Análisis Forense Digital al estilo Alemán

facebook Share on Facebook

Este artículo es para contarles la experiencia de 4 días que tuve en Washington D.C. El motivo de mi viaje: tomar un entrenamiento del uso del software X-Ways Forensics directamente por uno de sus desarrolladores, el instructor Fotios Mouratidis, proveniente de Grecia pero radicado en Alemania. El objetivo del artículo será el exponer la manera como se está trabajando en Europa y Asia, algo un poco más diferente a como se está trabajando en los Estados Unidos, Centro y Sur América, donde fabricantes como AccessData (FTK) y Guidance (EnCase) tienen el mercado conquistado y adiestrado.


X-Ways Forensics es el software forense más usado en Europa, como lo es FTK y EnCase en Norte, Centro y Sur América

Quiénes estábamos de estudiantes ?, firmas forenses norte-americanas, FBI, CIA, NSA, DoD y por supuesto yo, el Colombiano, que se extrañaron de ver por esos lugares recibiendo esa clase de entrenamientos. Fotios me recibió agradeciendo haber tomado el curso y expresó que en X-Ways Forensics estaban felices de que en Latino América estuvieran empezando a interesarse por sus servicios.

De que iba exactamente el entrenamiento

Bueno, todos fuimos a conocer cómo funcionaba el software Alemán X-Ways Forensics, a que nos contaran sus secretos, cómo hacían para que este software (que cuando se descarga pesa 11 Mb) hiciera lo mismo que otros software que pesan varios pares de Gb y fuera de eso, cómo lo hacían tan eficiente, rápido y lo vendían por mucho menos de la mitad del precio de lo que valen los otros. Algo sabíamos ya de los Alemanes con el SAP, software ERP muy reconocido en todas partes del mundo y sospechábamos que podría ser un estilo parecido, un software ligero, robusto, estable, con miles de opciones, eficiente y no tan costoso para lo que hace.

Qué experiencia previa tenía yo

En lo personal, decidí tomar el curso porque desde hace varios meses he andado explorando alternativas a FTK, software que uso desde hace 7 años, en el cual me certifiqué como ACE (AccessData Certified Examiner), con el que he desarrollado todos mis proyectos forenses y por que no decirlo, el que representa uno de los mayores gastos anuales de mi compañía, motivo por el cual quise iniciar la investigación de nuevas herramientas para mi trabajo.

Compré X-Ways Forensics, la licencia que me permite usarlo durante un año con un Dongle, por aproximadamente $ 800 USD, lo usé 6 meses, atendí un par de proyectos con él y decidí aventurarme a la certificación.

Vamos a certificarnos

Averigué muy bien, inicialmente pensé que no debería ser complicado, pues la certificación ACE de AccessData fue un juego de niños, uno tenía disponibles 3 intentos, era gratis presentarla y se hacía sin experiencia previa validada. Gran sorpresa fue cuando leí los requisitos de X-Ways Forensics para la certificación, esta gente realmente era muy exigente y ese juego de niños de FTK aquí no iba a aplicar. Si quieres certificarte debes tener 2 años de experiencia comprobable con el uso del software, debes tener la licencia y debes tener además obligatoriamente la certificación de FTK o EnCase para demostrar que llevas tiempo en esto del análisis forense digital. En caso de no tener experiencia de 2 años con el software, se podía re-emplazar con el entrenamiento forense, el que yo tomé. Aquí no terminan las cosas, si pierdes el examen, no hay segundo intento ni tercero, si lo pierdes debes esperar 9 meses para hacer un segundo intento y debes pasar por una entrevista.

Atendamos el entrenamiento

Inicié el entrenamiento, cada uno de nosotros debía tener consigo un PC con Windows y ellos proporcionaban una licencia temporal por el tiempo del curso. El profesor Fotiosinició rápidamente explicando las opciones que tenía el Software y nosotros íbamos replicando en nuestras máquinas los pasos a través de ejercicios prácticos. Tuvimos casos de recuperación de datos, búsqueda de evidencia en archivos, correos electrónicos, internet, entre muchas otras cosas y al final nos enfrentamos a un examen de 9 preguntas prácticas donde habían casos hipotéticos de investigación forense, como por ejemplo el caso de un PC recuperado en un robo de un automóvil.

