Category Archives: Miscelaneos

Recopilación de Herramientas Forenses

La siguiente lista contiene mas de 100 herramientas y utilidades para Informática Forense:

Advanced Prefetch Analyser Hallan HayLee Lee los ficheros prefetch de Windows. Simplemente genial
Agent Ransack Mythicsoft Busca multiples ficheros usando Perl Regex. Lo he utilizado alguna vez con resultados muy efectivos.
analyzeMFT
David
Kovar
Permite realizar ‘Parses’ de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Lo he utilizado en combinación con EnCase.
Audit Viewer Mandiant Visualizador utilizado en combinación con Memoryze.
Autopsy Brian Carrier Reconocida herramienta gráfica para entornos Linux con muy buen sabor y experiencia en entornos forense. Es otro clásico a utilizar.
Backtrack Backtrack Suite de ‘Penetration testing’ y seguridad para la realización de auditorias de seguridad. Muy muy bueno.
Bitpim
Bitpim
Analiza dispositivos móviles como LG, Sanyo, etc.
Caine University of Modena e Reggio Emilia Live CD, con numerosas utilidades y herramientas.
ChromeAnalysis forensic-software Analiza tarjetas SIM, direcciones, llamadas, etc. Herramienta que permite el análisis del historico de internet del famoso Google Chrome
ChromeCacheView
Nirsoft
Lee los ficheros de la cache de Google Chrome y visualiza en una lista lo que se encuentra almacenado.
DCode Digital Detective Convierte varios tipos de fechas y tiempos. Me ha venido bien para los distintos formatos en Unix.
Defraser Varios Detecta ficheros multimedia en espacios ‘unallocated’.
Digital Forensics Framework ArxSys Framework que permite el análisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extracción de metadatos, ficheros borrados y ocultos.
DumpIt MoonSols Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB
EDB Viewer Lepide Software Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server.
EnCase Guidance Potente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el ámbito forense. Económicamente muy elevada pero muy recomendable. La suelo utilizar
Encrypted Disk Detector JAD
software
Comprueba discos físicos en busca de ficheros o volumenes cifrados con TrueCrypt, PGP, o Bitlocker.
Exif Reader Ryuuji Yoshimoto Extrae datos(metadatos) Exif de fotografias digitales.
FastCopy Shirouzu Hiroaki Uno de los mas rapidos en copiar y/o borrar, permite utilizar

