Featured Digital Forensics and Cybersecurity Tools
Autopsia
Autopsia é uma plataforma forense digital e uma interface gráfica que os investigadores forenses utilizam para compreender o que aconteceu num telefone ou computador. O seu objectivo é ser uma solução modular de ponta a ponta que seja intuitiva e fora da caixa. Os módulos seleccionados na autópsia podem fazer análise da linha temporal, filtragem de hash e pesquisa de palavras-chave. Podem extrair artefactos da web, recuperar ficheiros apagados de espaço não atribuído, e encontrar indicadores de compromisso. Tudo isto pode ser feito relativamente depressa.
Autopsia executa trabalhos de fundo em paralelo, de modo que mesmo que uma pesquisa completa demore horas, um utilizador saberá dentro de minutos se foram encontradas palavras-chave alvo. Os investigadores que trabalham com múltiplos dispositivos podem criar um repositório central através da Autópsia que assinalará números de telefone, endereços de correio electrónico, ou outros pontos de dados relevantes.
Desenvolvido pela mesma equipa que criou The Sleuth Kit, uma biblioteca de ferramentas de linha de comando para investigação de imagens de disco, a Autópsia é uma solução de código aberto, disponível gratuitamente no interesse da educação e da transparência. A última versão é escrita em Java, e actualmente só está disponível para Windows.
Extractor de grandes dimensões
Extractor de grandes dimensões digitaliza um ficheiro, directório, ou imagem de disco e extrai informação sem analisar o sistema de ficheiros ou estruturas de sistema de ficheiros, permitindo-lhe aceder a diferentes partes do disco em paralelo, tornando-o mais rápido do que a ferramenta média. A segunda vantagem do Bulk Extractor é que pode ser utilizado para processar praticamente qualquer forma de suporte digital: discos rígidos, cartões de câmara, smartphones, SSDs, e unidades ópticas. As versões mais recentes do Bulk Extractor podem realizar análises forenses de redes sociais, bem como extrair endereços, números de cartões de crédito, URLs, e outros tipos de informação a partir de provas digitais. Outras capacidades incluem a capacidade de criar histogramas baseados em endereços de email frequentemente utilizados e compilar listas de palavras que podem ser úteis para a quebra de palavra-passe.
Toda a informação extraída pode ser processada manualmente ou com uma de quatro ferramentas automatizadas, uma das quais incorpora listas de paragem específicas do contexto (ou seja, termos de pesquisa assinalados pelo investigador) que removem parte do erro humano da investigação forense digital. O software está disponível gratuitamente para os sistemas Windows e Linux.
COFEE
Microsoft’s Computer Online Forensic Evidence Extractor (COFEE) é um conjunto de ferramentas forenses utilizadas para extrair provas de computadores Windows. Desenvolvido em 2006 por um antigo agente da polícia de Hong Kong que se tornou executivo da Microsoft, o conjunto de ferramentas actua como uma ferramenta forense automatizada durante uma análise ao vivo. Contém mais de 150 características e uma interface gráfica do utilizador que guia um investigador através da recolha e exame de dados e ajuda a gerar relatórios após a extracção. A desencriptação de senhas, a recuperação do histórico da Internet e outras formas de recolha de dados estão todas incluídas no conjunto de ferramentas.
No momento do seu lançamento, a Microsoft alegou que COFEE tinha reduzido as tarefas de três a quatro horas para menos de 20 minutos. Milhares de agências de aplicação da lei em todo o mundo (incluindo a INTERPOL) utilizam COFEE e a Microsoft fornece-lhes apoio técnico gratuito.
Em Novembro de 2009, COFEE foi divulgado em múltiplos sítios de torrentes, e embora seja possível – embora incrivelmente complicado para os criminosos construir em torno das características do COFEE, é também possível para o cidadão médio ver agora o que em tempos foi o padrão da indústria em todo o mundo para a medicina legal digital.
