¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
ForenSíc – Blog Tecnológico sobre Seguridad Informática. 20 septiembre, 20XX | Por [Nombre del Autor]
El mundo de la ciberseguridad está lleno de herramientas y software especificados para ayudar a los investigadores en su búsqueda por obtener evidencia digital que puedan utilizarse como pruebas ante un tribunal. Un ejemplo muy popular entre estos es Forensic ToolKit (FTK), una suite completa de herramientas diseñada específicamente para el procesamiento forense y análisis del contenido multimedia, documentos electrónicos e información que se encuentra en dispositivos digitales.
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
Forensic ToolKit (FTK) fue creado por AccessData Corporation como un software de código abierto para ayudar a los investigadores forenses y expertos informáticos durante el proceso del análisis digital, que consiste en la extracción e interpretación de información relevante desde dispositivos digitales. FTK es una suite completa con herramientas específicas para trabajar sobre evidencia forense y se ha convertido rápidamente como un estándar dentro del campo, ya que ofrece mucha flexibilidad en cuanto a cómo puede ser utilizado por los investigadores.
Parte de la popularidad de FTK es debido al hecho de poder trabajarlo desde una única interfaz gráfica de usuario (GUI), lo cual simplifica el proceso del análisis forense y permite que personas con poca experiencia en este campo puedan utilizar las herramientas sin necesidad previa. FTK se puede ejecutar tanto como un programa independiente, así como también integrado dentro de otros sistemas para investigación digital tales como EnCase o GALILEO Forensic Suite (GFS).
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
El objetivo primordial en utilizar a FTK está relacionado con los procesos forenses, lo que significa extraer información relevante desde dispositivos digitales tales como computadoras personales (PC), teléfonos móviles o tarjetas de memoria. Esta evidencia digital puede ser usada en investigaciones criminales y civiles para probar la inocencia u culpabilidad del acusado, así también ayuda a los expertos informáticos durante el proceso forense al revelar información oculta o borrada de un dispositivo.
FTK se utiliza comúnmente en investigaciones relacionadas con ciberdelitos tales como hacking y phishing; robo de identidad, fraude financiero e internet; así también para casos que involucran terrorismo informático (Ciberterrorísmo), donde los atacantes utilizan tecnología digital a su favor.
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
FTK es capaz de extracción y análisis sobre una amplia variedad de formatos, incluyendo imágenes (JPEG, JPG), audio/video digitales(AVI, MP3) así como documentación electrónica tales como correo electronico (EML o PST), archivos Word (.docx), Excel(.xlsx), PowerPoint (.pptx); además de otros formatos menos comunes que pueden ser encontrados en dispositives.
El software también es capaz de extraer información del registro Windows, así como el contenido oculto dentro de los sistemas operativos tales como la unidad swap o las particiones virtuales (VHD). FTK puede trabajar con diferentes tipos de medios físicos y lógicos incluyendo discos duros internos/externales, tarjetas SD / microSD , USBs así también dispositivos móviles como teléfonos inteligentes o tabletas.
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
¿Cómo se implementa FTK?
El uso de la herramienta comienza con una imagen del disco que se desea analizar, esto puede ser realizado mediante un programa externo tal como dd (Disk Duplicator) o utilidad nativa dentro de Windows. Una vez finalizada esta etapa y teniendo el archivo .dd en su disposición física digital, este es procesado por FTK para extraer la información relevante del mismo; dicha evidencia se almacena entonces según los parámetros establecidos previamente dentro de un sistema especializado llamado «database» (base de datos).
Una vez que el contenido ha sido extracionada y depositado en su respectiva base de datos, FTK permite a investigadores buscar información específica mediante búsqueda por palabra clave o patrón dentro del archivo. Este proceso se conoce como «processing» (procesamiento) e involucrará el análisis forense detallado en los resultados obtenidos, que pueden ser utilizadas posteriormente ante un tribunal de justicia para demostraciones legales o investigaciones internas corporativas.
¿Cómo se implementa FTK?
La herramienta es comúnmente usada por agencias gubernamentales tales como la policía, fiscales y otras entidades relacionadas con el cumplimiento de leyes; sin embargo también puede ser utilizado en empresas privadas para investigaciones internas o auditorías sobre seguridad informática.
El proceso involucra varios pasos que incluyen: 1) la extracción del contenido digital desde un dispositivo, lo cual se realiza mediante una herramienta externa tales como EnCase Forensic;2) el cargue de dichas imágenes dentro FTK para su procesamiento y análisis forense.
Una vez que la evidencia ha sido extraída e importada a FTK, los investigadores pueden comenzar con las búsquedas específicas utilizando herramientas tales como el Analyzer de Texto o Visualizador para Examinantes (VE). Estos pasos se repiten hasta que la evidencia necesaria ha sido obtenida y puede ser presentada ante un tribunal.
En conclusión, FTK es una poderosa herramienta en manejo del análisis forense de dispositivos digitales; su popularidad dentro el campo está relacionado con sus capacidades para extraer información relevante desde diferentes formatos y medios físicos/lógico. El software se ha convertido rápidamente como un estándar debido a la flexibilidad que ofrece en cuanto al procesamiento forense, lo cual permite su uso por personas sin experiencia previa dentro del campo de cibernética o investigación digital
Referencias: 1) AccessData Corporation. (20XX). Forensic ToolKit [Software]. Retrieved from https://www.accessdata.com/product-categories/foren…