COMPARACIÓN DE DIFERENTES HERRAMIENTAS PARA
EL ANÁLISIS FORENSE EN DISPOSITIVOS EXTRAÍBLES
DE TIPO FLASH DRIVE
Resumen
En la actualidad la información es uno de los activos más importantes que tienen las organizaciones e individuos en la sociedad, por esta razón, es trascendental el buen manejo de la misma, sin embargo, en el proceso llevado a cabo en un análisis forense, no son muy conocidas las buenas prácticas y se deja de lado la investigación de un factor tan importante en la seguridad informática.
El análisis forense se puede entender como el proceso mediante el cual se adquieren diferentes fuentes de información usadas según la necesidad específica, por este motivo es fundamental llevar a cabo una metodología adecuada para realizar el proceso del análisis en los diferentes medios extraíbles analizados.
De esta forma, en este artículo se describe el proceso que se lleva a cabo en la investigación con el fin de realizar el respectivo análisis forense y así poner en práctica diferentes conceptos aplicados en la materia. Se analizan diferentes herramientas que brindan la posibilidad de llevar a cabo distintos métodos de análisis forense, aplicados a dispositivos de almacenamiento extraíble, de lo cual, se obtienen diversos resultados, realizando así una comparación significativa destacando las principales particularidades de las herramientas usadas para el análisis, evidenciando de este modo los puntos estratégicos de cada una de ellas, señalando cuál brinda un mejor análisis de la información.
Adicionalmente, se describen los problemas que se obtuvieron durante el desarrollo del proceso, con el objetivo de llevar a cabo un procedimiento que genere los mejores resultados y así poder realizar un análisis forense eficiente, evitando el mal manejo de la información.
Palabras clave: dispositivos, informática forense, almacenamiento extraíble, análisis forense, fuente de evidencia.
Karen Daniela Cuervo Cely [email protected]
Luz Elena Gutiérrez López Directora
Abstract
Currently, information is one of the most important assets that organizations and individuals have in society, for this reason good management of it is transcendental, however in the process carried out in a forensic analysis, they are not very well-known good practices and leaving aside the investigation of such an important factor in computer security.
The forensic analysis can be understood as the process by which different sources of information are acquired used according to the specific need, for this reason it is fundamental to carry out an adequate methodology to carry out the analysis process in the different extractable media analyzed.
Thus, this article describes the process that is carried out in the investigation in order to perform the respective forensic analysis and thus put into practice different concepts applied in the field. Different tools are analyzed that offer the possibility of carrying out different methods of forensic analysis, applied to extractable storage devices, from which various results are obtained, thus making a meaningful comparison highlighting the main peculiarities of the tools used for the analysis, evidencing in this way the strategic points of each of them, indicating which provides a better analysis of the information.
Additionally, the problems that were obtained during the development of the process are described, in order to carry out a procedure that generates the best results and thus be able to carry out an efficient forensic analysis, avoiding the mishandling of the information.
Keywords: Devices, computer forensics, removable storage, forensic analysis, source of evidence.
Introducción
Durante el pasar de los años, se ha visto la importancia que la informática forense tiene dentro de los ámbitos ingenieriles, incluso en el común de la sociedad, debido a que el valor que la información ha adquirido es bastante grande, el activo más importante en este momento es la información, por ello es trascendente el uso que se le da y asimismo su protección o control. La mayoría de personas actualmente tienen al alcance de su mano el uso de un computador, dispositivo móvil e internet, entre otros, implicando la manipulación de información, en muchos casos siendo ésta susceptible a delitos informáticos que pueden llegar a ser trascendentales ya que hay empresas, como bancos que sufren estos fraudes y las pérdidas que generan son incalculables. Cuando se presentan estos delitos, muchas veces pueden hallarse trazas de información en los dispositivos de almacenamiento implicados, sin embargo, se presentan casos en los cuales, dichas evidencias son borradas de las unidades y es ahí donde la informática forense entra a realizar su trabajo.
Technology) en su publicación especial 800-86 dice: “El análisis Forense es la aplicación de la ciencia de la identificación, colección, examinación y análisis de datos mientras se esté preservando la integridad de la información y manteniendo una estricta cadena de custodia de los datos”, datos refiriéndose a distintas piezas o información digital que ha sido borrada en un lugar específico [2].
