Categorías
Empresas

HERRAMIENTAS DE ANÁLISIS FORENSE DIGITAL (2021)

Los dispositivos digitales son omnipresentes y su uso en las investigaciones de la cadena de pruebas es crucial. Es más probable que la pistola humeante de hoy sea una computadora portátil o un teléfono que un arma más literal. Ya sea que dicho dispositivo pertenezca a un sospechoso o una víctima, la gran cantidad de datos que contienen estos sistemas podría ser todo lo que necesita un perito para armar un caso.

Dicho esto, recuperar esos datos de manera segura, eficiente y legal no siempre es una tarea sencilla. Los investigadores confían cada vez más en las nuevas herramientas forenses digitales para ayudarlos.

Las herramientas de análisis forense digital son todas relativamente nuevas. Hasta principios de la década de 1990, la mayoría de las investigaciones digitales se realizaban mediante análisis en vivo, lo que significaba examinar los medios digitales utilizando el dispositivo en cuestión como lo haría cualquier otra persona. A medida que los dispositivos se volvieron más complejos y llenos de más información, el análisis en vivo se volvió engorroso e ineficiente. Con el tiempo, comenzaron a surgir tecnologías especializadas gratuitas y patentadas como hardware y software para filtrar, extraer u observar cuidadosamente los datos de un dispositivo sin dañarlo ni modificarlo.

Las herramientas forenses digitales pueden clasificarse en muchas categorías diferentes, algunas de las cuales incluyen análisis forense de bases de datos, captura de datos y disco, análisis de correo electrónico, análisis de archivos, visores de archivos, análisis de Internet, análisis de dispositivos móviles, análisis forense de redes y análisis de registros. Muchas herramientas cumplen más de una función simultáneamente, y una tendencia importante en las herramientas de análisis forense digital son los «envoltorios», que incluyen cientos de tecnologías específicas con diferentes funcionalidades en un conjunto de herramientas general.

Todos los días se desarrollan nuevas herramientas, tanto como soluciones de élite patrocinadas por el gobierno y plataformas de piratas informáticos en el sótano. La receta de cada uno es un poco diferente. Algunos de estos van más allá de la simple búsqueda de archivos o imágenes, y se adentran en el campo de la ciberseguridad, lo que requiere un análisis de red o una evaluación de amenazas cibernéticas. Cuando hay una herramienta para todo, la pregunta más urgente es cuál usar.

A continuación, hemos recopilado algunas de las mejores herramientas para la ciencia forense digital y la ciberseguridad. Al seleccionar entre la amplia gama de opciones, consideramos los siguientes criterios:

Asequibilidad: el precio puede no ser un indicador de calidad, pero las revisiones colaborativas entre pares pueden serlo. La mayoría de las herramientas a continuación son de código abierto, y todas son gratuitas y mantenidas por una comunidad de desarrolladores dedicados.

Accesibilidad: a diferencia de algunas marcas patentadas que solo venden a entidades encargadas de hacer cumplir la ley, todas estas están disponibles para individuos.

Responsabilidad: ya sea ​​a través de proyectos de código abierto o testimonios del mundo real, estas tecnologías han sido examinadas minuciosamente por un perito experto.

Herramientas de seguridad cibernética y forense digital destacadas

Autopsy

Autopsy es una plataforma forense digital y una interfaz gráfica que los investigadores forenses utilizan para comprender lo que sucedió en un teléfono o computadora. Su objetivo es ser una solución modular de extremo a extremo que sea intuitiva lista para usar. Los módulos seleccionados en Autopsy pueden realizar análisis de línea de tiempo, filtrado de hash y búsqueda de palabras clave. Pueden extraer artefactos web, recuperar archivos eliminados del espacio no asignado y encontrar indicadores de compromiso. Todo esto se puede hacer con relativa rapidez.

Autopsy ejecuta trabajos en segundo plano en paralelo, de modo que incluso si una búsqueda completa lleva horas, un usuario sabrá en cuestión de minutos si se han encontrado palabras clave específicas. Los investigadores que trabajan con varios dispositivos pueden crear un depósito central a través de Autopsy que marcará números de teléfono, direcciones de correo electrónico u otros puntos de datos relevantes.

Desarrollado por el mismo equipo que creó The Sleuth Kit , una biblioteca de herramientas de línea de comandos para investigar imágenes de disco, Autopsy es una solución de código abierto, disponible de forma gratuita en aras de la educación y la transparencia. La última versión está escrita en Java y actualmente solo está disponible para Windows.

