Herramientas forenses digitales y de ciberseguridad destacadas
Autopsy
Autopsy es una plataforma forense digital y una interfaz gráfica que los investigadores forenses utilizan para entender lo que ha ocurrido en un teléfono o un ordenador. Pretende ser una solución modular de extremo a extremo que es intuitiva desde el principio. Algunos módulos de Autopsy pueden realizar análisis de líneas de tiempo, filtrado de hash y búsqueda de palabras clave. Pueden extraer artefactos de la web, recuperar archivos borrados del espacio no asignado y encontrar indicadores de compromiso. Todo esto puede hacerse con relativa rapidez.
Autopsy ejecuta trabajos en segundo plano en paralelo, de modo que aunque una búsqueda completa lleve horas, un usuario sabrá en cuestión de minutos si se han encontrado las palabras clave objetivo. Los investigadores que trabajan con múltiples dispositivos pueden crear un depósito central a través de Autopsy que marcará números de teléfono, direcciones de correo electrónico u otros puntos de datos relevantes.
Desarrollado por el mismo equipo que creó The Sleuth Kit, una biblioteca de herramientas de línea de comandos para investigar imágenes de disco, Autopsy es una solución de código abierto, disponible de forma gratuita en aras de la educación y la transparencia. La última versión está escrita en Java, y actualmente sólo está disponible para Windows.
Bulk Extractor
Bulk Extractor escanea un archivo, directorio o imagen de disco y extrae la información sin analizar el sistema de archivos o las estructuras del sistema de archivos, lo que le permite acceder a diferentes partes del disco en paralelo, haciéndolo más rápido que la herramienta promedio. La segunda ventaja de Bulk Extractor es que puede utilizarse para procesar prácticamente cualquier forma de soporte digital: discos duros, tarjetas de cámaras, smartphones, unidades SSD y unidades ópticas. Las versiones más recientes de Bulk Extractor pueden realizar análisis forenses de redes sociales, así como extraer direcciones, números de tarjetas de crédito, URL y otros tipos de información de las pruebas digitales. Otras capacidades incluyen la posibilidad de crear histogramas basados en direcciones de correo electrónico de uso frecuente y compilar listas de palabras que pueden ser útiles para el descifrado de contraseñas.
Toda la información extraída puede procesarse manualmente o con una de las cuatro herramientas automatizadas, una de las cuales incorpora listas de parada específicas del contexto (es decir, términos de búsqueda marcados por el investigador) que eliminan parte del error humano de la investigación forense digital. El software está disponible de forma gratuita para sistemas Windows y Linux.
COFEE
El Computer Online Forensic Evidence Extractor (COFEE) de Microsoft es un conjunto de herramientas forenses que se utilizan para extraer pruebas de los ordenadores Windows. Desarrollado en 2006 por un ex policía de Hong Kong convertido en ejecutivo de Microsoft, el kit de herramientas actúa como una herramienta forense automatizada durante un análisis en vivo. Contiene más de 150 funciones y una interfaz gráfica de usuario que guía al investigador en la recopilación y el examen de los datos y le ayuda a generar informes tras la extracción. El kit de herramientas incluye descifrado de contraseñas, recuperación del historial de Internet y otras formas de recopilación de datos.
En el momento de su lanzamiento, Microsoft afirmó que COFEE había reducido las tareas de tres a cuatro horas a menos de 20 minutos. Miles de organismos encargados de la aplicación de la ley de todo el mundo (incluida la INTERPOL) utilizan COFEE y Microsoft les proporciona asistencia técnica gratuita.
En noviembre de 2009, COFEE se filtró en múltiples sitios de torrents, y aunque es posible -aunque increíblemente complicado- que los delincuentes construyan en torno a las funciones de COFEE, también es posible que el ciudadano medio eche ahora un vistazo a lo que una vez fue el estándar de la industria en todo el mundo para el análisis forense digital.
Entorno de Investigación Asistida por Ordenador
CAINE ofrece una plataforma de investigación forense a gran escala diseñada para incorporar otras herramientas y módulos en una interfaz gráfica fácil de usar. Su entorno interoperable está diseñado para ayudar a los investigadores en las cuatro etapas de una investigación: conservación, recogida, examen y análisis. Viene con docenas de módulos preempaquetados (Autopsy, mencionado anteriormente, está entre ellos). Desarrollada en Linux, la herramienta es totalmente de código abierto y está disponible de forma gratuita.