El análisis forense es un procedimiento dedicado que comprende diferentes procesos como el de extracción, conservación, identificación, documentación, interpretación y presentación de evidencias de tal forma que sean aceptadas en cualquier proceso que se lleve a cabo, tanto particular como legal, por este motivo se quiere dar a conocer el mecanismo que se lleva a cabo en el desarrollo del análisis forense, efectuado en dispositivos de almacenamiento extraíbles, usando diferentes herramientas que se encuentran en el mercado, como Autopsy, FTK Imager y Recuva, de esta forma poder compararlas y evaluar el alcance de cada una de ellas, exponiendo sus diferentes características y analizándolas de acuerdo al objetivo obtenido en base a resultados expuestos, para así realizar un dictamen sustentado en la experiencia obtenida.
En el proceso llevado a cabo se muestran diferentes métodos empleados para realizar el análisis y recuperación de la información, de los cuales se puede mencionar el uso de softwares especializados que recuperan la información de forma automática así como la implementación de la recuperación de información de forma manual, en la que es utilizado el código hexadecimal y las correspondientes banderas específicas para cada tipo de archivo recuperado, y así poder proceder al proceso de selección y recuperación de la información.
En el ejercicio del análisis y recuperación de información, se pueden presentar diferentes inconvenientes, los cuales se exponen para así evitarlos en futuras prácticas, en primera medida se establece que el proceso a realizar se efectúe sobre una imagen del dispositivo de almacenamiento a examinar debido a que no es recomendable ni es una buena práctica trabajar sobre el dispositivo en sí. Por último se realiza una comparación entre las herramientas utilizadas y se efectúa un análisis de resultados obtenidos para demostrar así el alcance de cada una de ellas.
TRABAJOS RELACIONADOS
El análisis forense se ha estudiado desde hace años, dada la importancia que tiene la información y los datos en el común de la sociedad, por esta razón, se puede encontrar estudios en los cuales se generan nuevos conocimientos con relación al análisis forense, muchos de ellos están relacionados con dispositivos de almacenamiento de tipo flash drive, dispositivos móviles, discos duros, entre otros.
concluyendo con la entrega del laudo pericial. En cada una de las fases de preserva la integridad de la información y se tiene el mayor cuidado para tratarla.
Otro estudio realizado en Mumbai India [4] establece un análisis comparativo de las diferentes herramientas forenses pero enfocado a dispositivos móviles, las herramientas comercializadas consideradas en este estudio fueron MOBILedit Forense y UFED Physical Analyzer, mientras que las herramientas de código abierto puestas a estudio fueron The Sleuth Kit y SANS SIFT; generando de este modo una matriz de comparación y un análisis de resultados obtenidos. Este estudio nos brinda una observación bastante importante, en primer lugar, no se puede definir una “one-size-fits-all” para la elección de las herramientas forenses, ya que depende de ciertos factores y es probable que se necesite la interoperabilidad de un conjunto en sí.
“An Approach for the Validation of File Recovery Functions in Digital Forensics Software Tools” [5] es un artículo en el cual se evidencia la recuperación de archivos hacienda uso de herramientas de código abierto, tanto comerciales como gratuitas, incluidas Recuva, FTK, Encase, Recover My Files y Blade.Como resultado de las pruebas realizadas, la herramienta que mejor realizó el análisis fue Blade, y la que peor lo hizo fue “Recover My Files”, mientras que Recuva y FTK obtuvieron un 73.44% y 71.19% respetivamente.
CRITERIOS DE SELECCIÓN
En el mercado existen diferentes herramientas que realizan el análisis forense de forma detallada, se pueden encontrar tanto comerciales como gratuitas, de esta forma se establecen criterios para seleccionar las herramientas a utilizar, como las más utilizadas por profesionales de seguridad, como es el caso de FTK la cual, es una herramienta comercial y una plataforma de investigaciones digitales aceptada por el tribunal construida para la velocidad, estabilidad y facilidad de uso, proporciona funciones de procesamiento integrales como: dtSearch / Entropy, Data y Meta Carving, y Known File Filter [5], usadas para realizar exámenes forenses completos y exhaustivos, permitiendo la búsqueda de archivos y así encontrar la prueba (en casos legales), ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico.
Por otra parte, se quiere seleccionar una herramienta que sea un poco más fácil de usar, apta para personas que no estén muy asociadas al tema, es por esto, que la herramienta seleccionada es Recuva la cual es gratuita, fácil de usar, simple y efectiva; adicionalmente permite filtrar los resultados por el tipo de archivo recuperado.
