Ir al contenido principal

Herramientas para el análisis

Para el disco duro:
EASIS Drive Check
Captura De Pantalla 483
Si eres una persona sin demasiados conocimientos técnicos que quiere análisis visuales fáciles de entenderEASIS Drive Check es posiblemente la aplicación de esta lista que más te guste. Es tan sencilla que al ejecutarla sólo te dará dos opciones: realizar un análisis de los valores S.M.A.R.T. o un test de superficie.
El primero tardará sólo unos segundos y te mostrará los datos como ves en la imagen, de forma muy visual con zonas en rojo para decirte los factores en los que puede estar flojeando. El de superficie es mucho más exhaustivo y te llevará por lo menos dos horas, pero sabrás al detalle si tiene algún sector defectuoso.
Para el correo electrónico:

 Análisis e Identificación de Correos Electrónicos

En la actualidad es común que las comunicaciones vía correo electrónico sean utilizadas para realizar una serie de actividades, entre las cuales se pueden mencionar:
  • Comisión de delitos tipificados en nuestra legislación, como por ejemplo: Injurias y calumnias, amenazas, usurpación de nombre (conocido habitualmente como suplantación de identidad), extorsión y revelación de información privada.
  • Cometer una serie de actividades incorrectas, que pueden provocar situaciones desagradables y complejas, como por ejemplo: Acoso y hostigamiento.
  • Celebración de acuerdos comerciales entre partes, como por ejemplo: Contratación de servicios, compra de productos y aceptación de condiciones comerciales.
Esto conlleva, que por una parte los receptores de estas comunicaciones podrían tener interés en identificar al emisor, o por otra los emisores podrían desear corroborar el envío de un correo electrónico.
Por medio de este servicio se realiza la extracción y análisis de la información contenida en los correos electrónicos recibidos/enviados. Esta información no es visible en forma habitual para un usuario común y se encuentra expresada de manera que requieren de un experto y herramientas especializadas para interpretarla de manera correcta. La correcta interpretación de esta información es fundamental para iniciar las acciones tendientes a lograr la identificación del emisor de los correos electrónicos.
Para dispositivos móviles:

Herramientas gratuitas genéricas

  • AFLogical OSE - Open source Android Forensics app and framework es una aplicación en formato APK que debe ser previamente instalada en el terminal Android. Una vez finalizado el proceso permite extraer información variada a la tarjeta SD (registro de llamadas, listado de contactos y de aplicaciones instaladas, mensajes de texto y multimedia) y posteriormente ésta debe ser recuperada o bien conectando la tarjeta a un dispositivo externo o mediante el ADB.
  • Open Source Android Forensics es un framework que se distribuye mediante una imagen de máquina virtual que reúne varias herramientas que permiten analizar aplicaciones para dispositivos móviles, incluyendo análisis tanto estático como dinámico o incluso para realizar un análisis forense.
  • Andriller es una aplicación para sistemas operativos Windows que reúne diferentes utilidades forenses. Permite obtener multitud de información de interés relacionada, entre otras cosas, tanto con redes sociales como con programas de mensajería (Skype, Tinder, Viber, Whatsapp, etc).
  • FTK Imager Lite permite trabajar con volcados de memoria de dispositivos móviles para poder analizarlos y obtener evidencias.
  • NowSecure Forensics Community Edition se distribuye como una imagen virtual que reúne varias herramientas para realizar un análisis forense, pudiendo realizar diferentes tipos de extracción de evidencias o incluso file carving en su versión comercial.
  • LIME- Linux Memory Extractor es un software que permite la obtención de un volcado de memoria volátil de un dispositivo basado en Linux como es el caso de los teléfonos móviles Android. Así mismo, presenta la ventaja de que puede ser ejecutado remotamente vía red.

Herramientas gratuitas específicas

  • Android Data Extractor Lite (ADEL) es una herramienta desarrollada en Python que permite obtener un flujograma forense a partir de las bases de datos del dispositivo móvil. Para poder realizar el proceso, es necesario que el dispositivo móvil esté rooteado o tener instalado un recovery personalizado.
  • WhatsApp Xtract permite visualizar las conversaciones de Whatsapp en el ordenador de una manera sencilla y amigable. Para ello, se deben obtener previamente las diferentes bases de datos que almacenan la información correspondiente a los mensajes.
  • Skype Xtractor es una aplicación, soportada tanto en Windows como Linux, que permite visualizar la información del fichero main.db de Skype, el cuál almacena información referente a los contactos, chats, llamadas, ficheros transferidos y mensajes eliminados, etc.