SHA-1. Lo he utilizado para copia masiva de datos con muy buenos resultados

FAT32 Format Ridgecrop Habilita la capacidad de almacenamiento de discos formateados en FAT32
Foca Informatica64 Herramienta para fingerprinting e information gathering en trabajos de auditoría web. Lo utilizo para casi todo, especialmente el tema de metadatos
Forensic Image Viewer Sanderson Forensics Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalización GPS. Lo suelo emplear bastante.
ForensicUserInfo Woanware Extrae información relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives también desencripta hashes LM/NT.
FoxAnalysis forensic-software Herramienta que permite el análisis del historico de internet de firefox.
FTK Imager AccessData Herramienta para adquirir, montar y analizar de forma básica imágenes de equipos. También es capaz de volcar la memoria a fichero. Muy completa
Gmail Parser Woanware Obtiene de ficheros HTML información que se ha ‘cacheado’ al utilizar ‘artefactos’ de Gmail
HashMyFiles Nirsoft Calcula hashes MD5 y SHA.
Highlighter Mandiant Examina ficheros log usando texto, gráficos o histogramas.
IECacheView Nirsoft Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista.
IECookiesView Nirsoft Extrae detalles de las cookies de Internet Explorer.
IEHistoryView Nirsoft Extrae las visitas recientes de las URL’s de Internet Explorer.
IEPassView Nirsoft Extrae las passwords de Internet Explorer en las versiones 4 a 8.
KaZAlyser Sanderson Forensics Extrae información del famoso programa P2P KAZA.
Live View CERT Permite al analista examinar y ‘arrancar’ imagenes en formato dd y VMware. También muy útil
LiveContactsView Nirsoft Visor que permite exportar los contactos y otros detalles de Windows Live Messenger.
Mail Viewer MiTeC Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML.
Memoryze Mandiant Adquiere y analiza imagenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Es algo engorroso, pero me encanta.
MFTview Sanderson Forensics Muestra y decodifica contenidos extraídos en ficheros MTF.
MobaLiveCD Mobatek Ejecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Me ha venido bien en alguna ocasión para utilizar servidores FTP sin tener que tocar windows.
MobilEdit MobilEdit Recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayoría de los móviles.
Motorola Tools “Flash & Backup” – actualiza el firmware y “M-Explorer” – administrador de archivos pequeños, fáciles de usar y gratis
MozillaCacheView
Nirsoft
Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado.
MozillaCookieView
Nirsoft
Extrae detalles de las cookies de Mozilla.
MozillaHistoryView
 Nirsoft
Herramienta que permite el análisis del historico de internet de Mozilla.
MyLastSearch Nirsoft Extrae búsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) también en redes sociales (Twitter, Facebook, MySpace)
Netdetector Niksun Analizador de red y detector de intrusiones
Netwitness Investigator Netwitness Analizador de paquetes de red. Increíblemente bueno.
NetworkMiner Netresec Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc.
Notepad ++ Notepad ++ Ya jamas volveré al notepad clásico después de utilizar este Notepad.
OperaCacheView Nirsoft Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado.
OperaPassView Nirsoft Desencripta las password del fichero ‘wand.dat’ de Opera.
Oxygen Oxygen Maravillosa herramienta comercial analiza todos los datos disponibles de un móvil. No puedo vivir si ella.
P2 eXplorer Paraben Realiza montajes virtuales de unidades y de imágenes. Casi toda la suite, por no decir toda es muy interesante y útil.
P2 Shuttle Free Paraben Suite maravillosa que permite montar remotamente discos, captura de tráfico de red, de RAM, utilidades de búsqueda etc.
Paraben Forensics Paraben Al igual que las anteriores, recoge todos los datos posibles desde el teléfono móvil, a continuación, genera un amplio informe que se puede almacenar o imprimir.
PasswordFox Nirsoft Extrae usuario y contraseñas almacenadas en Mozilla Firefox.
Process Monitor Microsoft Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta
PST Viewer Lepide Software Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook.
PsTools Microsoft Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima.
recuva Piriform Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad
Registry Decoder Digital Forensics Solutions Para la adquisición, análisis e informe del contenido del registro.
RegRipper Harlan Carvey Herramienta de correlación y extracción de evidencias forenses del registro. Todo un lujo del maestro de los maestros forenses. La utilizo día si y día también.
Regshot Regshot Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware.
rstudio Es una suite de software de recuperación de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux
Shadow Explorer Shadow Explorer Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. Muy bueno.
SIFT SANS VMware Appliance de SANS configurado con multiples herramientas para el análisis forense. Otra tool para llevar encima.
SkypeLogView Nirsoft Analizador del famoso Skype
Snort Snort El mas versatil y magnifico detector de intrusos. Me ha salvado muchas veces del apocalipsis
SQLite Manager Mrinal Kant, Tarakant Tripathy add-on en Firefox que permite ver contenidos de bases de datos SQLite. Otra de las joyas de la corona.
Strings Microsoft No puedo vivir sin el. Busca contenido de texto en ficheros.
Structred Storage Viewer MiTec Visualiza y maneja estructuras basadas en ficheros MS OLE. Lo sigo utilizando.
Suite Getdata getdata Magnifica suite de herramientas forenses para el montaje de discos virtuales, imágenes y recuperación y analisis de datos. Excelente conjunto de herramientas
Triana Tools Informatica64 Herramienta indispensable para el análisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos
Ubuntu guide How-To Geek Guia para usar con Unbuntu live con objeto de utilizar recuperación de particiones, ficheros, etc. Tengo mala memoria y suelo acudir alguna vez.
UFED Cellebrite Es el sistema más completo que combina la extracción lógica y física, la recuperación de clave de acceso y extracción del sistema de archivos de multiples dispositivos móviles. Es caro pero de lo mejor
Unhide
Security
By
default
Me encanta, muy útil en tiempos desesperados, mas si se trata de entornos Linux. Si quieres detectar procesos ‘raros’ este es tu software
USB Device Forensics Woanware Detalles de las unidades USB que se han conectado a un equipo.
USB Write Blocker DSi Habilita la posibilidad de escribir o bloquear puertos USB.
USBDeview Nirsoft Igual que la anterior.
UserAssist Didier Stevens Muestra una lista de programas que se han ejecutado incluyendo ultima ejecución , número de veces y fechas y horas. Muy bueno.
VHD Tool Microsoft Convierte discos e imágenes al formato VHD que se puede montar en Windows desde el administrador de discos. Me ha sacado de algún apuro
VideoTriage QCC Produce miniaturas de ficheros de video con objeto de apreciar imágenes o movimientos perdidos en la película. Excelente utilidad para mostrar evidencias.
Volatility Framework Volatile Systems Framework que se compone de una colección de herramientas para la extracción de ficheros RAM. Maravillosa herramienta para la detección de Malware. La tengo configurada en SIFT de SANS.
Web Historian Mandiant Magnifica herramienta que reúne las anteriores y permite de los navegadores mas utilizados obtener el historico de navegación.
Windows File Analyzer MiTeC Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Como os podeis imaginar lo empleo muchísimo.
Windows Forensic Environment Troy Larson Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).
Wireshark Wireshark Algo que decir de esta maravillosa herramienta?. Excepcional!!
Xplico xplico Entorno gráfico para poder entender y visualizar el contenido de ficheros PCAP. Muy útil!!
OSforensics Osforensics Una forma rapida de investigar el contenido de ficheros borrados, último acceso. Muy útil si tienes prisa y el equipo no es necesario aportarlo para una evidencia.
Responder HBgary Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.
Liveview Liveview Es una herramienta basada en Java que crea una máquina virtual de VMware de una imagen de disco sin procesar (dd-style) o un disco físico. Muy buena!!