Por último, se seleccionó una herramienta que estuviera aprobada por personas expertas, muy similar a FTK, en este caso se encontró Autopsy, usada por examinadores corporativos para investigaciones legales, es fácil de usar e igualmente permite la búsqueda por palabras claves para encontrar términos relevantes en una investigación.
Cada herramienta cuenta con diferentes funcionalidades, unas más competentes al área de seguridad que otras, de esta forma se analiza el desarrollo y se compara entre las seleccionadas.
Criterio Recuva Autopsy FTK
Disponibles al publico
ALTO (Gratuita) ALTO (Libre) ALTO
Rapidez ALTO ALTO ALTO
Recomendación por Expertos
ALTO ALTO ALTO
Tabla 1. Criterios de selección herramienta
DISEÑO DE EXPERIMENTO
El objetivo del procedimiento llevado a cabo es realizar un análisis forense en un dispositivo de almacenamiento extraíble de tipo flash drive con diferentes herramientas seleccionadas de acuerdo a criterios establecidos y de acuerdo a los resultados obtenidos realizar una comparación en donde se establezca un análisis de los resultados generados.
Como factor de tratamiento se tiene un dispositivo de almacenamiento extraíble de tipo flash drive de 4G de almacenamiento marca Kingston, dentro de los factores cualitativos se realizaron las pruebas sobre un procesador Intel Core i3-2370M CPU 2.40GHz, mientras que entre los factores cuantitativos se puede mencionar que se realizó el trabajo sobre una memoria RAM de 4G y disco duro de 500G, haciendo uso como unidad experimental, un computador Toshiba con sistema operativo Windows 10.
En el desarrollo de pruebas, todas se realizaron sobre la imagen del dispositivo protegiendo la base de la información de cualquier daño o corrupción. Los resultados del análisis se dan en las variables tiempo y cantidad de archivos hallados por herramienta utilizada, de esta forma se puede generar un análisis más eficiente y la razón entre cada una de las herramientas.
El factor es de efecto fijo ya que los niveles se han seleccionado específicamente por un ente externo, de este modo, se establecen cuatro formatos al dispositivo de almacenamiento, en el que se evidencia el análisis bajo las condiciones establecidas y así poder medir su eficacia según criterios determinados.
AUTOPSY, FTK IMAGER Y RECUVA EN EL PROCESO DE ANÁLISIS FORENSE
Actualmente se cuenta con diferentes herramientas tecnológicas las cuales facilitan el trabajo del perito que realiza la investigación, esto para tener más exactitud en las pruebas y disminuir errores en el proceso penal que se lleva a cabo. [6], así se puso en práctica el uso de las herramientas: FTK Imager, Recuva y Autopsy, con las cuales se hace el proceso de análisis forense como a continuación se explica.
archivos almacenados, posteriormente se formatea completamente y se captura la imagen, dando clic en la opción create disk image que aparece en la pestaña file de FTK.
Fuente: autores. 1 Menú FTK para crear imagen de USB
FTK tiene una ventaja, ya que permite crear imágenes de todo tipo con una interfaz muy amigable con el usuario [7], por esta razón se emplea para crear la imagen, y así utilizarla en el proceso implementación de las herramientas para éste análisis forense.
La imagen creada toma el formato .dd, este formato es de amplia aceptación para hacer el análisis forense. FTK además de generar la Imagen de la memoria USB, proporciona un archivo donde muestra información importante como el respectivo MD5 y SHA; estos datos son relevantes al momento de analizarlos, ya que se puede comprobar que la imagen fue o no cambiada. Ahora bien, teniendo la imagen de la USB que tiene el mismo tamaño que la original se procede a analizarla, destacando que FTK genera varios detalles de la información encontrada en ella, llegando a observar que se puede apreciar un mapa con las posiciones de memoria, un mapa en hexadecimal y en frente los nombres de los elementos en texto entendible para el usuario, tal como se puede identificar en la figura 2.
Fuente: Autores 2 Información encontrada por FTK
la figura 3:
Fuente: Autores. 3 Elementos Recuperados con su gráfica
Autopsy es una herramienta de análisis de investigación digital la cual muestra detalles sobre datos borrados [8], para el análisis con Autopsy se utiliza la imagen que fue extraída por FTK de la misma memoria USB usada anteriormente, esta herramienta proporciona lo que estaba en la USB antes de su formateo, en este caso la USB tenía varios archivos JPG. En la recuperación se analiza que efectivamente examinó y recuperó los archivos que inicialmente estaban en la USB como se muestra en la siguiente imagen.
