Digital Forensics With Kali Linux – Alberto Matus
En la próxima serie de entradas del blog voy a repasar algunas de las herramientas de características potenciadas de Kali Linux en el ámbito de la Forense Digital. Hice algunas pruebas de plataforma para mi MSc en la USF, y espero compartir algunos de los detalles.
En esencia, espero abordar algunas de las herramientas de análisis forense digital en el proyecto de código abierto Kali Linux. Como los ordenadores han evolucionado a lo largo de los años en diferentes aspectos, también lo ha hecho el panorama de las herramientas forenses digitales. Las diversas organizaciones actuales han popularizado muchas herramientas del mercado comercial entre los profesionales del sector, cada una con su propio conjunto de licencias y políticas de uso. Sin embargo, a menudo olvidamos que existen herramientas de código abierto disponibles de forma gratuita y con una amplia gama de capacidades. Estas aplicaciones suelen publicarse bajo la Licencia Pública General de GNU (GPL), que estipula que las aplicaciones sean gratuitas y el código fuente esté disponible para todos. Esta próspera comunidad aporta un conjunto de herramientas forenses digitales como las disponibles en el marco del proyecto Kali Linux. Estos posts pretenden poner de manifiesto algunas de las virtudes y capacidades de estas herramientas de código abierto. En ningún caso se trata de una comparación con las herramientas propietarias, ni de un análisis completo en profundidad de cada herramienta, sino de una visión general de las diferentes funcionalidades y características que poseen algunas de ellas.
Sinopsis de los próximos posts
Con el auge de la tecnología y la dependencia de estos sistemas a todos los niveles, se ha producido un aumento de los ciberdelitos. Esto aporta valor e importancia al campo de la ciencia forense digital en la ciberseguridad. Para llevar a cabo investigaciones forenses digitales hay que estar equipado con el conjunto adecuado de herramientas. La mayoría de los expertos forenses digitales utilizan un gran número de herramientas comerciales y a veces no se dan cuenta de que existen alternativas de herramientas de código abierto. Como resultado de esto, se examinó el proyecto de código abierto Kali Linux como un activo potencial en el campo de la ciencia forense digital con los siguientes objetivos:
- Instalar, configurar y utilizar Kali Linux como entorno forense digital.
- Explorar la flexibilidad, potencia y control del sistema operativo Kali Linux como plataforma forense.
- Describir las herramientas forenses de Kali Linux.
- Investigar las capacidades de Kali Linux como activo forense digital.
- Explorar e investigar seis herramientas diferentes en el entorno forense de Kali Linux que contienen: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools, y el análisis completo del caso con el Autopsy / SleuthKit.
- Analice, realice y comprenda el análisis de recopilación de datos en un enfoque paso a paso de un caso.
- Explore e investigue el modo forense de arranque de Kali Linux.
Objetivo 1 – Este objetivo se completó con el fin de presentar este trabajo junto con los hallazgos.
Objetivo 2 – Kali Linux demostró su poder potencial no sólo con las herramientas forenses digitales, sino también con la amplia variedad de aplicaciones generales y de pruebas de penetración. Al ser una plataforma Linux y de código abierto, permitió la flexibilidad de instalar y configurar varios paquetes para satisfacer las propias necesidades. Esto se pudo ver en casos como los de Scalpel, Testdisk / PhotoRec, y Cuckoo. Con el código fuente disponible, y el acceso a todos los archivos del sistema uno podría manipular fácilmente todo el sistema.
Objetivo 3 – Este documento describe algunos de los fundamentos de la ciencia forense digital, el software de código abierto, y la historia del proyecto Kali Linux junto con sus herramientas forenses digitales.
Objetivo 4 – La investigación sobre más de seis herramientas se llevó a cabo para investigar las capacidades de Kali Linux como un activo forense digital.
Objetivo 5 – Las herramientas utilizadas en las diferentes áreas predefinidas son las siguientes:
- Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
- Imagen forense – DC3DD, Guymager
- Tallado de archivos y recuperación de datos – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
- Herramientas de informe – Xplico, The Cuckoo Sandbox, Autopsy
- Análisis completo de casos – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. Sin embargo, esto no se construyó completamente para cumplir con todos los escenarios del caso. Un muy buen análisis de caso podría haberse expandido más allá de la línea de tiempo de este proyecto. Como tal, sólo se exploraron los fundamentos.
- Forense de red – Xplico
- Análisis de malware – The Cuckoo Sandbox
Otras áreas que se exploraron pero que no estaban en los objetivos iniciales fueron:
Objetivo 6 – La recopilación y el análisis de datos se realizaron en la mayoría de los casos. Sin embargo, es posible que se hayan pasado por alto etapas importantes de un proceso paso a paso. Esto se debió a que se dejó de lado mucho enfoque para probar las capacidades de las diferentes herramientas.
Objetivo 7 – El objetivo era utilizar el modo forense en vivo para adquirir y analizar artefactos de archivos y directorios. Sin embargo, después de mucha investigación se encontró que las capacidades del modo Live Forensic eran las mismas que las que ya estaban instaladas en el sistema utilizado para las pruebas. El modo Live Forensic esencialmente hace las cosas rápidas y fáciles. Precarga Kali Linux con todo el software forense que puede ser necesario para una tarea. También es importante tener en cuenta que cuando el modo forense en vivo está en juego, el disco duro del sistema donde se está arrancando nunca se toca. Tampoco se utilizan particiones de intercambio en este proceso ni se montan automáticamente dispositivos de medios extraíbles. Básicamente, el modo forense no debe manipular nada a menos que el usuario lo indique específicamente. En última instancia, esto fue visto como un objetivo que podría ser desviado y probado con el sistema ya instalado.