Cadena de Custodia en Informática Forense (Parte I)

Anexos.fi1.IlustracionMasterPrimero vamos a arrancar con algunos aspectos legales y técnicos sobre que es una “cadena de custodia”, su importancia y significado dentro de una investigacion policial y judicial y después nos ahondaremos en cuestiones informáticas.

La preservación de la cadena de custodia sobre la prueba indiciaria criminalística, es un objetivo que afecta a la totalidad de los miembros del poder judicial, los operadores del derecho y sus auxiliares directos.

Entre éstos últimos debemos incluir el personal de las Fuerzas de Seguridad, las Policías Judiciales y al conjunto de Peritos Oficiales, de Oficio y Consultores Técnicos o Peritos de Parte.

Por esta razón el establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de métodos y procedimientos que aseguren la confiabilidad de la información recolectada, único elemento integrador a proteger en los activos informáticos cuestionados, ya que incluye la confidencialidad, la autenticidad, la integridad y el no repudio de los mismo, es una necesidad imperiosa para asegurar el debido proceso en cualquiera de los fueros judiciales vigentes.

En términos sencillos implica establecer un mecanismo que asegure a quien debe Juzgar, que los elementos probatorios ofrecidos como Prueba Documental Informática, son confiables. Es decir que no han sufrido alteración o adulteración alguna desde su recolección, hecho que implica su uso pertinente como indicios probatorios, en sustento de una determinada argumentación orientada a una pretensión fundada en derecho.

El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, desde la sana crítica, la prueba tasada o las libres convicciones según sea el caso y la estructura judicial en que se desarrolle el proceso.

Consideramos a la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia y que tiene como fin asegurar la inocuidad y esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial.

