saltar al contenido
Análisis forense digital, secretos comerciales, servidores de archivos, servidores, servidores de correo electrónico, dispositivos externos, medios externos, dispositivos móviles, dispositivos personales

En el mundo de hoy, la cantidad de comunicación es astronómica. BYOD (traiga su propio dispositivo) agrega complejidad cuando ya se enfrenta a fuentes de datos tradicionales utilizadas corporativamente, como una computadora de escritorio, una computadora portátil, un servidor y un correo electrónico corporativo.

Este artículo pretende ser un recordatorio útil (o para algunos, nueva información) sobre las cosas que se deben tener en cuenta al utilizar el análisis forense digital para investigar posibles robos o usos indebidos de datos patentados. Dado el panorama cambiante de la tecnología, sería negligente si no dijera que consulte a un profesional forense y legal antes de tomar cualquier decisión.

Consideración de áreas/dispositivos de almacenamiento electrónico

Hay ciertas fuentes de datos electrónicos que los acusados, los demandantes y los forenses neutrales deben tener en cuenta para cualquier investigación. Estos incluyen computadoras portátiles/de escritorio (también conocidas como estaciones de trabajo), servidores de correo electrónico, servidores de archivos, medios externos, repositorios en línea, cuentas de correo electrónico personales, computadoras domésticas, teléfonos inteligentes y otros dispositivos informáticos móviles.

La recopilación de algunas de estas fuentes se explica por sí misma, pero otras pueden no ser tan sencillas. Un par de ejemplos de los matices que puede encontrar incluyen correo electrónico y servidores de archivos.

Los servidores de correo electrónico se pueden configurar de varias maneras. Algunos guardan una copia de todos los correos electrónicos solo en el servidor, mientras que otros permiten una sincronización con otros dispositivos (por ejemplo, el uso de Outlook), o un servidor puede permitir que un usuario descargue y guarde la única copia del correo electrónico en su dispositivo local. (s).

Esta es una distinción importante que debe comprender para no asumir que todo el correo electrónico se ubicará en una computadora de escritorio o portátil. Una técnica puede ser sincronizar el correo electrónico con la computadora de escritorio o portátil antes de crear una imagen forense de ese dispositivo, lo que puede ahorrarle la necesidad de recopilar el correo electrónico del servidor de correo electrónico.

Para los servidores, es importante comprender los tipos de servidores en uso y los términos generales que los custodios (usuarios) pueden usar al describirlos. Tome un servidor de archivos, por ejemplo: un servidor donde las personas o los miembros de ciertos grupos pueden almacenar una gran variedad de tipos de documentos, incluso archivos de correo electrónico. A menudo se lo conoce como una "carpeta de red privada" o "directorio de inicio" para individuos, y como un "recurso compartido de grupo" (p. ej., recurso compartido de grupo de contabilidad, recurso compartido de grupo de ingeniería) para miembros de ciertos grupos que tienen un área común para compartir documentos.

Consideraciones de análisis

Los datos pueden abandonar una empresa de diversas formas. Una forma de exfiltrar “grandes” cantidades de datos es a través de la conexión de un dispositivo externo. Es muy fácil conectar un dispositivo externo, copiar archivos en masa al dispositivo, desconectar el dispositivo y salir con

eso. Entonces, ¿qué artefactos se deben considerar si desea ver ese tipo de actividad en su estación de trabajo de tipo Microsoft Windows de uso común?

Una forma de ver la actividad de un usuario es a través de la revisión de archivos de enlace (también conocidos como archivos LNK). Un archivo de enlace es un acceso directo en una unidad local que puede indicar el historial de apertura de un archivo desde un dispositivo conectado.

Los clientes a menudo me preguntan por qué no puedo darles una lista de archivos que se copiaron en un dispositivo externo; no es tan simple. Windows no crea un "registro", "pista de auditoría" o "registro" de archivos que simplemente se copian en un dispositivo externo a través del método de arrastrar y soltar. Si no tiene el dispositivo real en el que se copiaron los archivos, debe confiar en otros artefactos, como archivos de enlace, para mostrar o inferir que se produjo esta actividad.

Por ejemplo, tengo un documento guardado en un dispositivo extraíble USB llamado tradesecret.doc (el archivo de destino). Si guardo y cierro ese documento, vuelvo al menú Inicio de Windows y selecciono el programa Microsoft Word, obtengo una lista de documentos recientes (incluido "tradesecret.doc") que puedo elegir abrir.

Este método de abrir uno de esos documentos crea lo que se conoce como acceso directo. Existe un acceso directo en la computadora porque se "abrió" un documento. Los accesos directos contienen metadatos, incluida la ruta del archivo de destino. La ruta puede ser un dispositivo externo que dejó la empresa con el empleado que se fue. El acceso directo también puede contener fechas y horas en que se creó el acceso directo, así como las fechas de creación, modificación y acceso del archivo de destino real.

