Herramientas de análisis forense

Los dispositivos digitales son ubicuos y su uso en investigaciones de cadena de evidencia es crucial. La pistola humeante de hoy es más probable que sea un ordenador portátil o un teléfono que un arma más literal. Ya sea que dicho dispositivo pertenezca a un sospechoso o una víctima, la gran cantidad de datos que contienen estos sistemas podría ser todo lo que un investigador necesita para armar un caso.

Dicho esto, recuperar esos datos de manera segura, eficiente y legal no siempre es un esfuerzo simple. Los investigadores confían cada vez más en las nuevas herramientas forenses digitales para ayudarlos.

¿Qué son las herramientas forenses digitales?

Las herramientas forenses digitales son relativamente nuevas. Hasta principios de la década de 1990, la mayoría de las investigaciones digitales se realizaban mediante análisis en vivo, lo que significaba examinar los medios digitales utilizando el dispositivo en cuestión como lo haría cualquier otra persona.

A medida que los dispositivos se volvieron más complejos y llenos de más información, el análisis en vivo se volvió engorroso e ineficiente. Con el tiempo, las tecnologías especializadas y gratuitas comenzaron a surgir como hardware y software para filtrar, extraer u observar cuidadosamente los datos en un dispositivo sin dañarlo ni modificarlo.

Las herramientas forenses digitales pueden clasificarse en muchas categorías diferentes, algunas de las cuales incluyen:

  • análisis forenses de bases de datos,
  • captura de disco y datos,
  • análisis de correo electrónico,
  • examen de archivos,
  • visores de archivos,
  • estudio de Internet, de redes y de registros
  • examen de dispositivos móviles.

Muchas herramientas cumplen más de una función simultáneamente, y una tendencia significativa en las herramientas forenses digitales son los «envoltorios», uno que empaqueta cientos de tecnologías específicas con diferentes funcionalidades en un conjunto de herramientas general.

Todos los días se desarrollan nuevas herramientas, como soluciones patrocinadas por el gobierno de élite y plataformas de hackers de sótanos. La receta para cada uno es un poco diferente. Algunos de estos van más allá de las búsquedas simples de archivos o imágenes, y profundizan en el ámbito de la seguridad cibernética, lo que requiere un análisis de red o una evaluación de amenazas cibernéticas. Cuando hay una herramienta para todo, la pregunta más apremiante es cuál usar.

¿Cómo elegir la mejor?

Al seleccionar entre la amplia gama de opciones, consideramos los siguientes criterios:

  • Asequibilidad: el precio puede no ser un indicador de calidad, pero las revisiones colaborativas pueden serlo. La mayoría de las herramientas a continuación son de código abierto, y todas son gratuitas y mantenidas por una comunidad de desarrolladores dedicados.
  • Accesibilidad: a diferencia de algunas marcas propietarias que solo venden a las entidades encargadas de hacer cumplir la ley, todas estas están disponibles para particulares.
  • Responsabilidad: ya sea ​​a través de proyectos de código abierto o testimonios del mundo real, estas tecnologías han sido examinadas a fondo por expertos.

Principales herramientas de análisis forense

Aquí tienes algunas de las principales herramientas de análisis forense:

Autopsy

Autopsy es una plataforma forense digital y una interfaz gráfica que los investigadores forenses usan para comprender lo que sucedió en un teléfono u ordenador. Su objetivo es ser una solución modular de extremo a extremo que sea intuitiva desde el primer momento.

Los módulos seleccionados en Autopsia pueden hacer análisis de línea de tiempo, filtrado de hash y búsqueda de palabras clave. Pueden extraer artefactos web, recuperar archivos borrados del espacio no asignado y encontrar indicadores de compromiso. Todo esto se puede hacer con relativa rapidez.

La autopsia ejecuta trabajos en segundo plano en paralelo, de modo que incluso si una búsqueda completa lleva horas, el usuario sabrá en cuestión de minutos si se han encontrado palabras clave específicas.

Los investigadores que trabajan con múltiples dispositivos pueden crear un repositorio central a través de Autopsia que marcará números de teléfono, direcciones de correo electrónico u otros puntos de datos relevantes.

Desarrollado por el mismo equipo que creó The Sleuth Kit, una biblioteca de herramientas de línea de comandos para investigar imágenes de disco, Autopsy es una solución de código abierto, disponible de forma gratuita en interés de la educación y la transparencia. La última versión está escrita en Java, y actualmente solo está disponible para Windows.

