Belkasoft Evidence Center 2019 v.9.5 (o, en breve, BEC)
es una solución forense todo en uno, que ayuda en la extracción y análisis de los dispositivos móviles, computadoras,
RAM, nubes y sistemas remotos en una sola herramienta. Dado su precio asequible, es una de las mejores opciones entre los productos disponibles en el mercado.
La versión 9.5 de BEC 2019 es uno de los lanzamientos más importantes en los últimos años. Se han añadiso varias opciones nuevas a gran escala, que incluyen las siguientes:
- Adquisición remota de ordenadores, móviles y RAM
- Investigación de incidentes
- Búsqueda entre los casos
- Montaje y análisis de las imágenes TWRP
- Copia lógica completa de dispositivos iOS con jailbreak
- Cronograma gráfico con opciones de filtrado y agrupamiento
- Descifrado de Telegram X
- Soporte de APFS multi-partición
- Actualización masiva del módulo multiusuario Team Edition
- Numerosas actualizaciones de extracción de evidencia
- Se ha introducido la nueva capacitación oficial de 3 días junto con la certificación opcional BelkaCE (Belkasoft Certified Examiner)
¡Apúntate para un webinar sobre BEC v.9.5!
La actualización hasta la versión 9.5 es gratuita para todos los clientes con un contrato de Mantenimiento y Soporte de Software Extendido no vencido.
Los clientes sin un contrato actual pueden comprarlo en el Portal del Cliente.
También está disponible un
curso de actualización asequible para aquellos que deseen ponerse al día con todas las mejoras recientes. Asimismo se ofrece la capacitación
con la certificación opcional
Nuevas opciones en detalle
Adquisición remota
La adquisición se ha introducido para ayudar a los investigadores en un entorno distribuido. Cuando una organización tiene múltiples delegaciones y cada ubicación puede recibir dispositivos a investigar, se hace complicado realizar un análisis forense de dichos dispositivos oportunamente. Sin variantes, alguna ubicación no dispone de un especialista capacitado para realizar adquisiciones. Asimismo toma su tiempo enviar el dispositivo a la oficina central o enviar un especialista a la ubicación lejana. Si hace falta extraer datos de una computadora o una memoria, se hace imposible enviar el dispositivo.
Estos problemas se pueden resolver con métodos de adquisición forense remota, ahora disponibles con Belkasoft. La nueva versión de BEC le permite instalar un agente en cualquier computadora dentro de su red y, con un mínimo de esfuerzo, extraer datos de un disco duro de computadora, una memoria RAM o un dispositivo móvil conectado. La imagen adquirida se puede programar para la carga a la ubicación central. Se puede hacer de noche para que el rendimiento de Internet durante la jornada laboral no se vea afectado.
Con BEC puede instalar fácilmente un agente en una máquina remota, luego extraer los datos de un dispositivo conectado a esta computadora y luego programar la carga de la imagen creada
a su computadora principal
La nueva característica es útil para los organismos de la Fuerza que tienen varias oficinas, así como para las empresas privadas con departamentos forenses centralizados.
Para estos últimos, el uso de la adquisición remota por BEC parece un importante ahorro de costos, tiempo y esfuerzos.
La adquisición remota está disponible como un complemento pagado.
Investigación de incidentes
La investigación de incidentes es una opción totalmente nueva en BEC, que amplía aún más el alcance de BEC para nuestros clientes corporativos. Esta nueva función está diseñada a ayudar a las empresas privadas a investigar los intentos de piratería informática en las computadoras Windows. Analizando diferentes fuentes de datos, como los registros, Windows Event Log y volcados de memoria, puede encontrar rastros, que son típicos para los métodos utilizados por los piratas informáticos para penetrar en la infraestructura de la empresa.
Belkasoft Evidence Center examina varios artefactos ubicados dentro de Amcache, ShimCache, Syscache, BAM/DAM, DLL de AppInit, cambio de asociación de archivos predeterminada, tareas programadas, conexiones remotas (RDP, Remote Connection, TeamViewer y otros), configuración de inicio, extensiones de navegadores etc.; detecta conexiones y scripts sospechosos.
Luego, los resultados del análisis se presentan en la nueva ventana de BEC que facilita la separación de actividades sospechosas de los artefactos forenses habituales.
El nuevo panel ву BEC visualiza convenientemente varias fuentes a estudiar al investigar un caso de respuesta a incidentes
Esta nueva opción convierte BEC en una solución completa de DFIR (Digital Forensics, Incident Response), que ayuda a los clientes no solo con la parte de la abreviatura "DF" sino también con "IR"
La investigación de incidentes está disponible como un complemento pagado.