Fuente: Autores 4 Información recuperada por Autopsy
Fuente: Autores. 5 Información recuperada por Autopsy
Comparativamente Autopsy al igual que FTK proporcionan la información en valores hexadecimales, por esta razón se puede recuperar y analizar la información hallada de cierta forma manual, donde se busca la bandera tanto de inicio como final del archivo que se desea examinar para proceder a realizar la selección y así guardarla para verificar su contenido; por ejemplo, una imagen de tipo jpg se reconoce porque su bandera de inicio empieza en FF D8 FF E0 y finaliza con FF D9, como se demuestra en las figuras 6 y 7.
Fuente: Autores 6 Bandera de inicio de una imagen
Ahora bien, para recuperar la imagen se copia el texto que hay entre la bandera de inicio y la bandera final, se da clic en la opción save selection y se guarda en alguna ubicación del disco; automáticamente, por las banderas se sabe qué tipo de archivo es y se comprueba que efectivamente se está extrayendo una imagen.
Fuente: Autores 8 Guardar archivo con banderas
Fuente: Autores 9 Imagen Recuperada
0
Recuva da la posibilidad de recuperar diferentes tipos de archivos, ya sean imágenes, música, documentos, videos, archivos comprimidos, entre otros. Adicionalmente permite escoger la ruta donde se quiere examinar, la debilidad que posee es que se debe trabajar sobre el mismo dispositivo a examinar y este puede ser un factor de riesgo para el análisis forense realizado.
Fuente: Autores. 10 Recuperación de información con Recuva
Al realizar el procedimiento de recuperación de la información se evidencia que es efectivo siempre y cuando los archivos sean solamente eliminados o pasen por un formato rápido, de lo contrario no es posible recuperar la información.
En seguida se toman los datos en cada una de las tres herramientas para poder compararlas según su capacidad de análisis, obteniendo la siguiente información.
Tabla 2. Número de archivos detectados y recuperados por cada herramienta, y tiempo requerido para el análisis.
Herramienta Archivos Hallados Tiempo Estimado
(Minutos)
Recuva 2063 7:53
FTK Imager 7633 11:40 Autopsy 7817 14:08
Luego de realizar el análisis con cada una de las herramientas, se quiso formatear de nuevo el dispositivo de almacenamiento y se obtuvieron los siguientes resultados
Tabla 3. Número de archivos detectados y recuperados por cada herramienta, y tiempo requerido para el análisis luego de formatear el dispositivo.
Herramienta Archivos Hallados Tiempo Estimado
(Minutos)
Recuva 1653 6:24
FTK Imager 6521 08:32 Autopsy 7315 12:54
1
Herramienta Archivos Hallados Tiempo Estimado
(Minutos)
Recuva 1249 5:47
FTK Imager 6328 07:48 Autopsy 7082 10:15
Tabla 5. Número de archivos detectados y recuperados por cada herramienta, y tiempo requerido para el análisis luego del tercer formateado del dispositivo.
Herramienta Archivos Hallados Tiempo Estimado
(Minutos)
Recuva 935 4:22
FTK Imager 6047 5:37
Autopsy 6751 9:08
Como se evidencia, FTK Imager y Autopsy son herramientas muy completas, las cuales pudieron recuperar evidentemente muchos más archivos, aunque en un mayor tiempo, por otro lado Recuva logró hallar una gran cantidad de archivos, pero no en la misma magnitud que las otras herramientas, adicionalmente se evidencia que entre más cantidad de veces formateado el dispositivo de almacenamiento extraíble, la recuperación tiende a disminuir.
Tabla 6. Porcentaje de usabilidad de los archivos luego de la restauración.
Herramienta Porcentaje de usabilidad de
los archivos
Recuva 68% FTK Imager 75% Autopsy 78%
2
Fuente: Autores. 11 Relación archivos encontrados por herramienta
La experiencia realizada con Autopsy, FTK Imager y Recuva para la recuperación de información fue enriquecedora, sin embargo, para lo que se estaba buscando Autopsy y FTK Imager cumplieron un papel más importante, ya que tienen funciones más especializadas que pueden llegar a tener mayor utilidad al momento de realizar el análisis forense, además que se complementan, por un lado para obtener las imágenes de los dispositivos de almacenamiento extraíbles en formato .dd y por otro para analizar dicha imagen, aunque se debe mencionar que FTK Imagen también proporciona información y características valiosas a partir de la USB formateada. En caso que se requiera trabajar algo más sencillo, y no tan profundo está Recuva que es un software más comercial y permite solamente recuperar información que ha sido borrada o ha pasado por un formato rápido.