Ambiente de investigação assistida por computador
CAINE oferece uma plataforma de investigação forense em escala real concebida para incorporar outras ferramentas e módulos numa interface gráfica de fácil utilização. O seu ambiente interoperável é concebido para ajudar os investigadores nas quatro fases de uma investigação: preservação, recolha, exame e análise. Vem com dezenas de módulos pré-embalados (a autópsia, listada acima, está entre eles). Desenvolvida em Linux, a ferramenta é inteiramente de código aberto e está disponível gratuitamente.
Digital Forensics Framework
Digital Forensics Framework (DFF) é uma plataforma forense informática de código aberto construída sobre uma Interface de Programação de Aplicações (API) dedicada. Equipado com uma interface gráfica de utilizador para uso e automatização simples, DFF guia um utilizador através dos passos críticos de uma investigação digital e pode ser utilizado tanto por profissionais como por amadores.
A ferramenta pode ser utilizada para investigar discos rígidos e memória volátil e criar relatórios sobre a actividade do sistema e do utilizador no dispositivo em questão. O DFF foi desenvolvido com os três objectivos principais de modularidade (permitindo alterações ao software pelos programadores), scriptability (permitindo a automatização), e genericidade (mantendo o sistema operativo agnóstico para ajudar o maior número de utilizadores possível). O software está disponível gratuitamente no GitHub.
DumpZilla
DumpZilla realiza análises de browser, especificamente de clientes Firefox, Iceweasel, e Seamonkey. Permite a visualização e pesquisa e extracção personalizada de cookies, downloads, histórico, marcadores, cache, add-ons, palavras-passe guardadas, e dados de sessão.
Desenvolvido em Python, funciona em sistemas Linux e Windows 32/64 bit, e o DumpZilla está disponível gratuitamente no website do programador. Embora tenha sido criado como uma ferramenta autónoma, a sua natureza específica e o seu empacotamento fino fazem dele um forte componente das futuras suites forenses digitais.
EnCase
O vencedor do prémio “Best Computer Forensic Solution” da SC Magazine durante 10 anos consecutivos, EnCase é considerado o padrão de ouro nas investigações forenses de ciber-segurança, incluindo aquisições móveis. Desde 1998, EnCase tem oferecido software forense para ajudar os profissionais a encontrar provas para testemunhar em casos de investigação criminal envolvendo violações de cibersegurança através da recuperação de provas e análise de ficheiros em discos rígidos e telemóveis.
Obtendo um pacote abrangente de software de ciclo de vida desde a triagem até aos relatórios finais, o EnCase também apresenta plataformas como o OpenText Media Analyzer que reduz a quantidade de conteúdo para os investigadores analisarem manualmente para encerrar os casos mais rapidamente. Com quatro opções de licença de sítio para pequenas empresas; aplicação da lei federal, estatal e local; organizações de consultoria; e faculdades e universidades, oferece análise de provas de justiça criminal através de apenas alguns cliques.
ExifTool
ExifTool é um sistema independente de plataforma para leitura, escrita, e edição de metadados numa vasta gama de tipos de ficheiros. De particular interesse para o investigador digital é a leitura de metadados, que pode ser conseguida através de processos de linha de comando ou de uma simples GUI. Os investigadores podem arrastar e largar ficheiros diferentes, tais como um PDF, ou um JPEG, e aprender quando e onde o ficheiro foi criado – um componente crucial no estabelecimento de uma cadeia de provas.
O próprio software é leve e rápido, tornando-o uma inclusão ideal em futuras suites forenses digitais, e fácil de usar. O ExifTool é actualizado regularmente e está disponível tanto para Windows como para OSx a partir do website do programador.
FTK Imager
Para que ferramentas como The Sleuth Kit by Autopsy funcionem correctamente, as cópias digitais originais dos discos rígidos devem ser preservadas antes de se poder extrair provas. Introduza o FTK Imager; uma ferramenta gratuita que analisa imagens de uma unidade e preserva a integridade original das provas sem afectar o seu estado original.
Esta ferramenta pode ler todos os sistemas operacionais e permite aos utilizadores recuperar ficheiros que tenham sido eliminados dos contentores de reciclagem digitais. Pode analisar os ficheiros XFS e criar hashes de ficheiros para verificar a integridade dos dados.