Estos metadatos de acceso directo pueden indicarle cuándo se copió un archivo en un dispositivo extraíble y si se modificó en ese dispositivo. Tenga en cuenta que ubicar una copia del archivo con el mismo nombre en el disco duro de la computadora no significa que tenga el mismo contenido que la copia que se identificó en el dispositivo externo. La única forma verdadera de identificar una lista completa de archivos y su contenido es analizar el dispositivo externo.

La nube

Los repositorios en línea son áreas que están “en la nube”. Programas como OneDrive, Carbonite, Dropbox, SugarSync, Hightail, Mozy y ShareFile son solo algunos de los cientos (si no miles) de repositorios en línea. Aunque cada uno puede variar ligeramente en la forma en que se usan, al final todos permiten que un usuario almacene y acceda a los archivos.

Buscar la instalación y el uso de estos programas en una estación de trabajo puede resultar valioso. Visitar estos sitios también puede crear un registro dentro de los archivos del Historial de Internet. Algunos de estos sitios incluso registran registros de auditoría detallados de la actividad de los archivos (cargas, descargas, eliminaciones, etc.). Tenga en cuenta que es posible que deba actuar con rapidez porque estos registros de auditoría pueden durar tan solo 30 días.

Dispositivos móviles

Además de realizar llamadas y enviar mensajes de texto, los dispositivos móviles y los teléfonos inteligentes pueden almacenar archivos. Con el avance actual de las "aplicaciones", es posible recuperar, abrir, editar y volver a guardar un documento en un dispositivo móvil o en el repositorio basado en la nube del que se recuperó el documento.

Otro ejemplo de cómo se pueden almacenar datos confidenciales en dispositivos móviles son las tarjetas SIM, que pueden mantener listas de contactos y se pueden mover de un teléfono a otro teléfono compatible con facilidad. En algunos asuntos, la mera toma de una lista de contactos puede ser muy significativa, como podría ser una lista de clientes.

No pasemos por alto los archivos de copia de seguridad creados con BlackBerry, iPhone/iPad y otros dispositivos móviles. Estos pueden resultar valiosos para mostrar la propiedad o el uso de un dispositivo que no se ha producido para su inspección, especialmente en el mundo BYOD actual, donde el dispositivo puede ser de propiedad privada pero el uso permitido en la empresa ha dado como resultado datos corporativos en el dispositivo.

Siguiendo con el tema de BYOD, familiarícese con las políticas y normas de la empresa para estos dispositivos híbridos. ¿Tiene su empresa políticas bien escritas, como si el empleador puede "borrar" de forma remota los datos comerciales del dispositivo si se pierde el dispositivo, o si el empleado y la empresa se separan? ¿Has considerado cómo lidiar con ese problema antes de que suceda? Lo he visto con demasiada frecuencia en el que el valor predeterminado de un cliente era borrar de forma remota el dispositivo móvil de un empleado al salir y luego pedir pruebas de ese dispositivo (que ya no existe).

Además de implementar y reforzar una cultura de seguridad y reservar la capacidad de "borrar" los dispositivos si se pierden o son robados, las empresas también deben considerar la capacitación continua, los reconocimientos anuales y, de lo contrario, establecer y administrar las expectativas de los empleados sobre la privacidad que deberán tener. entregarse a cambio de la comodidad de utilizar sus dispositivos personales para el trabajo. Esto puede ayudar a evitar algunas conversaciones incómodas cuando necesite examinar el dispositivo personal de alguien.

Si surgiera esa necesidad, ¿cuáles son algunos de los artefactos que uno podría buscar para garantizar que los datos confidenciales de la empresa no se hayan tomado o que ya no residan en el dispositivo de un empleado que se fue? Por ejemplo, es posible que desee conocer la información de posición geográfica (datos de GPS), que puede indicar dónde estaba el dispositivo en una fecha/hora en particular.

Algunos ejemplos de actividad de usuario para investigar incluyen: archivos adjuntos que se han separado de un correo electrónico y se han guardado en el dispositivo; software instalado que permite una conexión directa a una computadora de la empresa que puede pasar por alto un protocolo de seguridad particular; nombres de archivos adjuntos que pueden existir dentro de cuentas de correo electrónico personales en el dispositivo; imágenes que pueden haber sido tomadas de un documento secreto comercial en lugar del archivo real que se está tomando; e historial de Internet y/o mensajes de texto, solo por nombrar algunos. Los datos en el dispositivo real pueden diferir de la última copia de seguridad, especialmente si el dispositivo se usa con más frecuencia y más recientemente que la última copia de seguridad.

En resumen, es importante estar educado o rodeado de personas que te mantendrán informado. Dar un salto en la investigación, saber que la evidencia será perecedera y preservar lo que se necesita, incluso si se congela, lo pondrá a la vanguardia del juego.

iDiscovery Solutions es una firma de consultoría estratégica, tecnología y servicios expertos que ofrece soluciones personalizadas de eDiscovery, desde análisis forense digital hasta testimonios de expertos para bufetes de abogados y corporaciones en los Estados Unidos y Europa.

es_ESES