Amigos del Club de Ciencias Forenses, esta semana presentamos el resumen del estudio “A Forensic Exploration of the Microsoft Windows 10 Timeline” de Horsman, Caithness y Katsavounidis; en él nos hablan de las características que presenta la Línea de Tiempo de Windows 10 y su utilidad para la investigación forense.

Microsoft Windows sigue siendo el líder en sistemas operativos en la informática doméstica, se calcula que un 80% de los ordenadores utilizan esta plataforma a nivel mundial, siendo por tanto uno de los que se más se tiene que examinar en el curso de las diferentes investigaciones criminales. Desde el inicio del presente siglo Microsoft ha lanzado siete versiones: 2000, ME, XP, Vista, 7, 8 y 10, todas ellas pueden ser fácilmente encontradas por los profesionales forenses. En muchos casos los forenses tendrán que examinar los dispositivos buscando comportamientos de los usuarios, como pueden ser, destinos recientes, registros del sistema y búsquedas previas, para determinar el comportamiento y la culpabilidad del sospechoso.

En este caso se analizará la nueva característica de “Línea de Tiempo” (Timeline) de Windows 10, lanzada en la versión 1803 de Windows en abril de 2018, su principal función es representar gráficamente las acciones de los usuarios en el sistema operativo. Microsoft da la siguiente definición de esta nueva funcionalidad: “La Línea de tiempo se encuentra en la barra de tareas y mejora la Vista de tareas para mostrar las aplicaciones actuales y las actividades pasadas. De manera predeterminada, la Línea de tiempo muestra instantáneas de las cosas en las que estaba trabajando antes en el día o en una fecha pasada específica. Una barra de desplazamiento anotada le permite saber dónde se encuentra en su línea de tiempo y, si prefiere no desplazarse, puede buscar el elemento o actividad que te gustaría retomar”.

La Línea de tiempo graba la actividad del usuario durante 30 días. No hay un listado definitivo de todo lo que registra, pero entre ellos esta los eventos del navegador Edge, incluyendo las búsquedas en Bing, fotos, noticias, deportes, mapas del tiempo, información básica de Office y la información de apertura de archivos. Esta funcionalidad puede ser de gran ayuda para los investigadores forenses ya que ayudará a identificar con mayor facilidad las acciones que un sospechoso a llevado a cabo en su dispositivo. Cuando está operativo, ya que se puede desactivar, su recopilación pasiva de interacciones del usuario ofrece una fuente de operaciones grabadas que van desde el historial de internet, documentos e imágenes. Esto puede ser especialmente útil en el caso de la pornografía infantil ya que la utilización de estos registros junto con los metadatos es posible revelar toda la actividad del usuario.

Para probar la funcionalidad de la Línea de tiempo se crearon archivos de prueba únicos en un sistema de prueba con los que se interactúo anotando la fecha y la hora de cualquier interacción, pudiéndose identificar cualquier inclusión de estos datos en la investigación de la línea de tiempo posterior. La base de datos de la Línea de tiempo se puede extraer y consultar o acceder en vivo, lo que permite ver los cambios de inmediato.

Primero se tiene que hacer una diferenciación entre los dos tipos de mosaicos que registra la Línea de Tiempo. Por un lado, están los mosaicos de procesos (PT) y por otro, los mosaicos de actividad (AT). La Línea de Tiempo, aunque está comercializada como una herramienta de seguimiento de actividad también se comporta como administrador de tareas ya que puede cambiar entre procesos y terminarlos. Los PT son mosaicos activos que muestran un proceso que actualmente está en ejecución mientras que los AT son como accesos directos que facilitan la localización de archivos. Los usuarios tienen la opción de subir toda la actividad de su Línea a la nube de Microsoft lo que permite la sincronización con los diferentes dispositivos. Aunque está pensada principalmente para Windows 10 tanto Microsoft Launcher en Android como Edge en iOS son compatibles. Para controlar la actividad e iniciar su uso se debe hacer a través de Inicio> Configuración> Privacidad> Historial de Actividades. Una vez activa, la Línea de tiempo almacena la información dentro de la base de datos SQLite ActivitiesCache.db.

Las pruebas realizadas con el ActivitiesCache.db de la Línea de Tiempo a través de SQL y los archivos asociados han demostrado ser una fuente de información sobre el usuario de que se pueden extraer e interpretar mediante el SQL. Los eventos capturados por la Línea se podrían diferenciar entre información a AT y de PT interpretándola y vinculándola a acciones concretas del usuario. También se puede diferenciar entre una cuenta local de una asociada a través de un análisis de estructuras.

Dentro del ActivitiesCache.db hay dos tablas (Metadata y Manual Sequence) que contemplan todo lo relacionado con los metadatos, incluyendo la última hora y fecha en la que se creó la base de datos y otras tres tablas (Activity, ActivityOperation y Activity_PackargeId) que documentan toda la actividad de la Línea de Tiempo, que incluyen la última ETag registrada.

El análisis demuestra el valor potencial de un análisis de Timeline como fuente de evidencia para denotar la interacción entre usuario y sistema en el contexto de la investigación forense de Windows 10. Cuando los accesos a los archivos de evidencia clave se han producido en un sistema Windows 10 y esta activo la Línea de Tiempo puede capturar y registrar la información lo que proporciona un registro de la culpabilidad. Además, se han investigado las limitaciones de la Línea de Tiempo, que indica cuando se elimina los archivos, a los 30 días se purgan las tablas de Activity, ActivityOperation y Activity_PackargeId. Tampoco se almacenan el nombre de las carpetas si se entra desde el explorador de archivos al igual que ocurre con los archivos de la papelera. También, en el caso de los AT al funcionar como un acceso directo no podrá entrar en el archivo si ha sido movido después de haberse grabado en el base de datos.

Author

Write A Comment

Club de Ciencias Forenses