Búsqueda entre los casos
Esta nueva característica de BEC 9.5 ayuda a un equipo de investigadores a encontrar coincidencias entre el caso actual que se está investigando con los casos archivados.
A medida que el producto analiza el caso actual, va analizando los casos anteriores e intenta localizar diversos datos que residen en el caso actual. Se puede configurar la herramienta especificando tanto los datos a buscar, como los casos anteriores a analizar.
Si un correo electrónico, un número de teléfono o un perfil encontrado en el caso actual también se encuentran en un caso anterior, podrá significar que las personas en estos casos están conectadas o tienen algo en común. Entendiendo la importancia de dicha información, cualquier coincidencia entre los casos resulta en una alerta en la barra de estado de BEC, por lo que se puede notar enseguida.
Se puede revisar los resultados de la búsqueda en la ventana "Resultados de la búsqueda" de la interfaz de BEC en el nuevo nodo "Alertas".
Si un teléfono, correo electrónico o UIN encontrado en el caso actual aparecía en casos anteriores, BEC se lo notificará usando un nodo especial dentro de la ventana Resultados de búsqueda
Esta función es especialmente útil con Team Edition de BEC, ya que le permitirá tanto buscar dentro de sus casos BEC almacenados en su equipo local, como también revisar de forma remota los casos de sus colegas.
La Búsqueda entre los casos está disponible de forma gratuita para los titulares de licencias de Team Edition y como un complemento pagado para los clientes que tienen la licencia para un usuario.
Montaje y análisis de las imágenes TWRP
Con BEC v.9.5 puede montar y analizar las imágenes TWRP de Android.
TWRP (Team Win Recovery Project) es una imagen de recuperación personalizada de código abierto para dispositivos Android. Con esta herramienta, el usuario obtiene acceso a una funcionalidad sustancial para la administración de dispositivos. Con TWRP, puede crear una copia lógica completa de la partición "/data" del usuario y luego investigarla con BEC.
La lista de los dispositivos compatibles se puede ver en
TWRP project website.
Esta opción está disponible para todos nuestros clientes que tengan un módulo actualizado de Análisis de dispositivos móviles.
Copia lógica completa de dispositivos iOS con jailbreak
Con BEC v.9.5 ahora podrá hacer una copia lógica completa de los dispositivos iOS, que tengan un jailbreak. Una copia completa de los dispositivos Apple contiene mucha más información que una copia de seguridad estándar de iTunes, incluidos varios chats y otras aplicaciones. En particular, con una copia completa, incluso se puede restaurar los chats secretos de Telegram después de que se hayan eliminado.
BEC le permite hacer una copia lógica completa, así como analizar luego los archivos extraídos, como, por ejemplo, recuperar los chats secretos eliminados de Telegram mencionados ya.
Esta opción está disponible para todos nuestros clientes que tengan un módulo actualizado de Análisis de dispositivos móviles.
Detección por ANN de los símbolos de flecha y cruz en las imágenes
La nueva versión de Belkasoft Evidence Center ofrece apoyo a los investigadores que se ocupan de delitos relacionados con las drogas. Una de las evidencias, que puede probar el hecho de la distribución de drogas, es un conjunto específico de imágenes almacenadas en el dispositivo de un sospechoso. Estas imágenes muestran un lugar donde se oculta una ración de droga junto con una flecha o una cruz dibujadas a mano en la imagen.
Este es un ejemplo real de una imagen utilizada para marcar la ubicación de drogas.
Utilizando redes neuronales artificiales de última generación, Belkasoft puede encontrar esas imágenes entre cientos de miles de otras imágenes en un dispositivo, lo que acelera drásticamente la investigación.
Esta función está disponible para todos los clientes de BEC con una licencia válida. Se requiere bajar un ejecutable separado (disponible en su Portal del Cliente, asegúrese de haber descargado la versión .ann).
Descifrado de Telegram X
Belkasoft soporta docenas de aplicaciones diferentes en cada versión, pero el recién añadido soporte de Telegram X se destaca. Este popular mensajero utiliza un cifrado sólido, cuyos detalles aún no están bien documentados. Por ello los especialistas de Belkasoft tuvieron que pasar una cantidad significativa de horas esforzándose por entender este formato.
Belkasoft es la primera herramienta forense digital al descifrar Telegram X de Android.
Esta opción está disponible para todos nuestros clientes que tengan un módulo actualizado de Análisis de dispositivos móviles.
