Posted in Forensic on September 25th, 2008 by m313
HELIX es el liveCD forense más conocido y utlizado. Desde Julio del año pasado no habíamos tenido noticias de esta distribución pero hoy han visitando la web veo que ha salido una nueva versión y han realizado un cambio radical en la web oficial del proyecto.
Esta nueva versión sigue siendo GPL y puede descargarse sin coste desde el siguiente enlace:
http://www.e-fense.com/helix/Download.html
Hay que recordar que esta LiveCD funciona en dos modos:
1. LiveCD anteriormente basada en Knoppix (esto ha dejado de ser así en la nueva versión) que ofrece un entorno limpio (no altera la evidencia) y que proporciona multitud de herramientas para el análisis forense.
2. Suite para Windows. Permite su ejecución en un entorno Windows “vivo” y proporciona una suite de herramientas para el análisis y recolección de evicencias.
Como puede verse en la web del proyecto la mayor parte de las herramientas han sido actualizadas y se han incluido unas cuantas nuevas:
Linux:
• [ADD] winlockpwn v1.0 – Bypasses windows authentication via firewire
• [ADD] bioskbsnarf v1.0 – Python code to parse and print bios-real-mode-keyboard-interrupt-buffer
• [ADD] dc3dd v6.9.91 – Patched version of GNU dd with added forensic features
• [ADD] Volatility v1.3 – Open framework for the extraction of artifacts from RAM dumps
• [ADD] tableau-parm v0.1.0.2 – Command line tool to interact with Tableau forensic write blockers
• [ADD] gtkhash v0.2.0.1 – GTK+ utility for computing message digests
• [ADD] bless v0.6.0 – Hex editor with read/write support for block devices
• [ADD] clamtk v3.08-1 – Graphical front end to clamav
• [ADD] meld v1.1.5.1 – Diff and merge utility
• [ADD] ophcrack v2.4.1 – Windows password cracker based on rainbow tables (not included)
• [ADD] samdump2 v1.1.1 – Dump Windows SAM file for cracking
Windows:
• [ADD] Nirsoft WirelessKeyView v1.1.6.0
• [ADD] Nirsoft List of all network resources v1.1.1.0
• [ADD] Nirsoft Mozilla History View v1.0.4.0
• [ADD] Nirsoft Mozilla Cache View v1.0.8.0
• [ADD] Nirsoft IPNetInfo v1.1.1.0
• [ADD] Nirsoft list DLLs that are automatically injected on every process v1.0.0.0
• [ADD] Nirsoft Internet Explorer Passwords Viewer v1.0.8.0
• [ADD] Guidance Winen RAM imager v6.11.2.2
• [ADD] Mantech MDD RAM imager v1.3
• [ADD] Mathieu Suiche Win32dd RAM imager v1.1.20080818
Solo tengo dos notas negativas al respecto: han eliminado el paquete PyFlag, supuestamente por razones de espacio y de rendimiento. Sobre espacio diría que igual es hora de pensarse incluir entornos graficos más agradables (como KDE) y por tanto pasar del formato CD al DVD. Sobre las razones de rendimiento sinceramente creo que se trata de una excusa para no crear una BBDD predefinida en mysql, o crear un script que la cree al iniciar la aplicación, porque PyFlag es un entorno más que recomendable.
Por otro lado no han añadido la herramienta PTK y me parece normal, ya que la versión estable aún no ha salido, pero teniendo en cuenta que saldrá en menos de 5 dias quizá debieran haber esperado. ¿o quizá no la incluyeran por problemas de espacio? ¿rendimiento tal vez?
Me pica la curiosidad de saber porqué han dejado de basarse en Knoppix. Estoy ansioso por probarla pero tengo la impresión de que estará basada en los Linux Live Scripts. Slackware Rules !!
ACTUALIZADO 29/09/2008:
Ya he tenido la oportunidad de probarla y trae Gnome y está basada en…..Ubuntu !!!
Ahora entiendo porqué tardó 5 minutos en arrancar desde el CD. 
Si alguien ha intentado entrar al blog en los últimos tiempos habrá comprobado que ha estado fuera de servicio. Por suerte o providencia hace unos meses tengo duplicado el blog en este hosting gratuito porque blogs.ya.com está fuera de servicio desde hace un par de semanas y no ofrece ninguna información al respecto.
Durante este tiempo he estado investigando frameworks para el análisis forense bajo licencias Open Source.
The Sleuth Kit – Autopsy Forensic Browser
Hablar de un framework para análisis forense sobre Linux nos lleva directamente a investigar The Sleuth Kit (TSK).
Este conjunto de scripts y binarios está basado en el original The Coroner’s Toolkit (TCT) y provee de una gran cantidad de binarios para hacer busquedas en las imágenes, control de integridad de las imágenes, recuperación ficheros borrados, búsqueda en slack space, soporte para multitud de sistemas de ficheros, visualización de la Host protected Area (HPA) y muchas más.
Pero realizar todo este trabajo desde la linea de comandos puede ser y es muy incómodo, es por ello que existe Autopsy Forensic Browser, una interfaz gráfica escrita en perl que nos permite realizar el estudio forense de manera sencilla.
Su uso es muy simple e intuitivo y aunque tiene cosas por mejorar (el diseño es bastante pobre) nos proporciona un entorno muy propicio para realizar el análisis de imágenes.
Realizando pruebas con el navegador he descubierto un fallo de seguridad que ha sido notificado a los desarrolladores, se trata de un sencillo Cross Site Scripting (XSS) que, si bien no tiene un impacto grave sobre la aplicación, es necesario corregir puesto que el software forense debe ser lo más estable entre lo estable.
PTK.
PTK es una interfaz alternativa a Autopsy y actualmente no tiene una versión estable, lo que es necesario para utilizar dicha interfaz en un análisis forense serio. las primeras impresiones son muy peroq ue muy buenas, permite guardar los casos en una base de datos en MySQL, tiene un diseño profesional y permite que varios investigadores trabajen simultaneamente con el mismo caso.
Está prevista la salida de la versión estable para final de mesy será sin duda una de las mejores noticias para la auditoría forense en Open-Source.
PyFlag.
PyFlag es otra interfaz gráfica que provee opciones muy interesantes como análisis de logs, memoria, red, etc. Está escrito en Python y al igual que FTK permite guardar los progresos en una base de datos en MySQL.
Como conclusión podemos decir que actualmente hay proyectos serios que, si bien no son actualmente tan funcionales como frameworks comerciales tipo EnCase, proporcionan cada vez un mayor número de funcionalidades.