Posted in Forensic on March 25th, 2009 by m313
Este post pretende ser una introducción al análisis forense del uso de este conocido navegador web.
Cuando analizamos los rastros que deja un navegador en una máquina fundamentalmente nos interesa saber a qué URL’s ha accedido el usuario, su historial de navegación para establecer si realiza un uso adecuado del mismo, extensiones instaladas, etc.
En Mozilla Firefox casi todos esos datos se guardan en el perfil, que se haya en una ruta variable en función del sistema operativo en que se ejecute:
Linux: /home/usuario/.mozilla/firefox/directorio_del_perfil
Windows XP: C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\directorio_del_perfil
Windows Vista: C:\Users\usuario\AppData\Roaming\Mozilla\Firefox\Profiles\directorio_del_perfil
MacOS: /Library/Application Support/Firefox/Profiles/directorio_del_perfil
Hay que tener en cuenta que previamente se ha realizado la adquisición de la imágen, recuperación de datos que hayan sido borrados, etc.
A continuación comenzaremos el estudio del historial, para ello mi aplicación favorita es el Mandiant Web Historian, es gratuita, funciona sobre Windows y es una delicia. Nos va a producir un informe en el que nos mostrará el nombre, URL’s, fechas de primer y último acceso, si ha sido borrada, número de visitas, etc.
Animo a todo el mundo a probar esta herramienta, que por cierto no funciona únicamente sobre historiales de Mozilla Firefox.
A continuación una captura de Web Historian:
Una fuente de información muy útil son las cookies del navegador, con ellas podemos no solo establecer patrones de navegación sino en ciertos casos obtener cookies de sesión que puedan ser determinantes a lo largo de la investigación. De la mano de Nirsoft tenemos el programa MozillaCookiesView, gratuita y para plataformas Windows. A continuación una captura de MozillaCookiesView:
Otra fuente de información alternativa y muy util son los contenidos cacheados por el navegador, estos pueden visualizarse directamente a través del sistema de ficheros en las carpetas temporales. Me gusta bastante la herramienta Web Cache View que funciona para varios navegadores y puede hacernos esta tarea un poco más sencilla, también gratuita y para plataformas Windows.
Junto con todo esto lo ideal es realizar un análisis de todo el perfil, y tenemos una herramienta para ello. Se trata de FireFox Forensics, esta herramienta realiza un análisis bastante completo de todo el perfil, permisos, historial, favoritos, etc. Aqui tenemos una captura del programa en accion:
Vamos a dar un paso más centrándonos fundamentalmente en el navegador de la fundación Mozilla. Internamente funciona utilizando una base de datos de SQlite para guardar diversos datos, el esquema de dicha base de datos es el siguiente:
Extraer manualmente esos datos puede resultar muy tedioso. Afortunadamente tenemos la herramienta Firefox3 Extractor f3e, esta herramienta de comandos gratuita y para plataformas Windows puede aportarnos un plus muy interesante a lo que hayamos encontrado anteriormente, su uso es muy simple, colocamos los ficheros de la misma (f3e.exe y sqlite3.dll) en la carpeta del perfil y la ejecutamos, como podemos ver a continuación:
A modo de resumen, aunque pueda parecer algo no especialmente interesante, el análisis forense del navegador, en este caso Mozilla Firefox puede proporcionarnos datos de vital importancia en el curso de una investigación. A modo de nota resaltar que no he encontrado herramientas intersantes para automatizar estas tareas sobre UNIX, una lástima.
:: Referencias ::
http://www.securityfocus.com/infocus/1827
http://www.securityfocus.com/infocus/1832
http://www.mozilla-hispano.org/documentacion/Carpeta_del_perfil