/*codigo slider*\

miércoles, 5 de febrero de 2014

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

Recorriendo los Caminos de EnCase: EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.



En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

Es por ésta razón que las pequeñas organizaciones deben tener establecido en sus planes de auditoria o investigaciones, la revisión frecuente  de las imágenes contenidas en las computadoras corporativas. Para  así identificar y prevenir fraudes o el mal uso del recurso informático por parte de los empleados.

Mal Uso Informático: Nos referimos especialmente al realizar auditorías o investigaciones y se encuentran capturas de pantallas con imágenes de lo que los empleados están haciendo a través de la computadora corporativa. Como visitar páginas con contenido pornográfico,  revisión de páginas de bancos, realizar extorsiones, uso indebido de correo electrónico, entre otros, cometidos a través de los recursos proporcionados para el trabajo y no para otro fin.




Fraude Interno: Así mismo, los fraudes internos son cometidos por empleados de la propia organización de manera solitaria o en colaboración de otras personas, para obtener un beneficio por lo general de tipo monetario. También el fraude externo es el que realiza una persona ajena a la organización, como puede ser un proveedor o un cliente.  Estos incidentes pasan por la dificultad de administrar grandes cantidades de datos que se procesan en empresas u organizaciones.



Por lo anterior, para cometer fraudes dentro de una pequeña organización, una modalidad es la captura de imágenes de la pantalla, con el fin de guardar información que posteriormente les puede servir para cometer fraudes. Los más conocidos  son: almacenamiento de contraseñas de accesos de los usuarios, información de clientes, proveedores, entre muchos datos de interés para el empleado.  En vista de esto,  pequeñas organizaciones están complementando su seguridad con herramientas especializadas para realizar auditorías de manera remota. Previniendo  vulnerabilidades que puedan afectar la información de la empresa y vigilar que los empleados estén tomando información sin autorización para otros fines. Estas auditorías se realizan utilizando EnCase Enterprise o EnCase Forensic, herramientas que permiten monitorear de forma remota equipos dentro de la empresa y así prevenir fraudes o fugas intencionales o no intencionales de información.





Para éste tipo de casos y con el fin de monitorear  la red, los dueños o administradores de tecnología de pequeñas empresas,  pueden buscar información que revelen qué está tratando de cometer los empleados. Previsualizando si existe captura de imagen de la pantalla, en su gran mayoría son almacenadas en formato imágenes (archivos con extensión .jpg).  A continuación se muestran algunos ejemplos de los lugares que se pueden auditar o inspeccionar de una manera rápida en los computadores de  la organización:





En primer lugar, para inspeccionar  la computadora, una manera simple es realizar previsualización de las carpetas comunes de forma manual. Como por ejemplo las carpetas de usuario se encuentran todas en el interior del directorio con el nombre del usuario del equipo en la ruta C:\Documents and Settings\NombreDeUsuario\My documents(para Windows xp).  Por default algunas imágenes siempre se almacenan en ésta carpeta y allí es una manera fácil de ubicar carpetas o archivos.

También otras carpetas comunes o especiales para auditar rápidamente, son las que se encuentran en la rutaC:\Users\NombreDeUsuario (para Windows 7). Los Archivos temporales de internet (directorio donde se guardan los archivos temporales del navegador Internet Explorer, se almacenan tanto archivos html como imágenes de las páginas web visitadas). Cache de búsquedas hechas en Windows (Se almacenan todos los datos de las búsquedas hechas por el usuario):
  



Pero hay maneras más fáciles como previsualizar de forma remota el computador de un empleado y explorar si existe captura de imágenes de pantallas es la Galería de imágenes. La cual previsualiza todas las imágenes contenidas dentro del dispositivo auditado o examinado; así se puede dar una idea del tipo de imágenes que consulta y almacena el empleado de la pequeña organización:




También un sitio para visualizar archivos, es revisar la papelera de reciclaje, así se puede identificar lo que el empleado esta eliminado y determinar si existe probabilidades que este cometiendo algún tipo de fraude o mal uso informático:




Otra opción un poco mas avanzado para encontrar imágenes es crear una condición por tipo de archivo,  que filtre las extensiones de las imágenes buscadas. De ésta manera se visualiza sólo el tipo de archivo requerido como se muestra a continuación:



Un ejemplo mucho más avanzado donde el examinador forense profesional puede encontrar imágenes,  es realizar una búsqueda  por el encabezado del archivo, para éste caso imágenes en formato JPEG. Recordemos que si un funcionario está cometiendo algún delito, lo obvio es que esté eliminado cualquier rastro.  Por lo tanto,  buscar por el encabezado del archivo, a través de criterio de búsqueda  por palabra clave  y con clave tipo GREP. También en esta búsqueda se puede incluir espacio no asignado o clúster no asignado.  Éste procedimiento se debe hacer ubicando los códigos hexadecimales FF D8 FF seguido por ya sea de FEE1DB,E0, o EE. Conformando una palabra clave GREP como la siguiente:


\xFF\xD8\xFF[\xFE\xE1\xDB\xE0\xEE]








Es de resaltar que el resultado de ésta búsqueda de tipos de archivos JPEG, en algunos casos devolverán una imagen parcial cuando sólo ha sido posible recuperar una parte del archivo y ésta contiene el sector inicial. Por tal motivo encontrará archivos de imágenes incompletas, que también de una u otra manera proporcionan información de lo que están haciendo y eliminando los empleados dentro de la organización.




Como vimos en los ejemplos anteriores, una pequeña empresa a cargo del dueño, gerente o en su defecto el administrador de tecnología de la información, debe tener conocimiento al realizar auditoria de qué  y dónde buscar imágenes. Utilizando de una manera rápida herramientas como EnCase Enterprise y EnCase Forensic. Herramientas que permiten establecer que hacen los empleados, evitando así fraudes o fuga de  información confidencial a terceros consciente o inconscientes. 



Por eso no se puede dejar el patrimonio de las pequeñas empresas al cuidado de la buena voluntad de los empleados, mucho menos en situaciones de riesgo. De ahí que, proteger a la empresa de posibles fraudes se convierte, en buena medida, en un objetivo estratégico y evitar grandes pérdidas monetarias y de reputación.

Related Posts Plugin for WordPress, Blogger...