Para asegurar estas acciones es necesario establecer un riguroso y detallado registro, que identifique la evidencia y posesión de la misma, con una razón que indique, lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no).

Desde la detección, identificación, fijación, recolección, protección, resguardo empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la escena, es la misma que se está presentando ante el evaluador y/o decisor.

Subsidiariamente, pero a idéntico tenor, es importante considerar el significado implícito en los indicios recolectados, el valor que van a tener en el proceso de investigación, análisis y argumentación del cual dependen. En dicho marco de referencia es que adquirirán su relevancia y pertinencia, de ahí la necesidad de evitar en lo posible la impugnación de los mismos en razón de errores metodológicos propios de cada disciplina en particular (no son idénticas la cadena de custodia de muestras biológicas que la que se corresponde con armas, o documentos impresos o virtuales). Es por esta razón que existen componentes genéricos y componentes particulares en toda cadena de custodia. Por ejemplo el realizar un acta de secuestro es un elemento genérico, pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre el archivo secuestrado es un elemento propio de la cadena de custodia en informática forense.

Suele asociarse a la cadena de custodia con el proceso judicial orientado a dilucidar acciones delictivas, sin embargo la misma no se agota en el orden penal. En particular la cadena de custodia informático forense debe preservarse en todas las transacciones virtuales susceptibles de ser valoradas económicamente. Cuando un banco realiza una transferencia de fondos o un consumidor adquiere un producto por medios virtuales (Internet entre otros) requiere de esa operación la misma confiabilidad que puede aportarle la cadena de custodia informático forense, es decir afecta en todo momento a la comunidad virtual y sus actores involucrados.

Al recolectar las pruebas, lo importante es el significado, el valor que va a tener en el proceso de investigación y por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar, al haberse acatado el procedimiento.

Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria ante el encargado de decidir a partir de la misma, es necesario que la misma sea garantizada respecto de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente adecuado. Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.

Continue reading

¿Que es día cero?

En Seguridad Informática, se habla de día cero al mencionar el momento en que se descubre un nuevo virus o vulnerabilidad en una aplicación. Se dice día cero porque hasta ese momento ni siquiera los desarrolladores eran conscientes de determinada vulnerabilidad, por lo tanto el día cero marca la primera aparición de una amenaza informática puntual.

La aparición de una vulnerabilidad 0-day implica que no habrá parche ni solución instantánea para cerrar el agujero de seguridad encontrado. Cada tanto aparecen exploits que aprovechan estas vulnerabilidades y pueden ser verdaderamente dañinas ya que la ausencia de una solución implica que tienen tiempo suficiente para causar destrozos hasta que se encuentre una forma de reparar la vulnerabilidad.

coding

En el mundo del malware, hablamos de día cero cuando todavía no hay firmas existentes para detectarlo o eliminarlo. Estas vulnerabilidades solamente pueden ser detectadas a través de técnicas no reactivas que deben ser realizadas por personas con experiencia en informática, los usuarios casuales poco podrán hacer para descubrir que están infectados.

El concepto día cero es relativamente simple, es aquel día en que una amenaza informática es descubierta y recién a partir de ese momento empezarán a realizarse actividades intentar detener su avance y daños.

A diferencia de muchos productos que intentan vender supuestas soluciones inmediatas, lo cierto es que no existen formas de detectar mediante software tradicional las vulnerabilidades día cero, ya que se denominan cero porque hasta el momento no hay forma de conocerlas.

Lo que sí hay son programas que analizan los comportamientos de los programas y sistemas operativos en busca de rutinas extrañas, de esta forma se puede saber si nuestro ordenador tiene algún comportamiento fuera de los parámetros que pueda considerarse una amenaza.

En seguridad informática las vulnerabilidades tipo día cero son las más temidas, pero tampoco hay que ser paranoicos. Muchas veces son vulnerabilidades que no terminan de convertirse en virus o que son selladas al instante y no generan mayores inconvenientes. Siempre hay que tener cuidado, pero sin ponerse paranoicos.