Informática Forense - Distribuciones

forense

Habiendo hecho, en nuestro artículo anterior, una breve introducción a la Informática Forense, vengo en este segundo post para que sigamos profundizando sobre esta maravillosa disciplina.

En este caso voy a hacer una breve revisión sobre algunas de las distribuciones que tenemos disponibles para llevar adelante con nuestra labor.

El fin del mismo no es recomendarles una de ellas sino presentarles algunas de las herramientas gratuitas para llevar a cabo algunas de las tareas pertenecientes a las acciones de identificación, preservación y análisis vistas en el post anterior. Y no presentaré todas las existentes, ya que, son muchas las que hoy tenemos en la actualidad, sino que nos basaremos en cuatro que son de uso gratuito, aquellas que no podemos dejar de conocer. Muchas de ellas surgen de alguna distribución de Linux. En particular, vamos a estar hablando sobre 4 de ellas, le dedicaremos este post a DEFT, Huemul, SIFT y Santoku.

No todas estas distros las utilizaremos bajo las mismas circunstancia, a medida que hablemos de cada una de ellas veremos bajo qué condición nos convendrá una u otra.

Antes de comenzar con la presentación de cada una, lo que debemos que tener presente, para considerar que una distribución es forense, es que la herramienta que utilicemos *no debe alterar bajo ningún concepto el objeto a peritar*.

DEFT

Arranquemos por DEFT, DEFT es el acrónimo de Digital Evidence & Forensic Toolkit tenemos dos sabores para esta distribución, una de ellas es DEFT 8.2 y la otra DEFT Zero rc1.

DEFT 8.2

La primera de ellas es la versión 8.2, la misma se encuentra basada en Lubuntu 12.10, tiene un tamaño de 3.1 GB y dispone de una gran variedad de herramientas para realizar nuestras labores forenses, tanto para la adquisición como para el análisis del mismo. Como vemos en la siguiente imagen, en DEFT tenemos distribuídas las aplicaciones en los siguientes grupos: Analysis, Antimalware, Data Recovery, Hashing, Imaging, Mobile Forensics, Network Forensics, OSINT, Password recovery y Reporting tools.

deft82

DEFT 8.2 también viene con DART, acrónimo de Digital Advanced Response Toolkit, el cual es un conjunto de herramientas que trabaja bajo entornos Microsoft. Posee tools de Adquisición entre las que cabe destacar la aplicación FTK Imager, herramienta gratuita perteneciebte a una empresa lider en el ámbito forense. Data Recovery, Forensics, Incident Response, Networking, Password, Visualize y Utility son otros de los tópicos dentro de DART.

dart

Descarga DEFT 8.2

DEFT Zero

La segunda es DEFT Zero rc1, la cual es una distro reducida que tiene un tamaño de únicamente 403 MB. Esto es debido a que el fin de la misma es para que realicemos únicamente la adquisición forense para después utilizar un nuestro laboratorio las herramientas que consideremos necesarias.

deft0

Descarga DEFT Zero

Huemul

Toca el momento de hablar de Huemul, esta es una distro argentina la cual se encuentra en su versión 1.0. La misma se encuetra basada en Debian.

Una característica de esta distribución es que está separado su menú en Etapas, en donde aparecen la Etapa de Adquisición, Clonación y Análisis. También en el menú nos encontramos con Borrado seguro, Celulares y Cifrado. Otra característica de esta distro es que en el menú, tal como puede apreciarse en la siguiente imagen, no aparece solo el nombre de la aplicación sino una breve descripción de la misma.

huemul

Descarga Huemul

Santoku

Por último, tenemos a Santoku 0.5, una distribución basada en Ubuntu 14.04.1 LTS con sponsor de VIA Forensic. Una particularidad que tiene esta distro es que tiene varias herramientas para trabajar con telefonía mobile, tanto para la adquisición como así también para el análisis. Posee tools para realizar reversing de aplicaciones desarrolladas para Android y algunas otras para hacking.

En su menú tiene los siguientes grupos de aplicaciónes: Development Tools, Device Forensics, Penetration Testing, Reverse Engineering y Wireless Analyzers. Esta puede ser una buena opción en el caso de tener que trabajar con dispositivos con Android como Sistema Operativo.

santoku

Descarga Santoku

Como hemos visto en muchas de estas distribuciones, entre las herramientas forenses nos encontrado con varias tools de hacking. Por qué? se preguntaran, la realidad es que en muchos casos es necesario romper algunas barreras para llegar a realizar la labor propuesta. Pero ojo, siempre debemos disponer de la autorización del dueño del activo y/o del Juez interviniente en la causa.

Obviamente nosotros podemos armar nuestra propia distribucuón Linux con las herramientas que más nos guste pero para un caso legal, cuanto más conocida sea la distribución que utilicemos menos tendremos que defenderla, ya que, será el mismo mercado quien avale nuestra herramienta forense.

En los próximos posts empezaremos a incursionar dentro de las acciones a realizar dentro de un proceso forense utilizando herramientas provistas por alguna de las distribuciones aquí mencionadas.

forense