Informática forense

¿Incidente de seguridad informática en su empresa? Recopilamos pruebas a prueba de tribunales y de auditorías en su nombre.

Conservación de pruebas a prueba de tribunales y auditorías en forma de informe informático forense.

 

  • Apoyo en la recuperación, el análisis y la conservación de datos y su preparación como prueba digital para su uso en los tribunales

 

  • Asegurar todos los archivos necesarios que se necesitan como prueba para otras medidas forenses digitales, por ejemplo.

 

  • Recuperación de datos borrados u ocultos de dispositivos digitales, siempre que estos datos estén básicamente presentes, mediante el tallado de archivos.

 

  • Recogida de pruebas sobre la base del principio de Locard para la identificación de un sospechoso y un motivo

 

  • Copia de seguridad de los archivos respetando la cadena de custodia para la integridad de las pruebas digitales

Procedimiento

1.

La primera etapa implica la identificación de los objetivos de la investigación y los recursos necesarios. En primer lugar, identificamos las pruebas y el tipo de datos que estamos tratando, incluidos los dispositivos en los que se almacenan los datos. Como especialistas en investigación forense digital, trabajamos con todo tipo de dispositivos de almacenamiento electrónico: Discos duros, teléfonos móviles, ordenadores, tabletas, etc.

2.

En esta fase, nos aseguramos de que los datos estén aislados y almacenados adecuadamente. Esto ocurre según el principio de «no tocar el original», para que las pruebas estén aseguradas y se trabaje sólo con imágenes. Los dispositivos originales asegurados permanecen intactos hasta el final de la investigación.

 

3.

La fase de análisis implica una búsqueda sistemática exhaustiva de las pruebas pertinentes. Trabajamos con archivos y objetos de datos tanto del sistema como del usuario. A partir de las pruebas encontradas, empezamos a sacar conclusiones.

 

4.

En esta fase se documentan todas las pruebas relevantes encontradas. Se ofrece un análisis del porqué, que da un nuevo impulso a las autoridades en su investigación.

 

5.

En la fase final, todas las pruebas y conclusiones se comunican de acuerdo con los protocolos forenses, que contienen los métodos y procedimientos de análisis y sus explicaciones.

 

Versátil: ya sea para aclarar la cuestión de la culpabilidad ante un tribunal, frente a sus socios comerciales o para presentarla a su aseguradora.

Utilizamos, entre otras, las siguientes técnicas:

Análisis de la línea de tiempo:

– Listado de eventos del sistema por tiempo para facilitar la identificación de actividades

Búsqueda de palabras clave:

– Con los módulos de extracción de texto y búsqueda de índices, podemos encontrar archivos que contengan ciertos términos o que coincidan con nuestros patrones de expresiones regulares (RegEx)

Tejiendo artefactos:

– Extraemos la actividad web de los navegadores habituales para identificar la actividad de los usuarios

Análisis del registro:

– De este modo, se pueden identificar los documentos y dispositivos USB a los que se ha accedido recientemente

Análisis de archivos LNK:

– Identificación de enlaces y documentos recuperados

Análisis del correo electrónico:

– Análisis de los mensajes identificados en el sistema

Datos EXIF:

– Extrae la información sobre la ubicación y la cámara de los archivos JPEG

Análisis del sistema de archivos:

– Soporte para los sistemas de archivos más comunes, incluyendo NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2

Extracción de cadenas Unicode:

– Extracción de cadenas del espacio de almacenamiento no asignado y de tipos de archivos desconocidos en todos los idiomas habituales

Reconocimiento del tipo de archivo:

– Basándonos en las firmas, indexamos el sistema y detectamos las extensiones no coincidentes, como es el caso del malware

Análisis de sistemas Android e iOS:

– Extrae datos de SMS, registros de llamadas, contactos, Tango y más.

 

Casos de uso concretos

Análisis básico

 

Mediante la interpretación de cadenas, el examen de las llamadas a la API de Windows o la identificación del malware empaquetado y el reconocimiento de las firmas basadas en el host, obtenemos una visión general inicial. A continuación, detonamos el malware en un entorno controlado para recopilar firmas de red e identificar dominios de segundo nivel y cargas útiles maliciosas.

 

Análisis del malware en lenguaje ensamblador x86

 

Con el ensamblaje x86, ahora podemos realizar análisis avanzados. Para ello, utilizamos herramientas como Cutter y x32dbg para obtener información importante sobre el malware al nivel más bajo posible. Al controlar el flujo de ejecución del malware y procesar sus instrucciones de bajo nivel en un depurador, obtenemos ahora todas las posibilidades de análisis avanzado.

Documentos

 

Nuestros expertos también analizan los documentos maliciosos y el malware suministrado por los documentos, incluidas las macros maliciosas y las inyecciones de plantillas remotas.

También podemos identificar y extraer el código shell incrustado. Identificación también para técnicas de entrega de malware con scripts u ofuscadas.

 

Otros campos de actividad:

 

  • Descompilar y aplicar ingeniería inversa a los ensamblajes de C# y aplicar ingeniería inversa al marco de trabajo de .NET, así como analizar el malware escrito en Go.
  • Ingeniería inversa de droppers C2 de malware encriptados
  • Ingeniería inversa de aplicaciones Android e iOS maliciosas
  • Escribir reglas YARA para apoyar la detección de muestras de malware

Reserva tu cita

Sus personas de contacto

Siempre puede contactarnos personalmente. Porque la lealtad en la asociación es mucho más importante para nosotros que el éxito a corto plazo.

Philipp Kalweit

Philipp Kalweit

Socio Director

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit es un experimentado consultor de seguridad informática en los temas de concienciación sobre la seguridad y auditoría informática ofensiva. Como Director de Estrategia y Consultoría, es responsable de la estrategia corporativa y del área de asesoría y consultoría. Durante los últimos seis años, ha asesorado y auditado a clientes del entorno de las PYME y de los grupos, en particular a organizaciones reguladas por el BCE y el BaFin, así como a grupos del sector minorista. Su consultoría se centra en la seguridad informática integral. Por su trabajo, fue galardonado como «Hamburguesa del mes» por DIE ZEIT en 2019 e incluido en la lista Forbes «30 under 30 DACH» en el mismo año.

 

Günther Paprocki

Günther Paprocki

Socio Director

 

+49 40 285 301 258

hello@kalwe.it

Desde mayo de 2024 El ingeniero industrial Günther Paprocki es socio director de KALWEIT ITS desde mayo de 2024. Como Director de RRHH y Operaciones, es responsable del negocio operativo y del departamento de RRHH. Desde sus puestos en Sharp, Philips y Cisco, aporta un soplo de aire fresco a nuestra consultora. Ya sea en el campo de la energía fotovoltaica, la e-movilidad o la primera red de telefonía móvil de Alemania, Günther Paprocki siempre ha trabajado en sectores con visión de futuro. Su misión actual: reforzar la ciberseguridad en Alemania.