Bulk Extractor

Bulk Extractor escanea un archivo, directorio o imagen de disco y extrae información sin analizar el sistema de archivos o las estructuras del sistema de archivos, lo que le permite acceder a diferentes partes del disco en paralelo, lo que lo hace más rápido que la herramienta promedio. La segunda ventaja de Bulk Extractor es que se puede utilizar para procesar prácticamente cualquier forma de medio digital: discos duros, tarjetas de cámara, teléfonos inteligentes, SSD y unidades ópticas. Las versiones más recientes de Bulk Extractor pueden realizar análisis forenses de redes sociales, así como extraer direcciones, números de tarjetas de crédito, URL y otros tipos de información de evidencia digital. Otras capacidades incluyen la capacidad de crear histogramas basados ​​en direcciones de correo electrónico de uso frecuente y compilar listas de palabras que pueden ser útiles para descifrar contraseñas.

Toda la información extraída se puede procesar manualmente o con una de las cuatro herramientas automatizadas, una de las cuales incorpora listas de detención específicas del contexto (es decir, términos de búsqueda marcados por el investigador) que eliminan algunos de los errores humanos de la investigación forense digital. El software está disponible de forma gratuita para los sistemas Windows y Linux.

COFEE

El Extractor de pruebas forenses en línea para computadoras de Microsoft (COFEE) es un conjunto de herramientas forenses que se utiliza para extraer pruebas de computadoras con Windows. Desarrollado en 2006 por un ex oficial de policía de Hong Kong convertido en ejecutivo de Microsoft, el conjunto de herramientas actúa como una herramienta forense automatizada durante un análisis en vivo. Contiene más de 150 funciones y una interfaz gráfica de usuario que guía al investigador a través de la recopilación y el examen de datos y ayuda a generar informes después de la extracción. El juego de herramientas incluye el descifrado de contraseñas, la recuperación del historial de Internet y otras formas de recopilación de datos.

En el momento de su lanzamiento, Microsoft afirmó que COFEE había reducido las tareas de tres a cuatro horas a menos de 20 minutos. Miles de organismos encargados de hacer cumplir la ley en todo el mundo (incluida INTERPOL) utilizan COFEE y Microsoft les proporciona asistencia técnica gratuita.

En noviembre de 2009, COFEE se filtró a varios sitios de torrents, y si bien es posible, aunque increíblemente complicado, que los delincuentes construyan alrededor de las funciones de COFEE, también es posible que el ciudadano medio pueda echar un vistazo a lo que alguna vez fue el estándar de la industria en todo el mundo para análisis forense digital.

CAINE

CAINE (Entorno de investigación asistido por computadora) ofrece una plataforma de investigación forense a gran escala diseñada para incorporar otras herramientas y módulos en una interfaz gráfica fácil de usar. Su entorno interoperable está diseñado para ayudar a los investigadores en las cuatro etapas de una investigación: preservación, recopilación, examen y análisis. Viene con docenas de módulos pre-empaquetados (Autopsy, mencionado anteriormente, se encuentra entre ellos). Desarrollada en Linux, la herramienta es completamente de código abierto y está disponible de forma gratuita.

Digital Forensics Framework

Digital Forensics Framework (DFF) es una plataforma de informática forense de código abierto construida sobre una interfaz de programación de aplicaciones (API) dedicada. Equipado con una interfaz gráfica de usuario para un uso sencillo y automatización, DFF guía al usuario a través de los pasos críticos de una investigación digital y puede ser utilizado tanto por profesionales como por aficionados.

La herramienta se puede utilizar para investigar discos duros y memoria volátil y crear informes sobre la actividad del sistema y del usuario en el dispositivo en cuestión. El DFF se desarrolló con los tres objetivos principales de modularidad (permitiendo cambios en el software por parte de los desarrolladores), capacidad de scriptabilidad (permitiendo la automatización) y genérico (manteniendo el sistema operativo agnóstico para ayudar a tantos usuarios como sea posible). El software está disponible de forma gratuita en GitHub.

DumpZilla

DumpZilla realiza análisis del navegador, específicamente de los clientes de Firefox, Iceweasel y Seamonkey. Permite la visualización y búsqueda personalizada y extracción de cookies, descargas, historial, marcadores, caché, complementos, contraseñas guardadas y datos de sesión.

Desarrollado en Python, funciona en sistemas Linux y Windows de 32/64 bits, y DumpZilla está disponible de forma gratuita en el sitio web del desarrollador. Si bien esto se creó como una herramienta independiente, su naturaleza específica y su empaque delgado lo convierten en un componente fuerte de las futuras suites de análisis forense digital.

EnCase

Galardonado con el premio a la «Mejor solución informática forense» de SC Magazine durante 10 años consecutivos, EnCase se considera el estándar de oro en las investigaciones forenses de ciberseguridad, incluidas las adquisiciones móviles. Desde 1998, EnCase ha ofrecido software forense para ayudar a los profesionales a encontrar evidencia para testificar en casos de investigación criminal que involucran violaciones de seguridad cibernética mediante la recuperación de evidencia y el análisis de archivos en discos duros y teléfonos móviles.

