Herramientas Forenses

Para realizar un análisis forense de forma correcta actualmente se hace imprescindible el uso de herramientas específicas disponibles en el mercado. Las limitaciones de tiempo que existen a la hora de buscar evidencias para ser empleadas en un juicio, la gran cantidad de datos que se pueden almacenar en un ordenador y que es necesario manipular en una investigación, la gran variedad de formatos de archivos existentes que requieren análisis diferentes, y por último la necesidad de ser absolutamente fiables en el manejo de las evidencias, recopilando de forma exacta la información y asegurando que se hace una copia exacta de la misma, hace que el trabajo de estas herramientas sea totalmente necesario, siendo imposible un tratamiento manual.

Los sistemas operativos proveen también un conjunto de herramientas que en ocasiones pueden ser de utilidad, pero por norma general resultan insuficientes y se hace necesario el uso de herramientas específicas.

Clasificación de las Herramientas

Hablando de herramientas para el análisis forense podríamos agruparlas en dos formas diferentes dependiendo del criterio que utilicemos:

1. Herramientas de pago o bien herramienta de libre distribución de código abierto.
2. Herramientas específicas según su funcionalidad. Aquí podemos hacer divisiones en cuatro grupos:
   1. Herramientas para la recolección de evidencias.
   2. Herramientas para la monitorización y/o control de ordenadores.
   3. Herramientas de marcado de documentos.
   4. Herramientas de Hardware.

Herramientas de libre distribución

En esta sección vamos a hablar de varias herramientas disponibles en internet de forma gratuita, estando también a disposición de los usuarios el código fuente de las mismas, de manera que este puede ser modificado y adaptado por cualquiera para cubrir unas necesidades específicas.

The forensic Toolkit  

Este kit de herramientas para el análisis forense está disponible para ser descargado en la página siguiente que ve en pantalla http://www.mcafee.com/es/downloads/free-tools/forensic-toolkit.aspx. Actualmente está disponible la versión 2.0.

Se trata de un conjunto de herramientas para sistemas operativos Win32 válido para examinar ficheros de particiones NFTS en busca actividades no autorizadas.

La forma de funcionar de esta herramienta es a través de la ejecución de intrusiones en la línea de comandos. Los comandos disponibles que encontramos son los siguientes:

• AFind: Con esta herramienta se obtiene un listado de ficheros según su última fecha de acceso sin modificarla. Esta herramienta permite realizar búsquedas de archivos que fueron modificados en una cierta franja horaria, si combinamos la información que nos proporciona la herramienta junto con la información de usuarios que han hecho login en el sistema obtenida por la herramienta ntlast, podría determinarse quien realizo ciertas actividades en la máquina.
• HFind: Busca archivos ocultos en el disco. HFind también muestra las fechas de los últimos accesos.
• Hunt: Muestra información sobre las sesiones NULL de un servidor que recibe parámetro.

The Sleuth Kit y Autopsy

The Sleuth Kit se trata de un conjunto de herramientas opensource ejecutadas en línea de comandos, que realiza análisis forenses en archivos del sistema de Microsoft y Unix aplicando sus habilidades para identificar evidencias, recuperar archivos borrados o reconstruir escenarios. Las herramientas que proporciona The Sleuth Kit permiten analizar tanto un disco como un sistema de ficheros, el cual habremos realizado previamente una imagen mediante la herramienta dd, que podemos utilizar el Linux desde la línea de comandos o en Windows podemos hacer uso del comando que nos podemos descargar de http://www.chrysocome.net/dd.

Se trata de un conjunto de herramientas que realizan tareas independientes, y mediante el uso conjunto de todas podremos llevar a cabo un análisis forense completo. Estas herramientas permiten el acceso a estructuras de archivos y directorio de bajo nivel lo cual permite la recuperación de archivos borrados, generar una línea temporal de archivos, buscar palabras clave dentro de archivos como imágenes y otra serie de funcionalidades, no solo para facilitar la investigación, sino también para facilitar el trabajo de los investigadores, como puede ser la generación de notas para los investigadores o la generación de informes detallados.

A continuación, mostramos un resumen de las funcionalidades básicas que aporta la herramienta:

• Análisis de archivos: Muestra la imagen como archivos y directorios, permitiendo ver incluso aquellos que están ocultos por el sistema operativo.
• Búsqueda por palabra clave: Permite buscar una referencia que pasemos como argumento dentro de la imagen.
• Tipo de archivo: Permite tanto la búsqueda como la ordenación de archivos según su tipo.
• Detalles de la imagen: Muestra la imagen a examen en detalle, permitiendo de esta forma ubicar físicamente la localización de los datos dentro de la misma.
• Metadatos: Permite ver elementos del sistema de archivos habitualmente ocultos, como las referencias a directorios o archivos eliminados.
• Unidad de datos: Ofrece la posibilidad de entrar en el máximo detalle de cualquier archivo, permitiendo examinar el contenido examinar el contenido real del mismo.

