Posted in Forensic on April 29th, 2009 by m313
Hace poco leí un artículo muy interesante en el blog Forensics from the sausage factory que trataba sobre los rastros que dejan las conversaciones en Facebook en los sistemas y cómo recuperar fragmentos y conversaciones en los mismos.
La idea utilizada es muy simple: el chat de Facebook utiliza tecnología JSON por lo que realizando busquedas mediante patrones en expresiones regulares sería posible encontrar rastros que hayan podido quedar en cualquier parte del sistema, ficheros temporales, memoria, etc.
El artículo es muy interesante y recomiendo su lectura acompañada de algo de trasteo. Curiosamente pocos días después de publicar este artículo el blogger daba cuenta de una herramienta automática existente que realiza estas tareas, añadiendo algunos sistemas de mensajería instantánea adicionales: msn y yahoo. La herramienta se llama Internet Evidence Finder y funciona sobre plataformas Windows. Es una herramienta de facil uso, como podemos ver a continuación:
Sin embargo he estado realizando pruebas con ella y no ha sido muy eficiente buscando conversaciones de chat en facebook, o quizá sea que el sistema que he utilizado para las pruebas no ha dejado migas de pan durante la conversación, cosa que sí ha hecho en el caso del archiconocido Windows Live Messenger, del que recolectó abundantes datos como el que muestro a continuación:
jajaajajjaMSG correo@hotmail.com nick_sesgado 93
MIME-Version: 1.0
Content-Type: text/x-msmsgscontrol
TypingUser: correo@hotmail.comMSG correo@hotmail.com nick_sesgado 141
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Verdana; EF=B; CO=986332; CS=0; PF=22eso si que es cierto
== Referencias ==
http://forensicsfromthesausagefactory.blogspot.com
http://www.jadsoftware.com/home/ief.htm
http://es.wikipedia.org/wiki/JSON