Al ofrecer un paquete completo del ciclo de vida del software, desde la clasificación hasta los informes finales, EnCase también cuenta con plataformas como OpenText Media Analyzer que reduce la cantidad de contenido para que los investigadores revisen manualmente para cerrar los casos más rápido. Con cuatro opciones de licencia de sitio para pequeñas empresas; aplicación de la ley federal, estatal y local; organizaciones consultoras; y colegios y universidades, ofrece análisis de evidencia de justicia penal con solo unos pocos clics.

ExifTool

ExifTool es un sistema independiente de la plataforma para leer, escribir y editar metadatos en una amplia gama de tipos de archivos. De particular interés para el investigador digital es la lectura de metadatos, que se puede lograr a través de procesos de línea de comandos o una simple GUI. Los investigadores pueden arrastrar y soltar diferentes archivos, como un PDF o un JPEG, y saber cuándo y dónde se creó el archivo, un componente crucial para establecer una cadena de evidencia.

El software en sí es liviano y rápido, lo que lo convierte en una inclusión ideal en las futuras suites de análisis forense digital y es fácil de usar. ExifTool se actualiza periódicamente y está disponible para Windows y OSx en el sitio web del desarrollador.

Generador de imágenes FTK

Para que herramientas como The Sleuth Kit by Autopsy funcionen correctamente, se deben conservar las copias digitales originales de los discos duros antes de que se puedan extraer las pruebas. Ingrese FTK Imager; una herramienta gratuita que analiza imágenes de una unidad y preserva la integridad original de la evidencia sin afectar su estado original.

Esta herramienta puede leer todos los sistemas operativos y permite a los usuarios recuperar archivos que se han eliminado de los contenedores de reciclaje digitales. Puede analizar archivos XFS y crear hashes de archivos para verificar la integridad de los datos.

MAGNET RAM

Al analizar la memoria física de acceso aleatorio (RAM) de una computadora, MAGNET RAM Capture permite a los investigadores de ciberseguridad recuperar y analizar artefactos digitales almacenados en la memoria de una computadora. Con una pequeña huella de memoria, los investigadores forenses digitales pueden usar la herramienta y minimizar la cantidad de datos de memoria que se sobrescriben.

Esta herramienta puede exportar datos de memoria sin procesar en formatos sin procesar (.DMP, .RAW, .BIN), que se pueden cargar a otras herramientas de análisis forense como Magnet AXIOM y Magnet IEF. Esta herramienta gratuita es compatible con varias versiones de los sistemas operativos Windows.

Estación de trabajo SIFT

El kit de herramientas de investigación forense de SANS (SIFT) es una colección de tecnologías forenses y de respuesta a incidentes de código abierto diseñadas para realizar investigaciones digitales detalladas en una variedad de entornos. El kit de herramientas puede examinar de forma segura discos sin procesar y múltiples formatos de archivo y lo hace de una manera segura y de solo lectura que no altera la evidencia que descubre.

SIFT es flexible y compatible con el formato de testigo experto (E01), el formato forense avanzado (AFF) y los formatos de pruebas sin procesar. Construido en Ubuntu, incorpora muchas herramientas separadas (incluidas algunas en esta lista, como Autopsy y Volatility) y las pone a disposición de un investigador. SIFT está disponible de forma gratuita y se actualiza periódicamente.

Volatility Foundation

La Volatility Foundation es una organización sin fines de lucro cuya misión es promover el uso del análisis de la memoria dentro de la comunidad forense. Su software principal es un marco de código abierto para la respuesta a incidentes y la detección de malware a través de análisis forenses de memoria volátil (RAM). Esto permite la conservación de pruebas en la memoria que de otro modo se perderían durante el apagado del sistema.

Escrito en Python y compatible con casi todas las máquinas de 32 y 64 bits, puede examinar los sectores almacenados en caché, volcados de memoria, DLL, conexiones de red, puertos, listas de procesos y archivos de registro. La herramienta está disponible de forma gratuita y el código está alojado en GitHub.

Wireshark

Wireshark es la herramienta de análisis de protocolos de red más utilizada en el mundo, implementada por gobiernos, corporaciones privadas e instituciones académicas de todo el mundo. Como continuación de un proyecto que comenzó en 1998, Wireshark permite al usuario ver lo que está sucediendo en una red a nivel microscópico. Al capturar el tráfico de la red, los usuarios pueden escanear en busca de actividad maliciosa.

Los datos de red capturados se pueden ver en una interfaz gráfica de usuario en Windows, Linux, OSx y varios otros sistemas operativos. Los datos se pueden leer desde Ethernet, Bluetooth, USB y varios otros, mientras que la salida se puede exportar a XML, PostScript, CSV o texto sin formato.

Las aplicaciones de Wireshark permanecen principalmente en ciberseguridad, pero también existen aplicaciones de investigación forense digital. Wireshark puede señalar a un investigador en la dirección de la actividad maliciosa, menos sobre la pistola humeante que sobre el rastro de migas de pan, para que pueda ser rastreada e investigada.