MAGNET RAM Capture
Analizando a memória física de acesso aleatório (RAM) de um computador, MAGNET RAM Capture permite aos investigadores de cibersegurança recuperar e analisar artefactos digitais armazenados na memória de um computador. Utilizando uma pequena pegada de memória, os investigadores forenses digitais podem utilizar a ferramenta e minimizar a quantidade de dados de memória que é sobregravada.
Esta ferramenta pode exportar dados brutos de memória em formatos brutos (.DMP, .RAW, .BIN), que podem ser carregados para outras ferramentas de análise forense, tais como Magnet AXIOM e Magnet IEF. Esta ferramenta gratuita suporta várias versões de sistemas operativos Windows.
Redline
Initially um produto da Mandiant, mas mais tarde tomado pelo FireEye, uma empresa de segurança cibernética, Redline é uma ferramenta freeware que fornece segurança de ponto final e capacidades de investigação aos seus utilizadores. É utilizado principalmente para realizar análises de memória e procurar sinais de infecção ou actividade maliciosa, mas também pode ser utilizado para recolher e correlacionar dados em torno de registos de eventos, do registo, processos em execução, metadados do sistema de ficheiros, histórico da web e actividade da rede.
Obtendo muito mais capacidade técnica e subtil do que a maior parte das investigações forenses digitais necessárias, a Redline tem mais aplicações em ciber-segurança e outros comportamentos criminosos impulsionados pela tecnologia, onde uma análise granular é crítica. O Redline funciona actualmente apenas em sistemas baseados em Windows, mas é regularmente actualizado pelo FireEye para um desempenho óptimo e pode ser descarregado gratuitamente no website FireEye.
Estação de trabalho SIFT
O SANS Investigative Forensics Toolkit (SIFT) é uma colecção de respostas a incidentes de código aberto e tecnologias forenses concebidas para realizar investigações digitais detalhadas numa variedade de ambientes. O kit de ferramentas pode examinar com segurança discos em bruto e múltiplos formatos de ficheiro e fá-lo de uma forma segura, apenas de leitura, que não altera as provas que descobre.
SIFT é flexível e compatível com formatos de testemunhas especializadas (E01), formato forense avançado (AFF), e formatos de provas não processadas. Construído em Ubuntu, incorpora muitas ferramentas separadas (incluindo algumas desta lista, como a autópsia e a volatilidade) e coloca-as à disposição de um investigador. O SIFT está disponível gratuitamente e é actualizado regularmente.
Volatilidade
A Fundação Volatilidade é uma organização sem fins lucrativos cuja missão é promover o uso da análise de memória dentro da comunidade forense. O seu software principal é uma estrutura de código aberto para resposta a incidentes e detecção de malware através de memória volátil (RAM) forense. Isto permite a preservação de provas na memória que de outra forma se perderiam durante o encerramento de um sistema.
Escritas em Python e suportando quase todas as máquinas de 32-bit e 64-bit, pode peneirar através de sectores em cache, descargas de crash, DLLs, ligações de rede, portas, listas de processos e ficheiros de registo. A ferramenta está disponível gratuitamente, e o código está alojado em GitHub.
Wireshark
Wireshark é a ferramenta de análise de protocolo de rede mais utilizada no mundo, implementada por governos, empresas privadas, e instituições académicas em todo o mundo. Como continuação de um projecto iniciado em 1998, Wireshark permite a um utilizador ver o que está a acontecer numa rede a nível microscópico. Ao capturarem o tráfego da rede, os utilizadores podem então procurar actividade maliciosa.
Os dados capturados da rede podem ser visualizados numa interface gráfica do utilizador em Windows, Linux, OSx, e vários outros sistemas operativos. Os dados podem ser lidos a partir de Bluetooth Ethernet, USB, e vários outros, enquanto a saída pode ser exportada para XML, PostScript, CSV, ou texto simples.
As aplicações da Wireshark permanecem principalmente em ciber-segurança, mas existem também aplicações de investigação forense digital. Menos sobre a arma de fumo do que sobre o rasto de migalhas de pão, a Wireshark pode apontar um investigador na direcção de uma actividade maliciosa para que esta possa ser rastreada e investigada.