
• Se agregó la adquisición de dispositivos con iPadOS para brindar soporte.
• Soporte de adquisición lógica de dispositivos iOS inscritos en MDM.
• Se ha resuelto el problema con la adquisición de iPhones con jailbreak con iOS 13.x. Los datos eliminados son
recuperado durante la adquisición de estos iPhones.
• Se ha resuelto el problema potencial con la adquisición lógica del iPhone XS Max.
• Se ha agregado la nueva opción Cellebrite UFED Data al Asistente de importación. Permite importar casos Cellebrite de dispositivos iOS.
• La importación de informes XML de Cellebrite se ha trasladado a las opciones de datos UFED de Cellebrite.
• Se ha resuelto el problema potencial con propiedades ausentes en la copia de seguridad del iPhone importada.

Y muchos otros aditivos de mejora y CORRECCIÓN.

Puede referirse al sisito oficial de Openteext para conocer con mas detalle estos cambios. O consultar con Yanapti SRL sobre esta poderosa herramienta.

Algunas noticias relacionadas:



Investigación forense: Ghiro para el análisis de imágenes

Guido Rosales 28/07/2020

Está desarrollado por Alessandro Tanasi Jekil y Marco Buoncristiano Burlone. Es una herramienta totalmente automatizada diseñada para ejecutar análisis forenses sobre una cantidad masiva de imágenes, solo usando una aplicación web fácil de usar y elegante.

Características de Ghiro

Podemos controlar todas las funciones de Ghiro a través de la interfaz web. Podemos cargar una imagen o un montón de imágenes para obtener una visión general rápida y profunda del análisis de imágenes. Podemos agrupar imágenes en casos y buscar cualquier tipo de datos de análisis.

Las principales características de Ghiro.

  • Extracción de metadatos: los metadatos se dividen en varias categorías según el estándar de donde provienen; los metadatos de las imágenes se extraen y clasifican. EX-EXIF, IPTC, XMP.
  • Localización GPS: está incrustado en los metadatos de la imagen, a veces hay un geoetiquetado, un poco de datos GPS que proporcionan la longitud y latitud del lugar donde se tomó la foto, se lee y se muestra la posición en el mapa.
  • Información MIME: El tipo MIME de imagen detectado para conocer el tipo de imagen con el que estamos tratando, tanto en forma contactada como extendida.
  • ELA: ELA significa Análisis de nivel de error. Identifica áreas dentro de una imagen que están en diferentes niveles de compresión. La imagen completa debería estar aproximadamente al mismo nivel si se detecta una diferencia, entonces probablemente indica una modificación digital.
  • Extracción de miniaturas: las miniaturas y los datos relacionados con ellas se extraen de los metadatos de la imagen y se almacenan para su revisión.
  • Consistencia de las miniaturas: a veces, cuando se edita una foto, se edita la imagen original, pero la miniatura no muestra diferencias entre las miniaturas y las imágenes.
  • Motor de firma: tienen más de 120 firmas que proporcionan evidencia sobre los datos más críticos para resaltar los puntos focales y las exposiciones comunes.
  • Hash Matching: supongamos que estamos buscando una imagen y que solo tenemos el valor hash. Podemos proporcionar una lista de hashes y se informan todas las coincidencias de imágenes.

Tipos de imagenes soportadas

  • Windows bitmap .bmp
  • Raw Canon .cr2
  • Raw Canon .crw
  • Encapsulated PostScript .eps
  • Graphics Interchange Format .gif
  • JPEG File Interchange Format .jpg or .jpeg
  • Raw Minolta .mrw
  • Raw Olympus .orf
  • Portable Network Graphics .png
  • Raw Photoshop .psd
  • Raw Fujifilm .raf
  • Raw Panasonic .rw2
  • Raw TARGA .tga
  • Tagged Image File Format .tiff

Arquitectura

  • The web interface: to interact with all features, this is the component used by users to work with Ghiro
  • The processor deamon: it fetches waiting tasks from the queue, process and analyze images
  • The relation database: it stores relational data, you can choose between MySQL, PostgreSQL and SQLite3
  • The MongoDB database: it stores analysis data

Descargar

Ghiro se puede descargar desde el sitio web oficial, donde se distribuyen las versiones estables y empaquetadas. El paquete estable está disponible en formato .zip y .tar.gz. El paquete anterior se recomienda encarecidamente para todos los usuarios. Algunas personas necesitan mantenerse actualizadas con los cambios de Ghiro, pueden descargar (git clone) desde nuestra página oficial de GitHub. Hay dos versiones diferentes disponibles.

sitio Oficial: https://www.getghiro.org/

Examen de Programas de Certificación YANAPTI

Guido Rosales 23/07/2020

Se ha completado el registro para los examenes de certificacion correspondientes al semestre I del 2020. Este año contaremos con inscritos en 4 de las 6 certificaciones vigentes.

Programas Habilitados

PROGRAMA CISO

Es un programa que ha ayudado en la formación sin duda alguna, de gran parte de los profesionales en Bolivia que hoy en día trabajan como Oficiales de Seguridad en empresas financieras, del estado, petroleras y muchas mas.

Su contenido esta basado en la experiencia de mas de 20 años de la empresa YANAPTI SRL. Los innumerables trabajos de consultoria en el campo de la seguridad de la información han definido sus módulos, así como la alineación con importantes certificaciones internacionales.

Mas info en:

https://yanapti.com/ciso-certified-information-security-officer/

PROGRAMA FCA

El escenario ha cambiado con el CORONAVIRUS, si antes teníamos la posibilidad de un incremento en la superficie de ataques informáticos, ahora todo eso ya es una realidad. El teletrabajo y la teleeducacion han obligado a dar un salto tecnológico sin previa preparación.

El incremento del ciber crimen está obligando a las empresas y profesionales a contar con sólidos conocimientos de INFORMÁTICA FORENSE para prevenir ilícitos y en su defecto poder mínimamente identificar, colectar y preservar la evidencia digital que les permita un análisis forense e inicio de acciones legales tanto civiles como penales. Asi mismo coadyuvar en el esclarecimiento, investigación y proceso judicial como CONSULTORES TÉCNICOS

El entrenamiento FCA en su versión 5, precisamente está planificado para apoyar con ese conocimiento y herramientas forenses a todo profesional interesado en contar con estas habilidades.

https://yanapti.com/fca-forensic-computer-advisor/

PROGRAMA CBCO

El Programa CBCO fue lanzado en su primer versión el año 2014, desde entonces se ha estado realizando con cierta regularidad en formato abierto, pero de forma mas intensa en modalidad cerrada para empresas.

Aun no tenemos la certeza del derrotero que puedan seguir los últimos acontecimientos en el país. Por tanto, como dice la frase “Esperamos lo mejor, pero estamos preparados para lo peor”. Los profesionales que nos dedicamos a temas de seguridad y continuidad podemos marcar la diferencia en donde estemos. El radio de influencia dependerá del rol que cada uno tenga. Pero en el menor de los casos esta formación le ayudara a mitigar los riesgos a nivel familiar.

Mas informacion en:

https://yanapti.com/cbco-certified-business-continuity-officer/

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023