Digital Forensics Framework
Digital Forensics Framework (DFF) es una plataforma informática forense de código abierto construida sobre una interfaz de programación de aplicaciones (API) dedicada. Equipado con una interfaz gráfica de usuario para un uso sencillo y automatizado, DFF guía al usuario a través de los pasos críticos de una investigación digital y puede ser utilizado tanto por profesionales como por aficionados.
La herramienta puede utilizarse para investigar discos duros y memoria volátil y crear informes sobre la actividad del sistema y del usuario en el dispositivo en cuestión. El DFF fue desarrollado con los tres objetivos principales de modularidad (permitiendo cambios en el software por parte de los desarrolladores), scriptability (permitiendo la automatización), y genericidad (manteniendo el sistema operativo agnóstico para ayudar a tantos usuarios como sea posible). El software está disponible de forma gratuita en GitHub.
DumpZilla
DumpZilla realiza análisis de navegadores, concretamente de los clientes Firefox, Iceweasel y Seamonkey. Permite la visualización y búsqueda personalizada y la extracción de cookies, descargas, historial, marcadores, caché, complementos, contraseñas guardadas y datos de sesión.
Desarrollado en Python, funciona bajo sistemas Linux y Windows de 32/64 bits, y DumpZilla está disponible de forma gratuita en la web del desarrollador. Aunque se creó como una herramienta independiente, su naturaleza específica y su empaquetado delgado lo convierten en un componente fuerte de las futuras suites forenses digitales.
EnCase
El ganador del premio «Mejor solución forense informática» de SC Magazine durante 10 años consecutivos, EnCase está considerado el estándar de oro en las investigaciones forenses de ciberseguridad, incluyendo las adquisiciones móviles. Desde 1998, EnCase ha ofrecido software forense para ayudar a los profesionales a encontrar pruebas para testificar en casos de investigación criminal relacionados con violaciones de ciberseguridad, recuperando pruebas y analizando archivos en discos duros y teléfonos móviles.
Ofreciendo un paquete completo del ciclo de vida del software, desde el triaje hasta los informes finales, EnCase también cuenta con plataformas como OpenText Media Analyzer, que reduce la cantidad de contenido que los investigadores deben revisar manualmente para cerrar los casos más rápidamente. Con cuatro opciones de licencia de sitio para pequeñas empresas; fuerzas de seguridad federales, estatales y locales; organizaciones de consultoría; y colegios y universidades, ofrece análisis de pruebas de justicia penal a través de unos pocos clics.
ExifTool
ExifTool es un sistema independiente de la plataforma para leer, escribir y editar metadatos en una amplia gama de tipos de archivos. De especial interés para el investigador digital es la lectura de metadatos, que puede realizarse mediante procesos de línea de comandos o una sencilla interfaz gráfica de usuario. Los investigadores pueden arrastrar y soltar diferentes archivos, como un PDF o un JPEG, y saber cuándo y dónde se creó el archivo, un componente crucial para establecer una cadena de pruebas.
El software en sí es ligero y rápido, lo que lo convierte en una inclusión ideal en las futuras suites forenses digitales, y fácil de usar. ExifTool se actualiza con regularidad y está disponible tanto para Windows como para OSx en el sitio web del desarrollador.
FTK Imager
Para que herramientas como The Sleuth Kit de Autopsy funcionen correctamente, es necesario conservar las copias digitales originales de los discos duros antes de poder extraer las pruebas. Entra en escena FTK Imager; una herramienta gratuita que analiza las imágenes de un disco y preserva la integridad original de las pruebas sin afectar a su estado original.
Esta herramienta puede leer todos los sistemas operativos y permite a los usuarios recuperar archivos que han sido eliminados de las papeleras digitales. Puede analizar archivos XFS y crear hashes de archivos para comprobar la integridad de los datos.