El navegador Forense Autopsy constituye una interface gráfica para las herramientas de análisis de investigación digital en línea de comando contenidas en Sleuth Kit. Igualmente permite realizar análisis en discos Unix y Windows, además de sistemas de archivos (NTFS, FAT, UFS y EXT).

Autopsy, al igual que Sleuth Kit es opensource. Autopsy se base en HTML lo que implica que se puede conectar al servidor de Autopsy desde cualquier plataforma utilizando un navegador HTML. Autopsy proporciona una interfaz tipo “Manejador de Archivos”, y muestra destalles sobre datos borrados y estructuras del sistema de archivos.

Helix CD

Esta herramienta la vamos a mencionar en esta sección, aunque actualmente ya no es gratuita. Hasta su versión Helix 2 fue una de las mejores herramientas gratuitas disponibles, pero con su última versión Helix 3 ya no es así, se ha convertido en una herramienta de pago, aunque dispone de una versión de prueba para su descarga, que podremos utilizar durante treinta días.

La página oficial de la herramienta es http://www.e-fense.com/helix. Aquí encontraremos información acerca de las últimas versiones de la herramienta Helix 3.

En cuanto a las últimas versiones gratuitas aún se pueden encontrar para su descarga y utilización en páginas especializadas en descarga de programas, podríamos descargárnoslo desde la dirección http://www.filecluster.com/downloads/Helix.html, donde podremos obtener un fichero iso de 702 MB.

Se trata de una herramienta que viene distribuida como un Live CD con las ventajas que ello conlleva, es decir, no necesita tiempo para ser instalada y no necesita un sistema operativo específico, simplemente basta con iniciar la herramienta desde el CD. Es una de las mejores herramientas a las que se puede acceder de forma gratuita, ya que es muy completa. Está basada en distribución Debian. Posee la mayoría de las herramientas necesarias para realizar un análisis forense completo, tanto de equipos como de imágenes de disco.

La versión descargada ofrece dos métodos de arranque:

• El primero que permite iniciarse desde un sistema Windows, que nos proporciona un entorno gráfico con un conjunto bastante amplio de herramientas que permiten interactuar principalmente con sistemas vivos, pudiendo recuperar la información volátil del sistema.
• Arranque desde el CD en entorno tipo Linux. En este caso la herramienta contiene un sistema operativo completo personalizado y optimizado para el reconocimiento del hardware.

Cuando arrancamos la herramienta desde el entorno Windows estas son algunas de las herramientas que tendremos disponible:

• Access PassView: Permite acceder a la base de datos de contraseñas almacenados en un archivo .mdb creados con Microsoft Access 95, 97, 2000, XP.
• Astrick Logger: Utilidad que revela las contraseñas almacenadas de algunas aplicaciones como: Cute FTP, Coffee Cup, Free FTP, VNC, IncrediMail, Outlook Express y otros.
• Drive Manager: Ayuda a identificar unidades que son del mismo tipo. Además de la etiqueta de volumen también muestra la información de los proveedores a fin de diferenciar múltiples unidades de CD/DVD y memorias por el nombre del fabricante, versión y fecha de revisión. También permite utilizar el número de serie como un número de identificación exclusivo para cada unidad.
• FAU: Herramienta de respuesta a incidentes que sirve para crearla imagen de un sistema, y de los dispositivos conectados.
• FTK Imager: Permite adquirir imágenes de dispositivos físicos y lógicos.
• Galleta: Analiza la información de un archivo de cookie y permite que el resultado sea importado a su programa de hoja de cálculo.
• HoverSnap: Permite tomar capturas de pantalla.
• IECookiesView: Permite ver detalles y manejar las cookies que IE almacena en una computadora.
• IEHistoryView: Permite ver modificar el historial de las páginas Web visitadas en Internet Explorer.
• IRCR: Conjunto de herramientas orientadas en su mayoría a la recopilación de datos en lugar de análisis.
• Mail PassView: Herramienta para la recuperación de contraseñas de ciertos clientes de correo electrónico.
• MEMDump: Realiza copias de 4GB de memoria de direcciones bajo MS-DOS y Windows 9x DOS a una consola de texto o archivo binario.
• MessenPass: Permite recuperar la contraseña de una amplia variedad de programas de mensajería instantánea.
• MozillaCookiesView: Herramienta para el manejo de cookies de navegador Mozilla.
• Recuperación de contraseña de red.
• PC Inspector File Recovery: Programa de recuperación de datos.
• PC On / Off Time: Muestra las veces que una computadora ha estado activa durante las últimas 3 semanas.
• Process Explorer: Herramienta para el manejo de procesos.
• Storage PassView: Utilidad que revela contraseñas almacenadas por Internet Explorer y Outlook Express.
• PsTools Suite: Utilidades propias de Windows para el manejo de procesos.
• Pst Password Viewer: Obtención de contraseñas para archivos *.PST.
• Reg: Muestra información del registro.
• RegScanner: Permite realizar escaneos del registro.
• ReSysInfo: Es un visor de la información de un sistema de Windows.
• Refiuti: Realiza análisis de la información en un archivo INFO2.
• Rootkit: Utilidad avanzada de detección de rootkit.
• Secreport: Realiza una evaluación rápida del nivel de seguridad de un sistema de Windows y comparar los resultados con la línea de partida.
• Windows Forensic Toolchest: Proporcionar un sistema automatizado de respuesta a incidentes en un sistema Windows.
• Winaudit: Herramienta muy completa capaz de realizar un inventario tanto del software instalado, hardware, soporte técnico o seguridad.

