Genial recopilacion de recursos de seguridad y analisis forense
LINUX, por supuesto, puede usarse como herramienta para analizar evidencias que procedan de otro sistema operativo. Por ejemplo, podemos usar LINUX para analizar una imagen de un disco duro procedente de un sistema WINDOWS o de un dispositivo móvil.
VENTAJAS DE LINUX COMO HERRAMIENTA FORENSE
- Es gratuito. Además del ahorro que esto supone, su sistema de licencias permite al perito disponer de varios sistemas especializados en diferentes problemáticas.
- Existen muchas herramientas gratuitas (y de pago) desarrolladas para este sistema operativo.
- Existen multitud de distribuciones que proporcionan conjuntos de herramientas forenses listas para usar.
- Es fácil tener un sistema autónomo (LIVE CD) que permite acceder a los sistemas a analizar sin modificar el contenido del mismo.
DESVENTAJAS DE LINUX COMO HERRAMIENTA FORENSE
- Es más difícil de utilizar y configurar que un sistema comercial.
- Es menos conocido fuera del ámbito técnico por lo que su utilización puede generar inseguridad entre abogados y jueces.
- Las herramientas utilizadas no suelen tener licencias comerciales, ni empresas de software que garanticen el soporte de las mismas.
- La configuración de algunas herramientas y su adaptación a cada caso puede ser compleja y requerir conocimientos de programación.
NOTA SOBRE LAS HERRAMIENTAS INCLUIDAS
Esta entrada recoge de forma no exhaustiva las herramientas más relevantes para el análisis forense en plataformas LINUX. Al seleccionar la lista he optado por las soluciones más estándares del mercado y más comunes en la casuística real de un perito en el trabajo diario. Cada perito puede ampliar el listado de herramientas con sus preferencias propias o las necesidades de cada caso que se le presente. De hecho, este listado es simplemente una muestra de herramientas que cubren las necesidades más comunes de un perito pero no son todas las opciones posibles ni, por supuesto, cubre absolutamente todos los casos imaginables.
USO DE HERRAMIENTAS FORENSES DE CÓDIGO ABIERTO (OPEN SOURCE)
Es habitual utilizar herramientas de código abierto cuando se trabaja con LINUX (de hecho, el propio sistema operativo y las herramientas propias del mismo lo son).
En el caso de las herramientas usadas para análisis forense, es posible (y habitual) que el perito deba hacer frente a cuestiones sobre la idoneidad del uso de herramientas “open source” frente a herramientas comerciales.
Cualquier herramienta (sistema operativo o aplicación) usada para un análisis forense debería tener las siguientes características:
- Estar basado en la fuente original (repositorios oficiales) y estar disponible para su análisis si fuera necesario.
- Ser conocida y reconocida por la comunidad internacional y por organismos prestigiosos.
- Ser utilizada siguiendo procedimientos estándares y documentar adecuadamente el uso de la misma.
- Utilizar algoritmos y procedimientos conocidos que, idealmente, podría ser reproducido por el perito de forma manual.
DISTRIBUCIONES FORENSES
Una distribución forense es una distribución LINUX especializada que contienen herramientas de análisis forense. La principal ventaja de utilizar una de estas distribuciones es que permiten disponer de forma autónoma tanto del sistema operativo como de las aplicaciones necesarias para ejecutar el análisis forense.
Distribuciones forenses de propósito general
BUG TRACK (http://bugtraq-team.com/)
Distribución genérica con herramientas forenses que destaca por disponer de múltiples configuraciones que se adaptan a muchos entornos diferentes además de por sus prestaciones y capacidad de gestión de recursos.
CAINE (http://www.caine-live.net/)
Computer Aided Investigative Environment
Seguramente la distribución forense más fácil de utilizar y una de las más populares.
DEFT (http://www.deftlinux.net/)
Distribución de origen italiano especializada en análisis forense que suele estar puntualmente actualizada con las herramientas más estándares y conocidas.
HELIX (http://www.e-fense.com/)
HELIX es una distribución comercial (a partir de la versión 3) que incluye herramientas de análisis forense y otras herramientas orientados a la respuesta a incidente y tests de intrusión.
SIFT de SANS (http://digital-forensics.sans.org/)
SANS Investigative Forensic Toolkit (SIFT).
Sin duda, la más prestigiosa y completa distribución existente actualmente.
Distribuciones forenses especializadas
BACK TRACK (http://www.backtrack-linux.org/)
Distribución especializada en test de intrusión.
KALI (https://www.kali.org/)
Distribución especializada en test de intrusión.
SANTOKU (https://santoku-linux.com/)
Distribución especializada en análisis de dispositivos móviles.