Soporte de APFS multi-partición
APFS es un sistema de archivos introducido en macOS High Sierra 10.13 en 2017. Belkasoft fue una de las tres primeras herramientas forenses digitales que soportaron APFS el año pasado. Estamos mejorando constantemente este soporte y, en esta versión, introducimos el soporte de las imágenes APFS de múltiples particiones.
La extracción de evidencias de APFS está disponible para todos los clientes de BEC con una licencia válida. La visualización del sistema de archivos está disponible para los clientes que tengan un módulo actualizado del Explorador del sistema de archivos.
Actualización masiva del módulo multiusuario Team Edition
Team Edition permite a las organizaciones privadas y públicas que disponen de los equipos de investigadores:
- repartir eficientemente su trabajo
- trabajar en los mismos casos simultáneamente
- almacenar los casos de forma centralizada en una base de datos de Microsoft SQL Server de alto rendimiento, lo que permite el acceso al caso desde varias estaciones de trabajo y por varias personas
- restringir los permisos de acceso del usuario para editar o ver un caso
- estudiar los casos locales y remotos en la misma interfaz de producto
- usar los casos de otros investigadores para buscar entre los casos
Con v.9.5, Belkasoft mejora significativamente la experiencia del usuario de Team Edition, su rendimiento y robustez. Además, el nuevo módulo de búsqueda entre los casos está disponible para los titulares de licencias de Team Edition de forma gratuita.
La pantalla de administración de usuarios le permite al administrador crear usuarios y asignarles los roles.
Esta función está disponible para todos los clientes de BEC con una licencia de Team Edition válida. Las actualizaciones de licencia sencilla o de red están disponibles.
Otras mejoras
Aparte de las características principales introducidas anteriormente, hay muchas otras mejoras. Entre las cuales:
- Análisis mejorado/introducido
- Todas las plataformas: Chrome, Facebook, Instagram, Odnoklassniki, Safari, Skype, Skype cross-platform, Uber, Vipole, VK, WeChat, WhatsApp
- Windows: navegadores Avant y Sogou, Map app
- iOS: Apple Mail, Chrome, KIK, Live me, Microsoft Edge, Opera, Twittie, Notas eliminadas recientemente para iOS Notes
- Android: Badoo, Dolphin browser, Gmail, Google+, Grindr,
Hangout, ICQ, Imo, IM+, KateMobile, Mail.Ru agent, MeetMe, MeowChat,
Next plus, ooVoo, Pinterest, Slack, Snapchat, Swarm, Tango, Telegram,
Tinder, Twitter, Voxer, Xabber
- macOS: aMSN
- Análisis de los discos
- Detección de bitlocker se ha introducido
- Descifrado de Bitlockercon una clave de descifrado conocida se ha introducido (requiere el Módulo de descifrado)
- Descifrado de McAfee Endpoint Security con una clave de descifrado conocida se ha introducido (requiere el Módulo de descifrado)
- Extracción de fotogramas clave de video se ha actualizado
- Se ha mejorado el análisis de los archivos de registro dañados
- Extracción de direcciones MAC de archivos LNK se ha corregido
- Extracción de archivos recientes abiertos por varias aplicaciones de macOS se ha introducido
- Análisis de los móviles
- Se ha introducido el análisis de sms/mms de las copias de seguridad de Android
- Análisis de las nubes
- Autenticación de iCloud se ha actualizado
- Descarga de los servicios GSuite se ha actualizado
- GUI y Usabilidad
- Se han añadido los nodos separados para Imágenes con rostro / pornografía / armas / texto en la pestaña General
- Visualización de SMS, llamadas, chats, correos de voz se ha unificado
- La columna "Duración" se ha añadido donde se aplique a las llamadas
- Se ha añadido la columna de "Estado de entrega" donde se aplique a los chats y las llamadas
- Se ha corregido la opción de Guardar el archivo seleccionado en la base de datos
- Tablero de instrumentos pemite ordenar los casos recientes por fecha/hora de apertura
- Se ha añadido la búsqueda en Plist y Registry Viewer
- Se ha añadido el ordenamiento en SQLite Viewer
- La navegación automática a una rama del registro donde se almacena la evidencia seleccionada se ha introducido en el Registry Viewer
- Explorador de sistemas de archivos
- Se ha añadido el filtrado de la lista de archivos
- Múltiples mejoras del análisis de conjuntos de hash:
- Mejora del rendimiento
- Se ha solucionado el problema de no iniciar el análisis de conjuntos de hash si no se seleccionaba el análisis de artefactos
- El sistema de archivos ahora se visualiza en Evidence Reader (si el BEC original disponía del módulo del Explorador del sistema de archivos)
¡Apúntate para un webinar sobre BEC v.9.5!