Herramientas de pago

  • Cellebrite Touch es uno de los dispositivos de extracción de evidencias más famoso y completo del mercado. Permite trabajar con más de 6.300 terminales distintos con los principales sistemas operativos móviles. Así mismo, es muy sencillo e intuitivo.
  • Encase Forensics, al igual que Cellebrite, es un referente en el mundo del análisis forense. Entre su amplio abanico de funcionalidades incluye la de identificar ficheros cifrados y la de intentar descifrarlos mediante Passware Kit Forensic, una utilidad que incorpora algoritmos específicos para tal fin.
  • Oxygen Forensic Suite es capaz de obtener información de más de 10.000 modelos diferentes de dispositivos móviles e incluso obtener información de servicios en la nube e importar backups o imágenes.
  • MOBILedit! Forensic permite obtener multitud de información y realizar operaciones avanzadas como obtener un volcado completo de memoria, sortear las medidas de bloqueo del terminal, generación flexible de reportes.
  • Elcomsoft iOS Forensic Toolkit permite realizar la adquisición física sobre dispositivos iOS como iPhone, iPad o iPod. Así mismo, incluye otras funcionalidades de utilidad como la descifrar el llavero que almacena las contraseñas del usuario del terminal analizado o registrar cada acción que se realiza durante todo el proceso para dejar constancia de las mismas.
Para poder realizar el proceso de toma de evidencias en un dispositivo móvil Android muchas de las herramientas requieren tener habilitada la opción de "Depuración de USB", preferiblemente la de "Permanecer activo" y deshabilitar cualquier opción de bloqueo de pantalla por tiempo. En el caso de que el terminal tenga configurada alguna opción de bloqueo de pantalla es necesario sortearla.
La mayoría de las utilidades anteriormente descritas, principalmente las de pago, incluyen mecanismos para saltarse estas protecciones por lo que únicamente habrá que seguir los pasos que indiquen, aunque no siempre es posible. Si el proceso se va a realizar de manera manual se tendrá que realizar alguna de las siguientes acciones:
  • Si el dispositivo esté rooteado se podrá intentar eliminar el fichero gesture.key o password.key según el modo de protección establecido, los cuales, se almacenan en /data/system/ o copiarlos y descifrar el patrón mediante algún diccionario de hashes como AndroidGestureSHA1, utilizando para ello alguna herramienta como Android Pattern Lock Cracker.
  • Instalar algún recovery personalizado como ClockWorkMod o Team Win Recovery Project (TWRP) y posteriormente desactivar el bloqueo de acceso al dispositivo.
  • El problema de la fragmentación en las plataformas móviles provoca que la gran mayoría de los dispositivos estén afectados con vulnerabilidades que no van a ser solucionadas para esos modelos por lo que dependiendo de la versión de Android es posible utilizar alguna de ellas para obtener acceso al dispositivo, como por ejemplo CVE-2013-6271.
  • Utilizar fuerza bruta. En el caso de se utilice un pin de 4 dígitos como mecanismo de seguridad se ha demostrado que es posible obtenerlo en un breve periodo de tiempo, alrededor de 16 horas como máximo.
  • Incluso podría llegar a utilizarse alguna técnica más sofisticada como demostraron varios miembros del departamento de informática de la Universidad de Pennsylvania en lo que nombraron como «Smudge Attack», que consiste en obtener el patrón de bloqueo a partir de las huellas que quedan en la pantalla del dispositivo móvil, utilizando para ello fotografías desde distintos ángulos modificando las propiedades de luz y color.
Para redes en cómputo forense:

Snort

Es una de las herramientas más utilizadas como  Sistema de detección de intrusiones basado en red, también es utilizado como analizador. Cuenta con un  poderos motor de detección de intrusos, ataques y barrido de puertos que permite alertar y generar un registro de todos los sucesos  que han intentado afectar al sistema.

Nmap

Nmap tiene el titulo de ser el analizador de scanner de puertos mas importantes a nivel de software. Su uso no sola es  en seguridad, también es utilizado para auditar y en algunos casos, se puede extraer evidencia para una investigación forense.


Wireshark

Es un programa analizador de protocolos y del tráfico que pasa a través de una red, permite la capturar toda la información  del tráfico en el envió y recepción de un paquete. Genera un serie de reportes que pueden ser exportados a un archivo de texto para permitir el análisis de un suceso sospechoso en la red.

Ethereal

Otro de los  poderos analizador de protocolos de red para sistemas Unix/Linux y Windows,  Nos permite examinar datos de una red viva o de un archivo de captura en algún disco. Permite una examen interactivo de la información capturada, con  de detalles y sumarios por cada paquete.

Capsa

Nuevo analizador de red con funciones de captura. Capsa  es una combinación de monitoreo de gran alcance, en profundidad decodificación de paquetes, de red fiable el diagnóstico, alertas en tiempo real y completa la capacidad de presentación de informes, que proporciona soluciones innovadoras a problemas en la red numerosos". Sus reportes son de gran ayuda en el análisis de evidencia que permita investigar los sucesos que atenten contra el normal funcionamiento de la red.

ChkRootKit

Es una herramienta diseñada para detectar rootkit en el sistema operativo Linux, su uso se limita al manejo desde la consola. Sus características de funcionamiento se basan en la realización de múltiples pruebas en las que busca entre los binarios modificados por dicho software. 
Su uso no se limita únicamente a la prevención, la generación de reportes permiten hacer una auditoria o análisis a posibles intentos de intrusión al sistema.

Network Miner

Es una de las mas modernas herramientas  de análisis forense, basado en la captura  y análisis de  los paquetes que circulan a través de  red LAN .  Su uso se asemeja al de wireshark, solo que se diferencia de esta y otras  utilidades similares, debido a que no utiliza ningún tipo de información en el proceso de escucha y captura, lo que le permito no generar trafico en la red.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Objetivos de la Informática forense

Objetivos de la Informática Forense La informática forense tiene 3 objetivos, a saber:                                                                              1. La compensación de los daños causados por los criminales o intrusos.                                                                                                                                                                                                           2. La persecución y procesamiento judicial de los criminales.                                                                                                                    3. La creación y aplicación de medidas para prevenir casos similares.                                                                                                                                                                                                                       Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidenc
Publicar un comentario
Leer más

Pasos del proceso en el computo forense

Identificación Es  muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados. Preservación Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar en e
Publicar un comentario
Leer más