Software para Forense Digital

Existe actualmente en el mercado, una amplia diversidad de productos software para forense digital. Algunas son herramientas genéricas las cuales proporcionan una variedad de funciones. Otras son más enfocadas en servir a un propósito más limitado. Estas aplicaciones tienden a enfocarse en un tipo muy específico de evidencia, por ejemplo correo electrónico o Internet.

Cuando se selecciona software, la elección necesita ser hecha entre ir con herramientas open source o productos comerciales. Existen ventajas y desventajas en ambos. Factores como el costo, funcionalidad, capacidades, y soporte son algunos de los criterios a ser utilizados para hacer esta decisión.

Una de las distribuciones forenses más populares es SIFT (SANS Investigative Forensic Toolkit). SIFT es una distribución forense open source poderosa y libre. Esta construido sobre el sistema operativo Ubuntu Linux. Siendo capaz de reconstruir archivos como también analizar sistemas de archivos, historial web, papelera de reciclaje y más. También puede analizar tráfico de red y memoria volátil. También puede generar cronologías, los cuales pueden ser inmensamente útiles durante una investigación. SIFT soporta los sistemas de archivos; MSDOS, FAT, VFAT, NTFS (Windows), HSF (Mac), UFS (Solaris) y EXT 2/3/4 (Linux).

Entre las herramientas comerciales, dos de las herramientas de software más populares son Forensics Toolkit de AccesData y Encase Forensics de Guidence Software. Ambas son excelentes, y pueden facilitar los análisis, además de hacerlos más eficientes. Estas aplicaciones tienen capacidades similares a una cuchilla suiza. Pues realizan una diversidad de tareas, como; búsquedas, análisis de correos electrónicos, ordenamiento, reporte, romper contraseñas, etc.

Las herramientas de búsqueda en estos productos son especialmente poderosas, y proporciona a los profesionales forenses capacidades para detallar con precisión la información buscada, como por ejemplo; direcciones de correo electrónico, nombres, número de teléfono, palabras clave, direcciones web, tipos de archivos, rangos de fechas.

Así como estas herramientas son muy útiles, también tienen algunas limitaciones. La realidad es no existe una única herramienta la cual haga de todo. Por esta razón, los laboratorios necesitan tener una diversidad de herramientas disponibles.

Cada día llegan más herramientas específicas al mercado. Estas herramientas se enfocan en un aspecto de la evidencia digital, como evidencia de correo electrónico o basada en web. Estas pueden proporcionar algunas capacidades adicionales no encontradas en herramientas multipropósito.

Muchos proveedores de software forense proporcionan tutoriales en video o demostraciones de sus productos. Esto puede ser una gran fuente de información adicional. Lo cual se encuentra típicamente en su sitio web o son enviadas bajo solicitud.

Es importante considerar lo siguiente sobre la dependencia de las herramientas. Las herramientas forenses basadas en una Interfaz Gráfica de Usuario (GUI), pueden convertirse en una muleta. Las herramientas de “pulsar el botón” pueden hacer más eficientes los análisis, pero no eximen al profesional forense de responsabilidad para comprender lo ocurriendo debajo de la superficie. Los profesionales forenses necesitan entender no únicamente lo hecho por la herramienta, sino también como los artefactos en cuestión son creados.

Fuentes:

https://digital-forensics.sans.org/community/downloads
http://www.accessdata.com/products-services/forensic-toolkit-ftk
https://www.guidancesoftware.com/encase-forensic

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1