CAINE

CAINE ofrece una plataforma de investigación forense a gran escala diseñada para incorporar otras herramientas y módulos en una interfaz gráfica fácil de usar. Su entorno interoperable está diseñado para ayudar a los investigadores en las cuatro etapas de una investigación: preservación, recolección, examen y análisis.

Viene con docenas de módulos preenvasados ​​(Autopsia, enumerados anteriormente, se encuentra entre ellos). Desarrollada en Linux, la herramienta es completamente de código abierto y está disponible de forma gratuita.

Digital Forensics Framework

Digital Forensics Framework (DFF) es una plataforma de informática forense de código abierto construida sobre una interfaz de programación de aplicaciones (API) dedicada. Equipado con una interfaz gráfica de usuario para un uso simple y automatización, DFF guía a un usuario a través de los pasos críticos de una investigación digital y puede ser utilizado tanto por profesionales como por aficionados.

La herramienta se puede utilizar para investigar discos duros y memoria volátil y crear informes sobre la actividad del sistema y del usuario en el dispositivo en cuestión.

DFF se desarrolló con los tres objetivos principales de:

  • modularidad (que permite que los desarrolladores realicen cambios en el software),
  • capacidad de escritura (que permite la automatización) y
  • genérico (mantener el sistema operativo agnóstico para ayudar a la mayor cantidad de usuarios posible).

El software está disponible de forma gratuita en GitHub.

Volatilidad

La Volatility Foundation es una organización sin fines de lucro cuya misión es promover el uso del análisis de memoria dentro de la comunidad forense. Su software principal es un marco de código abierto para la respuesta a incidentes y la detección de malware a través de análisis forenses de memoria volátil (RAM). Esto permite la preservación de la evidencia en la memoria que de otro modo se perdería durante un apagado del sistema.

Escrito en Python y compatible con casi todas las máquinas de 32 bits y 64 bits, puede filtrar a través de sectores en caché, volcados por caída, DLL, conexiones de red, puertos, listas de procesos y archivos de registro. La herramienta está disponible de forma gratuita y el código está alojado en GitHub.

Redline

Inicialmente un producto de Mandiant, pero luego asumido por FireEye, una empresa de ciberseguridad, Redline es una herramienta gratuita que brinda seguridad de punto final y capacidades de investigación a sus usuarios.

Se utiliza principalmente para realizar análisis de memoria y buscar signos de infección o actividad maliciosa, pero también se puede utilizar para recopilar y correlacionar datos en torno a registros de eventos, el registro, los procesos en ejecución, los metadatos del sistema de archivos, el historial web y la actividad de la red.

Al ofrecer una capacidad mucho más técnica y de calidad que la mayoría de las investigaciones forenses digitales, Redline tiene más aplicaciones en ciberseguridad y otros comportamientos criminales impulsados ​​por la tecnología donde un análisis granular es crítico.

Redline actualmente solo funciona en sistemas basados ​​en Windows, pero FireEye lo actualiza regularmente para un rendimiento óptimo y se puede descargar de forma gratuita en el sitio web de FireEye.

COFEE

El Extractor de evidencia forense en línea del ordenador de Microsoft (COFEE) es un juego de herramientas forenses que se utiliza para extraer evidencia de los ordenadores con Windows.

Desarrollado en 2006 por un ex oficial de policía de Hong Kong convertido en ejecutivo de Microsoft, el kit de herramientas actúa como una herramienta forense automatizada durante un análisis en vivo. Contiene más de 150 funciones y una interfaz gráfica de usuario que guía a un investigador a través de la recopilación y el examen de datos y ayuda a generar informes después de la extracción.

El descifrado de contraseñas, la recuperación del historial de Internet y otras formas de recopilación de datos están incluidas en el kit de herramientas.

En el momento de su lanzamiento, Microsoft afirmó que COFEE había reducido las tareas de tres a cuatro horas a menos de 20 minutos. Miles de organismos encargados de hacer cumplir la ley en todo el mundo (incluida INTERPOL) utilizan COFEE y Microsoft les proporciona asistencia técnica gratuita.

En noviembre de 2009, COFEE se filtró en múltiples sitios de torrents, y aunque es posible, aunque increíblemente complicado, que los delincuentes construyan alrededor de las características de COFEE, también es posible que el ciudadano promedio ahora vea lo que una vez fue estándar de la industria en todo el mundo para forense digital.