MAGNET RAM Capture
Al analizar la memoria física de acceso aleatorio (RAM) de un ordenador, MAGNET RAM Capture permite a los investigadores de ciberseguridad recuperar y analizar los artefactos digitales almacenados en la memoria de un ordenador. Utilizando una pequeña huella de memoria, los investigadores forenses digitales pueden utilizar la herramienta y minimizar la cantidad de datos de memoria que se sobrescriben.
Esta herramienta puede exportar datos de memoria sin procesar en formatos sin procesar (.DMP, .RAW, .BIN), que pueden cargarse en otras herramientas de análisis forense como Magnet AXIOM y Magnet IEF. Esta herramienta gratuita es compatible con varias versiones de sistemas operativos Windows.
Redline
Inicialmente un producto de Mandiant, pero posteriormente adquirido por FireEye, una firma de ciberseguridad, Redline es una herramienta freeware que proporciona seguridad de punto final y capacidades de investigación a sus usuarios. Se utiliza principalmente para realizar análisis de memoria y buscar signos de infección o actividad maliciosa, pero también se puede utilizar para recopilar y correlacionar datos en torno a los registros de eventos, el registro, los procesos en ejecución, los metadatos del sistema de archivos, el historial web y la actividad de la red.
Al ofrecer una capacidad mucho más técnica y subyacente que la que requieren la mayoría de las investigaciones forenses digitales, Redline tiene más aplicaciones en el ámbito de la ciberseguridad y otros comportamientos delictivos de carácter tecnológico en los que es fundamental un análisis granular. Actualmente, Redline solo funciona en sistemas basados en Windows, pero FireEye lo actualiza con regularidad para obtener un rendimiento óptimo y puede descargarse de forma gratuita en el sitio web de FireEye.
SIFT Workstation
El kit de herramientas de investigación forense de SANS (SIFT) es una colección de tecnologías forenses y de respuesta a incidentes de código abierto diseñada para realizar investigaciones digitales detalladas en una variedad de entornos. El kit de herramientas puede examinar de forma segura discos sin procesar y múltiples formatos de archivo, y lo hace de una forma segura y de sólo lectura que no altera las pruebas que descubre.
SIFT es flexible y compatible con el formato de testigo experto (E01), el formato forense avanzado (AFF) y los formatos de evidencia sin procesar. Construido en Ubuntu, incorpora muchas herramientas independientes (incluyendo algunas de esta lista, como Autopsy y Volatility) y las pone a disposición del investigador. SIFT está disponible de forma gratuita y se actualiza regularmente.
Volatility
La Fundación Volatility es una organización sin ánimo de lucro cuya misión es promover el uso del análisis de memoria dentro de la comunidad forense. Su software principal es un marco de trabajo de código abierto para la respuesta a incidentes y la detección de malware a través de la memoria volátil (RAM) forense. Esto permite la preservación de pruebas en la memoria que, de otro modo, se perderían durante un apagado del sistema.
Escrito en Python y compatible con casi todas las máquinas de 32 y 64 bits, puede examinar sectores en caché, volcados de fallos, DLL, conexiones de red, puertos, listas de procesos y archivos de registro. La herramienta está disponible de forma gratuita, y el código está alojado en GitHub.
Wireshark
Wireshark es la herramienta de análisis de protocolos de red más utilizada del mundo, implementada por gobiernos, empresas privadas e instituciones académicas de todo el mundo. Como continuación de un proyecto que comenzó en 1998, Wireshark permite al usuario ver lo que ocurre en una red a nivel microscópico. Al capturar el tráfico de la red, los usuarios pueden buscar actividades maliciosas.
Los datos de red capturados pueden verse en una interfaz gráfica de usuario en Windows, Linux, OSx y otros sistemas operativos. Los datos pueden leerse desde Ethernet, Bluetooth, USB y varios otros, mientras que la salida puede exportarse a XML, PostScript, CSV o texto plano.
Las aplicaciones de Wireshark siguen siendo principalmente en ciberseguridad, pero también hay aplicaciones de investigación forense digital. Wireshark, que se centra menos en la pistola humeante que en el rastro de las migas de pan, puede señalar a un investigador la dirección de la actividad maliciosa para que pueda ser rastreada e investigada.