Qué falencias tuve durante el curso

Acostumbrado a la facilidad de FTK, pensé que no necesitaría estudiar ningún tema en concreto para atender el curso. Tal fue el error que después del primer día tuve que repasar en el hotel la estructura interna de NTFS, EXT, FAT y HFS a muy bajo nivel, porque Fotios empezó hablando de Offsets, Clusters, Slack Spaces a cierto grado que no bastaba con saber la terminología sino haber tenido experiencia con la manipulación de un sistema de archivos en un editor Hexadecimal. El primer ejercicio, que se consideró muy básico, fue recuperar un archivo JPEG que estaba fragmentado en una partición NTFS con un tamaño de cluster de 512 Bytes, ubicándose mayormente en Slack Space, de forma manual con el editor hexadecimal.

Sin ningún asistente (siguiente, siguiente) nos explicó de qué trataba la fragmentación a bajo nivel, cómo se podía recuperar un archivo que estuviera en Slack Space y que papel jugaba en tamaño del Cluster en la recuperación, si era de 512 Bytes o mayor. En resumen, primera falencia: haberme acostumbrado a los asistentes que recuperan datos de forma automática con un par de clics y nunca haber probado a hacerlo de forma manual. Esto, empezando, ya me estaba dando una idea de qué esperar del curso, en pocas palabras, aquí habíamos venido a realizar el trabajo nosotros mismos con X-Ways Forensics como la herramienta que nos iba a permitir aplicar nuestros conocimientos informáticos para resolver casos, punto, aquí no había una herramienta que hiciera el trabajo por nosotros, que a fin de cuentas cualquiera que supiera dar clics y prender un PC podría hacerlo.

Que imagen me llevé del Software y cómo lo comparo

X-Ways Forensics es un conjunto de herramientas que según como se usen van a permitir encontrar material probatorio que se pueda convertir en evidencia. Hace lo mismo que FTK pero debido a la cantidad de opciones y parámetros que tiene se pueden refinar los procesos de forma muy minuciosa y esto se resume en mayor control, mas profundidad y mas satisfacción como perito forense al poder desactivar el piloto automático y manejar la aeronave en forma manual.

Nada mas puede definir mejor este software como un avión ligero con miles de botonespalancas y pantallas sin un piloto automático disponible. Necesita de un gran piloto, con mucha experiencia, horas de vuelo y gran conocimiento para sacarle el mayor provecho y saber cómo actuar ante todas las situaciones que se le presenten. FTK en cambio, es una gran aeronave, pesada, sin tantos botones ni tantas pantallas, que cuando le pones piloto automático hace el trabajo perfecto, incluso puede que mejor que un piloto.

Para gustos los colores

Hay quien defienda FTK, EnCase, Autopsy, X-Ways Forensics y otros cuantos software forenses que andan por ahí. En lo personal no soy del tipo de persona que defiende un producto, yo seguiré usando FTK cuando lo necesite, empezaré a usar más X-Ways Forensics en mis proyectos y el tiempo y situación dirán cuándo tengo que usar uno u otro, por el momento es más que comprensible que esté hablando bien de X-Ways Forensics, pues me lo acabo de comprar y tomar el entrenamiento.

Y entonces cómo es el estilo Alemán

En este caso, miles de botones, miles de opciones, muchos caminos para obtener un solo resultado (de ahí su nombre x-ways). Enfocarse en el objetivo mas que en la experiencia de interacción con el software (muchos decían que estos Alemanes no sabían nada de UX y que la interfaz estaba llena de botones tratando de rellenar los espacios libres en las ventanas). Entregarle al forense toda la variedad de opciones a bajo nivel que le permitan sentirse a gusto con la aplicación de sus conocimientos informáticos y por supuesto al final de todo, estabilidad y rapidez (mas de una agencia allí confesó usar X-Ways Forensics por ser el software más rápido en lo que hace).

Por todo lo que he dicho, la curva de aprendizaje del software es mas grande y se requieren conocimientos más profundos de cómo funcionan las cosas. Una cosa si es cierta, un informático aficionado, digámoslo mas bien de otra forma, "un Hacker", después de conocer X-Ways Forensics de seguro lo volverá su herramienta principal preferida, dejando a las otras como herramientas a las que recurre en casos específicos, por ejemplo, que tu cliente o abogado pida que se use otra herramienta.

Acerca de Julián

Julián Ríos, certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer DRIFR y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.

Para conocer más acerca de Julián Ríos y su empresa, por favor visite el sitio web de la firma NF o consulte su perfil público en el enlace de LinkedIn


Imprimir Correo electrónico