Wireshark

Wireshark es la herramienta de análisis de protocolos de red más utilizada del mundo, implementada por gobiernos, corporaciones privadas e instituciones académicas de todo el mundo. Como continuación de un proyecto que comenzó en 1998, Wireshark le permite al usuario ver lo que está sucediendo en una red a nivel microscópico. Al capturar el tráfico de red, los usuarios pueden buscar actividad maliciosa.

Los datos de red capturados se pueden ver en una interfaz gráfica de usuario en Windows, Linux, OSx y varios otros sistemas operativos. Los datos se pueden leer desde Ethernet Bluetooth, USB y varios otros, mientras que la salida se puede exportar a XML, PostScript, CSV o texto sin formato.

Las aplicaciones de Wireshark permanecen principalmente en ciberseguridad, pero también hay aplicaciones de investigación forense digital. Wireshark puede señalar a un investigador en la dirección de la actividad maliciosa para que pueda ser rastreado e investigado.

DumpZilla

DumpZilla realiza análisis de navegador, específicamente de clientes de Firefox, Iceweasel y Seamonkey. Permite la visualización y la búsqueda y extracción personalizadas de cookies, descargas, historial, marcadores, caché, complementos, contraseñas guardadas y datos de sesión.

Desarrollado en Python, funciona en sistemas Linux y Windows de 32/64 bits, y DumpZilla está disponible de forma gratuita en el sitio web del desarrollador. Si bien esto se creó como una herramienta independiente, su naturaleza específica y su empaque ajustado lo convierten en un fuerte componente de las futuras suites forenses digitales.

Estación de trabajo SIFT

El SANS Investigative Forensics Toolkit (SIFT) es una colección de tecnologías forenses y de respuesta a incidentes de código abierto diseñadas para realizar investigaciones digitales detalladas en una variedad de entornos.

El kit de herramientas puede examinar de forma segura discos sin formato y múltiples formatos de archivo y lo hace de una manera segura y de solo lectura que no altera la evidencia que descubre.

SIFT es flexible y compatible con el formato de testigo experto (E01), el formato forense avanzado (AFF) y los formatos de evidencia sin procesar. Creado en Ubuntu, incorpora muchas herramientas separadas (incluidas algunas en esta lista, como Autopsia y Volatilidad) y las pone a disposición de los investigadores. SIFT está disponible de forma gratuita y se actualiza regularmente.

ExifTool

ExifTool es un sistema independiente de la plataforma para leer, escribir y editar metadatos en una amplia gama de tipos de archivos. De particular interés para el investigador digital es la lectura de metadatos, que se puede lograr a través de procesos de línea de comandos o una simple GUI.

Los investigadores pueden arrastrar y soltar diferentes archivos, como un PDF o un JPEG, y aprender cuándo y dónde se creó el archivo, un componente crucial para establecer una cadena de evidencia.

El software en sí mismo es liviano y rápido, lo que lo convierte en una inclusión ideal en futuras suites forenses digitales y fácil de usar. ExifTool se actualiza regularmente y está disponible para Windows y OSx en el sitio web del desarrollador.

Bulk Extractor

Bulk Extractor escanea un archivo, directorio o imagen de disco y extrae información sin analizar el sistema de archivos o las estructuras del sistema de archivos, lo que le permite acceder a diferentes partes del disco en paralelo, haciéndolo más rápido que la herramienta promedio.

La segunda ventaja de Bulk Extractor es que puede usarse para procesar prácticamente cualquier forma de medios digitales: discos duros, tarjetas de cámara, teléfonos inteligentes, SSD y unidades ópticas.

Las versiones más recientes de Bulk Extractor pueden realizar análisis forenses de redes sociales, así como extraer direcciones, números de tarjetas de crédito, URL y otros tipos de información de la evidencia digital.

Otras capacidades incluyen la capacidad de crear histogramas basados ​​en direcciones de correo electrónico de uso frecuente y compilar listas de palabras que pueden ser útiles para descifrar contraseñas.

Toda la información extraída puede procesarse manualmente o con una de las cuatro herramientas automatizadas, una de las cuales incorpora listas de detención específicas del contexto (es decir, términos de búsqueda marcados por el investigador) que eliminan parte del error humano de la investigación forense digital. El software está disponible de forma gratuita para sistemas Windows y Linux.