Posted in Forensic on September 9th, 2008 by m313
Si alguien ha intentado entrar al blog en los últimos tiempos habrá comprobado que ha estado fuera de servicio. Por suerte o providencia hace unos meses tengo duplicado el blog en este hosting gratuito porque blogs.ya.com está fuera de servicio desde hace un par de semanas y no ofrece ninguna información al respecto.
Durante este tiempo he estado investigando frameworks para el análisis forense bajo licencias Open Source.
The Sleuth Kit – Autopsy Forensic Browser
Hablar de un framework para análisis forense sobre Linux nos lleva directamente a investigar The Sleuth Kit (TSK).
Este conjunto de scripts y binarios está basado en el original The Coroner’s Toolkit (TCT) y provee de una gran cantidad de binarios para hacer busquedas en las imágenes, control de integridad de las imágenes, recuperación ficheros borrados, búsqueda en slack space, soporte para multitud de sistemas de ficheros, visualización de la Host protected Area (HPA) y muchas más.
Pero realizar todo este trabajo desde la linea de comandos puede ser y es muy incómodo, es por ello que existe Autopsy Forensic Browser, una interfaz gráfica escrita en perl que nos permite realizar el estudio forense de manera sencilla.
Su uso es muy simple e intuitivo y aunque tiene cosas por mejorar (el diseño es bastante pobre) nos proporciona un entorno muy propicio para realizar el análisis de imágenes.
Realizando pruebas con el navegador he descubierto un fallo de seguridad que ha sido notificado a los desarrolladores, se trata de un sencillo Cross Site Scripting (XSS) que, si bien no tiene un impacto grave sobre la aplicación, es necesario corregir puesto que el software forense debe ser lo más estable entre lo estable.
PTK.
PTK es una interfaz alternativa a Autopsy y actualmente no tiene una versión estable, lo que es necesario para utilizar dicha interfaz en un análisis forense serio. las primeras impresiones son muy peroq ue muy buenas, permite guardar los casos en una base de datos en MySQL, tiene un diseño profesional y permite que varios investigadores trabajen simultaneamente con el mismo caso.
Está prevista la salida de la versión estable para final de mesy será sin duda una de las mejores noticias para la auditoría forense en Open-Source.
PyFlag.
PyFlag es otra interfaz gráfica que provee opciones muy interesantes como análisis de logs, memoria, red, etc. Está escrito en Python y al igual que FTK permite guardar los progresos en una base de datos en MySQL.
Como conclusión podemos decir que actualmente hay proyectos serios que, si bien no son actualmente tan funcionales como frameworks comerciales tipo EnCase, proporcionan cada vez un mayor número de funcionalidades.