NSRL (National Software Reference Library ) o por su traducción al idioma español Librería Nacional de Referencia de Software, promueve el uso eficiente y efectivo de la tecnología en la investigación de crimines que involucran a las computadoras.

NSRL está diseñada para recolectar software desde diversas fuentes e incorporar perfiles de archivos computados desde este software dentro de un Conjunto de Referencia de Datos (RDS) de Información. El RDS puede ser utilizado por fuerzas legales, gobierno, y organizaciones de la industria para revisar archivos sobre una computadora correspondiendo a perfiles de archivos en el RDS. Esto ayudará a aliviar el esfuerzo involucrado para determinar cuales archivos son importantes como evidencia en las computadoras o sistemas de archivos que han sido capturados como parte de investigaciones criminales.

RDS es una colección de firmas digitales de aplicaciones de software rastreables y conocidos. Existen valores hash de aplicaciones en el conjunto de hashes los cuales pueden ser considerados maliciosos, como herramientas de esteganografía o scripts de hacking. No existen valores hash de datos ilegales como imágenes de abuso de menores.

Autopsy 3 es una plataforma forense e interfaz gráfica para “The Sleuth Kit” y otras herramientas digitales forenses. Ha sido diseñado para ser intuitivo, pues es una plataforma “extremo a extremo” con módulos que vienen incluidos, y otros módulos que están disponibles desde terceros.

Para la siguiente práctica se procede a descargar la versión más reciente del conjunto de hashes RDS, cuya versión 2.45 se publicó en el mes de Junio del año 2014.

Descargado el archivo se procede a verificar su hash SHA-1.

Verificado el Hash, se procede a extraer el contenido desde la imagen ISO , para copiarlo luego a nuestro directorio de trabajo.

Dado que los RDS han incrementado su tamaño para distribuirlos en cuatro CDROMs. Para los usuarios que están familiarizados con el proceso de utilizar cuatro CDROMs para cargar los datos RDS, se encontrará un directorio de nombre “RDS_Split” en la imagen ISO. Este directorio contiene los cuatro archivos zip RDS tradicionalmente distribuidos en cuatro CDROMs.

Para los usuarios interesados en procesar un conjunto RDS unificado, existe un directorio de nombre “RDS_Unified” el cual puede ser encontrado en el DVD. Este directorio contiene los archivos RDS tradicionalmente presentados sobre un ISO de DVD para RDS.

Al ingresar al directorio de nombre “RDS_Unified” se encontrará el archivo de nombre “NSRLFile.zip”, el cual contiene un único y unificado archivo de nombre "NSRLFile.txt". Cuando el archivo es descomprimido, el archivo NSRLFIle.txt contiene un conjunto de hashes de 144,018,038 archivos, 38,747,351 de los cuales son valores hash SHA-1 únicos.

Se procede ahora a configurar esta Base de Datos de Hashes en Autopsy 3. Iniciar Autopsy 3 haciendo clic en el ícono correspondiente ubicado en el escritorio.

Hacer clic en el menú “Tools -> Options” o “Herramientas -> Opciones”.

Se presentará una nueva ventana, en la cual se debe hacer clic en el ícono “Hash Database” o “Base de Datos de Hash”.

Hacer clic en el botón “Import Database” o Importar Base de Datos. Ubicar la ruta del archivo de nombre “NSRLFile.txt” haciendo clic en el botón “Open”. Luego seleccionar el Tipo de Base de Datos a “Known (NSRL or Other)” o Conocido (NSRL u Otro). Hacer clic en el botón de nombre “Ok”.

La base de datos importada será presentada en el campo ubicado al lado izquierdo, mientras que su información será presentada en el lado derecho. Anotar que el “Index Status” o Estado del Indice es “No Index” o No Indexado. Esto a razón de que cuando una base de datos es creada o actualizada esta debe ser indexada, de esta manera se pueden realizar búsquedas veloces utilizando un algoritmo de búsqueda binaria (en lugar de una búsqueda secuencial lenta que una herramienta como “grep” podría realizar).

Hacer clic en el botón de nombre “Index” o Indice. Para iniciar el proceso, el cual puede demandar una considerable cantidad de tiempo.

Finalizado el proceso, se visualiza en área correspondiente a la información, el nuevo estado del Indice a “Indexed” o Indexado. Hacer clic en el botón de nombre “Ok”.

La manera más sencilla de utilizar la Base de Datos de Hash es ejecutando el módulo de ingesta o asimilación correspondiente sobre la fuente de datos. Hacer clic derecho sobre esta, para luego seleccionar la opción “Run Ingest Modules” o Ejecutar Módulos de Ingesta.

En la nueva ventana presentada solo dejar activada y seleccionada el módulo de ingesta “Hash Lookup” o Consulta de Hash, para luego hacer clic en el botón de nombre “Start” para iniciar el proceso.

Finalizado el proceso, será factible obtener información valiosa y útil sobre los archivos desde la pestaña metadatos ubicada en la parte inferior derecha. Se expone el Hash MD5 y los resultados de la consulta del Hash en la Base de Datos, para el caso del archivo "cmd.exe" del ejemplo, se indica que este archivo es “KNOWN” o Conocido.

El procedimiento descrito de hecho consume una cantidad de tiempo, lo cual debe percibirse como una inversión, dado que solo es realizado una única vez. Luego de lo cual esta Base de Datos de Hash puede ser utilizada para todos los casos forenses gestionados con Autopsy 3.

Fuentes:

http://www.nsrl.nist.gov/
http://www.sleuthkit.org/autopsy/
http://www.reydes.com/d/?q=node/2
http://www.sleuthkit.org/autopsy/help/hash_db.html