Metodología
El proyecto se lleva a cabo bajo el enfoque cuantitativo con un tipo de investigación descriptivo, se siguieron una serie de procesos, llevándolos a cabo a en su totalidad, con el fin de obtener resultados según los objetivos planteados, así se llevaron a cabo 4 fases.
Fase 1: Consulta de Fuentes Primarias: Se realiza la investigación acerca de herramientas usadas en el proceso que se lleva a cabo en un análisis forense, consultando en revistas, artículos, libros y demás material que pueda brindar información para el proceso y así poder seleccionar las herramientas que se quieren estudiar.
Fase 2: Análisis Forense utilizandoAutopsy, FTK Imager y Recuvaen dispositivos de almacenamiento extraíbles.
3
Fase 4: Conclusiones del proceso: teniendo en cuenta la documentación requerida, los objetivos trazados y a cada herramienta implementada.
Discusión
La práctica del análisis forense cuenta cada vez con más herramientas con las cuales se pueden llevar a cabo la recuperación de información, sin embargo también existen muchas formas de proteger la información, ya sea ocultándola, cifrándola, entre otros, es por esto, que no es fácil llevar a cabo las prácticas de informática forense y se requiere de un vasto conocimiento técnico. Reconociendo que esta parte de la informática es importante, así pues, es realmente necesario generar experiencias y conocimientos en esta área para tener un buen nivel al momento de llevar a cabo estos procedimientos en contexto real, de igual forma existen diversos softwares que ayudan al proceso de recuperar información y hacer un verdadero análisis forense, pero hay otros que son solo de uso comercial, los cuales no son de gran ayuda y no generan gran información al realizar el análisis, así pues el FTK y Autopsy son softwares bastante completos que pueden ser muy útiles, mientras que Recuva es un software muy básico.
Conclusiones
Dados los delitos informáticos que se pueden presentar en la actualidad, es de gran importancia el uso del análisis forense para la recuperación de información y a su vez, la correcta investigación e interpretación de trazas que son trascendentales para llevar a cabo un proceso adecuado, según las necesidades propias del caso.
El proceso llevado a cabo en este artículo fue satisfactorio ya que se pudo evidenciar el desarrollo de un análisis forense, siguiendo una metodología adecuada para cada uno de los procedimientos realizados.
Se implementaron diferentes métodos para la recuperación de información demostrando el funcionamiento de los mismos acorde a las necesidades específicas del objeto de estudio.
Se evaluó cada una de las herramientas seleccionadas comparando su alcance al recuperar información y así observar el rendimiento de cada una de ellas, de acuerdo a su implementación y características específicas.
4
Referencias
[1] F. Rodriguez y A. Doménech Rosado, «La informática Forense: El rastro digital del crimen,» p. 16. [2] F. J. Castañeda Vilchis, V. I. Rojas Barrera y N. Z. Villanueva Pallares, «Evaluación de herramientas
para análisis forense orientado a discos duros,» México, 2009.
[3] L. Campos, E. Gomes y H. Martins, «Forensic Expertise in Storage Device USB Flash Drive: Procedures and Techniques for Evidence,» IEEE LATIN AMERICA TRANSACTIONS, 2016.
[4] R. Padmanabhan, K. Lobo, M. Ghelani, D. Sujan y M. Shirole, «Comparative Analysis of Commercial and Open Source Mobile Device Forensic Tools,» IEEE, 2016.
[5] N. Salem, F. Iqbal y O. Alfandi, «An Approach for the Validation of File Recovery Functions in Digital Forensics’ Software Tools,» IEEE, 2014.
[6] A. Canedo Estrada, «La informática forense y los delitos informáticos.,» Pensamiento Americano, pp. 81-88, 2010.
[7] S. Hernando, «Análisis forense con AccessData FTK Imager,» 2009. [8] A. E. Caballero Quezada, «Autopsy en español,» 2007.
[9] G. Zuccardi y J. D. Gutierrez, «Inforática Forense,» 2006. [10] M. López Delgado, Análisis Forense Digital, 2007.
[11] J. Pagés López, «Del disco flexible a la nube: Pasado, presente y futuro de la Informática Forense.,» 2013.