Algunas de las herramientas incluidas en la versión que arranca en modo Linux son las siguientes.

• 2hash: Calcula el md5 y sha1 de un fichero.
• Adepto: Programa de imágenes de e-fense utilizando dcfldd.
• AFF: Proporciona utilidades para el manejo de imágenes.
• AIR: Herramienta de creación de imágenes forenses.
• Autopsy
• Chkrootkit: Utilizado para comprobar el sistema de binarios para la modificación de rootkit.
• Chntpw: Utilidad de Linux para reestablecer la contraseña de cualquier usuario con una cuenta valida en sistemas WinNT o Win2000.
• ClamAV: Programa Anti-Virus.
• Dcfldd: Versión mejorada de comando dd.
• Endeavour2 File Manager: Es una suite completa de gestión de archivos.
• Ethereal: Se trata de un famoso analizador de protocolos.
• E2recover y e2undel: Herramientas para la recuperación de archivos borrados en sistemas de ficheros ext2.
• Fatback: Utilizado para la recuperación de archivos borrados de un sistema de ficheros FAT.
• Firefox: Navegador de Internet.
• Ftimes: Reúne y desarrolla información detallada y atributos específicos acerca de directorios y archivos de modo que favorezcan el análisis de intrusiones y el análisis forense.
• GQView: Navegador de imágenes que permite acceder y ver el árbol de directorios.
• Md5deep Suite: Un conjunto de programas para el cálculo MD5, SHA-1, SHA-256 y Tigre.
• Magicrescue: Utilizado para la recuperación de un dispositivo dañado o bien una partición.
• Pasco: Analiza la información de ficheros index.dat.
• PyFlag: Simplifica el proceso de análisis de registro y de investigaciones forenses.
• Retriever: Permite de forma rápida identificar las imágenes en un sistema, los documentos de texto y otros tipos de archivos.
• Rkhunter: Permite escanear los archivos y sistemas de rootkit conocidos. Y desconocidos, backdoors y sniffers.
• Xfprot: La interfaz gráfica del Antivirus F-Prot de Linux Small Business Edition.

F.I.R.E (Forensics and Incident Response Bootable CD)

Igual que en el caso anterior nos encontramos con otro live CD de arranque, que ofrece un entorno para respuestas a incidentes y análisis forense. Está compuesto por una distribución Linux, por lo tanto, tendremos disponibles todas las herramientas de seguridad y chequeo propias del entorno y además se le han añadido una serie de utilidades extra de seguridad, junto con una interfaz gráfica cómoda, sencilla y agradable que hace realmente fácil su uso.

Al igual que Helix, se ejecuta de forma totalmente segura, ya que por su forma de montar los discos no realiza ninguna modificación sobre los equipos en los que se ejecuta.

La página oficial de la herramienta es http://biatchux.dmzs.com/, aquí podemos tener acceso a todos los proyectos, incluyendo F.I.R.E.

En esta distribución se podrá disponer de una serie de funcionalidades que aportan grandes ventajas a los análisis. Entre las muchas ventajas que nos proporciona podríamos destacar las siguientes:

• Recolección de datos en un sistema informático comprometido y facilidades para realizar el análisis forense.
• Chequeo desde un entorno fiable de posibles virus o malware en general.
• Posibilidad de realización de test de penetración y vulnerabilidades.
• Recuperación de datos de particiones dañadas.

