Los Básicos De Forense: La Importancia Del Analisis De Firmas

Después de obtener una imagen forense de un disco duro evidencia e iniciar su proceso de análisis, una pregunta que se hace cualquier examinador es ¿cuáles tipos de archivos son la que me sirven para la investigación?, al hablar de archivos hay miles de extensiones que existen en los computadores, algunas de las cuales ya han sido estandarizadas por la Organización Internacional de Estandarización (ISO) y la Unión Internacional de Telecomunicaciones (ITU-T), entidades que trabajan para estandarizar los diferentes tipos de información electrónica, por eso ya podemos hablar de archivos del sistema, archivos de aplicación, archivos de usuario.

Estos últimos son los que generalmente tienen información que el examinador encuentra y entrega en sus reportes, pero no hay que confiarse, existen otras extensiones que están camufladas escondiendo el contenido real de los archivos. Algunas veces archivos denominados con extensión 111 son realmente archivos de texto que personas malintencionadas han personalizado cambiando la extensión original.

 Hoy los ciberdelincuentes están utilizando técnicas comunes para enmascarar la información renombrando las extensiones y nombres diferentes, de modo que parezcan otro tipo de archivos; resaltando que los archivos están compuestos por tres partes, un nombre, un punto y una extensión (ejemplo ARCHIVO.EXE), el nombre sirve para identificar un archivo de otro, la extensión para asignarles propiedades concreta, como por ejemplo si el nombre del archivo tiene extensión .EXE indica y se espera que sea un  archivo de una aplicación.  Es por esto que EnCase Forenses realiza  análisis de firmas (Signature analysis), facilitando al examinador verificar entre todos los archivos contenidos en la imagen forense; este proceso lo toma comparando los encabezados de cada archivo o firmas, con la extensión. Así mismo, los programas consultan exclusivamente la extensión del archivo para obtener algún tipo de información adecuada, como por ejemplo Microsoft Windows, al abrir un archivo asocia la extensión con sus respectivas aplicaciones. Otro punto importante a tener en cuenta por un examinador forense en los análisis de firmas son los archivos generados en los Sistemas Operativos UNIX, Linux y MAC, porque archivos contenidos en este tipo de sistemas no arrojan extensión y es muy común en sistemas Mac, lo cual puede dar falsos positivos en análisis de firmas.

En una excelente investigación es importante que el examinador para todos los casos  a través de EnCase Forenses realice el análisis de firmas, para que siempre se haga la comparación entre las extensiones del archivo y los encabezados incluidos en la tabla de firmas del archivo, con el fin de verificar si la extensión del archivo ha sido modificada. Este resultado se visualiza organizando en EnCase las columnas o campos como nombres, extensión y firmas, visualizando las tres columnas inmediatas, de ésta manera el examinador podrá iniciar el análisis de las firmas de archivo, aprovechando las bondades de la herramienta organizadas de una manera que primero quede en orden la columna FIRMAS, después  EXTENSION y por último Nombre de archivo, así podrá  ver resultados posibles de archivos como:

Firma Incorrecta: el cual corresponde a que encontró un archivo con la extensión correcta pero el encabezado no corresponde a ésta extensión;

Alias: indica que el encabezado está incluido en la tabla de firmas de archivo pero la extensión no corresponde a este encabezado, este es clave para la investigación puesto que esto sucede cuando la extensión ha sido renombrada; 

Coincidencia es cuando el encabezado coincide con la extensión;

Desconocido: punto clave también para la investigación, puesto que la tabla de firmas no contiene ni el encabezado ni la extensión del archivo.

Un Ejemplo es aquel archivo con extensión .txt que después de realizar el análisis de firmas aparece como JPEG Imagen, y EnCase Forensics lo muestra como una imagen, es de anotar que si existen algunas discrepancias, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado.

EnCase Forensics detecta automáticamente la identidad del archivo, e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle, entregando resultados claros y contundentes, dentro de las múltiples investigaciones que se tienen en los laboratorios de análisis de evidencia digital.