HERRAMIENTAS DEL SISTEMA
El propio sistema operativo incluye por defecto, en la mayoría de sus distribuciones, herramientas de gran utilidad en el análisis forense. Es preferible utilizar herramientas del sistema frente a herramientas comerciales u “open source” siempre que tengan las prestaciones requeridas para la tarea. En un trabajo pericial es importante garantizar que las herramientas utilizadas no alteran ni modifican la evidencia analizada o el resultado del análisis. Las herramientas del sistema están, supuestamente, libres de errores o manipulaciones.
dd (http://linux.die.net/man/1/dd)
Este comando tiene múltiples aplicaciones en el análisis forense, por ejemplo:
- hacer imágenes de discos copiando a bajo nivel sector por sector el contenido del mismo,
- borrar de forma segura un sistema de archivos (wipe).
fdisk (http://linux.die.net/man/8/fdisk)
Herramienta para ver y manipular las particiones de los discos conectados al sistema.
netcat (http://nc110.sourceforge.net/)
Herramienta que permite transmitir flujos de información entre sistemas conectados en red. Especialmente útil cuando se necesita extraer información de un sistema en ejecución sin alterar el mismo.
sha256sum (http://linux.die.net/man/1/sha256sum)
Permite calcular códigos hash usando el algoritmo SHA-2 y bloques resumen de 256 bits. Este algoritmo es preferido respecto a otros algoritmos como MD5SUM o SHA-1 (160 bits de digest).
strings (http://linux.die.net/man/1/strings)
Extrae cadenas de caracteres contenidas en archivos binarios.
tcpdump (http://www.tcpdump.org/manpages/tcpdump.1.html)
Herramienta de análisis de red por defecto de sistemas LINUX. Permite capturar el tráfico TCP que transita por cualquiera de los interfaces de red del sistema.
APLICACIONES Y PAQUETES DE HERRAMIENTAS DE TERCEROS
Además de las herramientas incluidas por el propio sistema operativo LINUX existen herramientas, muchas de ellas “open source”, que mejoran o complementan las funciones de las herramientas del sistema. Algunas de estas herramientas son, simplemente, más fáciles de utilizar que los comandos del sistema. Otras, sin embargo, añaden funcionalidad no existente en las herramientas del sistema.
AIR (http://air-imager.sourceforge.net/)
Automated Image and Restore
Interfaz gráfico para las herramientas de línea de comando “dd”/”dcfldd” que permite crear imágenes forenses de sistemas de archivos.
bulk extractor (https://github.com/simsong/bulk_extractor/wiki)
Herramienta que permite el análisis y la extracción de información relevante de grandes sistemas de archivos (archivos, directorios comprimidos, imágenes de discos, etc.) mediante el análisis del contenido del archivo (sin utilizar la estructura lógica del mismo).
dc3dd (http://sourceforge.net/projects/dc3dd/)
Versión del comando estándar “dd” que incluye algunas funciones interesantes como el cálculo de hash, barras de progreso y verificación mejorada.
dcfldd (http://dcfldd.sourceforge.net/)
Versión del comando estándar “dd” que incluye algunas funciones interesantes como el cálculo de hash. Destaca por las prestaciones a la hora de realizar imágenes.
foremost (http://foremost.sourceforge.net/)
Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no usado.
guymager (http://guymager.sourceforge.net/)
Herramienta gráfica que permite la realización de imágenes de sistemas de archivos. Puede reemplazar el uso de “dd”.
log2timeline (https://github.com/log2timeline/plaso)
Herramienta que permite reconstruir líneas de tiempo a partir de ficheros de registro (logs) del sistema.
kismet (http://www.kismetwireless.net/)
Analizador de redes WIFI.
nmap (http://nmap.org)
Herramienta de análisis de red que permite la enumeración y descubrimiento de sistemas y servicios de red.
scalpel (https://github.com/sleuthkit/scalpel)
Herramienta para recuperar archivos borrados a partir del análisis del espacio en disco no usado. Basado inicialmente en “foremost” tiene un uso más eficiente al ser más rápido y generar menos “falsos positivos”. .
tcpflow (https://github.com/simsong/tcpflow)
Herramienta que permite el análisis de conexiones tcp. Especialmente indicado cuando el volumen de información a analizar es muy grande.
Sleuth Kit (+Autopsy) (http://www.sleuthkit.org/)
Conjunto de herramientas forenses que permite el análisis forense de diferentes sistemas de archivos.
volatility (https://code.google.com/p/volatility/)
Framework multiplataforma que permite en análisis de volcados de memoria.
wireshark (http://www.wireshark.org)
Completo analizador de red.
xplico (http://www.xplico.org/)
Herramienta forense que permite realizar análisis forense de aplicaciones de internet a partir de tráfico de red capturado.
Fuente: Javier Tobal