Al igual que Helix, F.I.R.E proporciona una serie de herramientas realmente útiles parar el análisis forense y muy conocidas. A continuación, vamos a enumerar algunas de las herramientas contenidas en la distribución sin entrar en detalle en cada una de ellas:

Nessus, Nmap, Whisker, Hping2, Hunt, Fragrouter, Ethereal, Snort, TCPDump, Ettercap, Dsniff, Airsnort, Chkrootkit, F-Prot, TCT, Autopsy, TestDisk, Fdisk, Gpart, Ssh, Vnc, Mozilla, ircII, Mc, Perl, Biew, Fennis y Pgp.

Herramientas Comerciales

En esta sección vamos a mencionar algunas de las herramientas comerciales más importantes y utilizadas para el análisis forense.

Encase

Se trata de la herramienta líder en el mercado para la recolección de evidencias en el análisis forense. EnCase es reconocido por los tribunales de justicia y agencias encargadas del cumplimiento de la ley como una herramienta fiable para la captura y análisis de la evidencia informática. Es por ello que muchas de las principales agencias encargadas del cumplimiento de la ley, como el FBI o el departamento de defensa de los Estados Unidos, y miles de laboratorios criminalistas hagan uso de esta herramienta.

El funcionamiento de EnCase sigue los siguientes pasos.

1. Crea una imagen del medio a inspeccionar.
2. Válida la copia mediante MD5.
3. Realiza el análisis de los medios bajo sospecha.
4. Elabora documentación y reportes con los resultados obtenidos.

Algunas de las principales características que encontramos en esta herramienta son las siguientes:

• Copiado comprimido de discos fuentes: Esta herramienta proporciona un sistema de especial para la creación de copia comprimidas de los discos de origen que van a ser analizados. Estas copias son lo que llamamos imágenes. Las imágenes son el equivalente a bit a bit de los discos de origen de donde fueron obtenidas. Al permitir crear las imágenes de forma comprimida se reduce el espacio necesario de disco duro en el laboratorio empleado en cada caso, lo que facilita el análisis en paralelo de varios casos al mismo tiempo.
• Búsqueda y análisis de múltiples partes de archivo adquiridos: EnCase permite realizar la búsqueda de evidencias en diferentes tipos de almacenamiento tales como discos duros, discos extraíbles y discos duros zip entre otros, en un solo paso. También permite la clasificación de la evidencia y, dado la posibilidad de aislar la evidencia en un disco duro o en un servidor de red para ser examinada en paralelo por un especialista.
• Análisis compuesto del documento: EnCase permite la recuperación de archivos internos y metadatos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos de espacio unallocated.
• Soporte de múltiples sistemas de archivos: EnCase da soporte a los siguientes sistemas de archivos: FAT12/16/32, NTFS, EXT2/3/4, REISER, UFS, AIX Journaling File System LVM8, FFS, Palm, HFS, HFS Plus, CDFS, ISO9660, UDF, DVD, ad Tivo 1 y ad Tivo 2 file system.
• Vista de archivos y otros datos en el espacio unallocated: EnCase tiene una interfaz gráfica similar al explorador de Windows. Esta interface permite la vista de los archivos y sus directorios de una forma simple y estructurada entendible para el investigador. Además, EnCase proporciona una vista del disco duro clúster por clúster, lo que hace posible la visualización de todos los datos que se encuentran en el espacio unallocated.
• Visualizador integrado de imágenes con galería: EnCase incluye una vista para la localización automática de imágenes, que extrae y despliega archivos de imagen de extensiones .gif y .jpg recuperadas del disco que se investiga, incluyendo aquellas imágenes que fueron borradas del disco.

Clasificación de herramientas según su funcionalidad.  

Otra forma de clasificar las herramientas es por el campo dentro de la informática forense en el que están especializados.

Herramientas para la recolección de evidencias.

Estas herramientas son las más comunes y completas. Además de facilitar la labor de la recolección de la evidencia incluyen herramientas para el análisis de la evidencia, permitiendo búsquedas avanzadas, incluyendo las búsquedas y recuperaciones de archivos borrados, descifrados de contraseñas y permitiendo accesos a espacios de memoria no accesibles.

Dentro de este grupo de herramientas podemos citar todas las que hemos visto hasta ahora.

Herramientas para el monitoreo y/o control de computadores.

Las herramientas que encajan en esta sección son herramientas muy complejas utilizadas para la obtención de información sobre el uso de la maquina sospechosa para su posterior utilización como evidencia digital.

Las funciones que realizan estas herramientas van desde actividades como recolección de la información del teclado a la toma del control total del ordenador de forma remota.

Dentro de las herramientas más sencillas que podemos ubicar en esta sección encontramos los Keyloggers.

Este tipo de herramientas escuchan los eventos generados por el teclado y almacenan esta información en ficheros o la envían por email. Los datos generados son complementados con información relacionada con el programa foco en el momento de la recolección de los datos, incluyendo informaciones extra sobre horas y mensajes generados por algunas aplicaciones.

El uso de Keylogger ha suscitado muchos diálogos éticos y legales debido a lo sensible de algunas de las informaciones que se pueden obtener por medio de estas herramientas.

Como ejemplo de este tipo de programas podemos citar tanto el keylogger software como el hardware de la empresa Amecisco. La diferencia entre ambos es que el de hardware puede venir instalado físicamente en el teclado, y el de software se trata de un programa que se instala en el sistema operativo y queda oculto al usuario.

Otro ejemplo de keylogger es el Perfect Keylogger de la empresa BlazingTools Software. Este keylogger además de realizar la captura de todas las teclas que son presionadas durante una sesión también se puede configurar para tomar capturas de pantalla cada determinado tiempo y guardar el historial de las páginas web visitadas.  También incluye una opción para enviar un reporte HTML a un servidor FTP, a un correo electrónico o a una carpeta en red.

Los keylogger son las herramientas más sencillas que podemos encontrar en esta sección. Además de ellas encontramos otras mucho más sofisticadas cuya principal funcionalidad es la de obtener el control total del equipo en cuestión.

La finalidad de obtener el control del equipó puede ser por varios motivos:

• Vigilancia
• Asistencia Remota.
• Robo de información.

El funcionamiento de estas herramientas es similar al de los troyanos. Se trata de una aplicación cliente-servidor, instalando el servidor en la máquina que se quiere controlar y, remotamente, se instala un cliente en otra máquina, dejando abierto un canal de comunicación para ser utilizado en cualquier momento.

Como programa de este tipo líder en el mercado podemos citar el programa VCN de la compañía RealVNC. Como ya hemos comentado está basado en una arquitectura de tipo cliente-servidor y que permiten observar la pantalla de un equipo remoto que tenga instalado el servidor del programa.

Herramientas de marcado de documentos.

Existen programas que permiten el marcado del software para que en el caso de robo de información sea posible detectarlo fácilmente.

Este tipo de técnica se emplea no solamente para evitar el robo de software, también se emplea para marcar obras digitales como imágenes, música, videos y documentos. Este tipo de marcado se conoce como Digital Watermarking. Una marca de agua digital en un pedazo de información especial adherida a la información que se quiere proteger. Esta información debe ser de difícil de extraer o eliminar de la información. Normalmente estas marcas de agua se incluye información como el autor, fecha de creación, etc. de forma que estas marcas de agua no impiden la copia de la información, pero sí que permiten facilitar sin ninguna duda quien es el autor del mismo.

Para inserción de marcas digitales existen multitud de programas, pero quizás uno de los más extendidos y conocidos en el tratamiento de imágenes sea el programa Adobe Photoshop. La tecnología empleada por este programa para la inserción del marcado se conoce como Digimarc. Esta tecnología se emplea no solo para el marcado de imágenes, también se puede utilizar para el marcado de audio, video y documentos.

También existen programas especializados para realizar en exclusiva esta actividad en un tipo de ficheros, por ejemplo, el programa Watermaklt, que solo permite el marcado en fotos e imágenes.

Por ultimo vamos a mencionar las herramientas para el marcado de software, protegiendo el software de la piratería, la manipulación y la ingeniería inversa. Como ejemplo de este tipo de programas para el mercado del software podemos citar la herramienta Sandmark. Se trata de un framework diseñado para la implementación de técnicas de marcado digital.

Herramientas de Hardware   

La herramienta DIBS Mobile Forensic Workstation constituye el equipamiento de computo forense más avanzado disponible en la actualidad. Está diseñada para realizar copias de seguridad, analizar y presentar los datos digitales de una forma forense y ha sido utilizado en multitud de ocasiones en juicios.

La herramienta bien con un disco duro configurado óptimamente para el análisis forense. Adjunta completamente instalado todo el software necesario para el análisis forense, de forma que puede ser usado directamente. Está preparado para que las operaciones de copiado y análisis puedan realizarse en unidades de almacenamiento externas conectadas a través de un puerto USB 2, garantizando así la velocidad en transmisión de los datos.

El kit adjunta una serie de equipamiento hardware con el fin de facilitar el análisis completo.