CAINE (Computer Aided Investigative Enviroment) o por su traducción al español “Entorno de Investigación Asistido por Computadora” es una distribución GNU/Linux creado como un proyecto de Forense Digital. El manejador actual del proyecto es Nanni Bassetti.

CAINE ofrece un entorno forense completo que está organizado para integrar herramientas de software existentes como módulos y para proporcionar una interfaz gráfica amigable. Los principales objetivos en el diseño de CAINE permiten garantizar lo siguiente:

En un contexto de captura de información se puede utilizar la automatización para realizar una enorme cantidad de peticiones hacia el servidor web, intentando adivinar nombres de usuarios o identificadores de funcionalidades ocultas.

Utilizando el Spidering dirigido por el usuario y el Spidering automático con Zed Attack Proxy, ya ha sido factible identificar contenidos de la aplicación, como los siguientes directorios:

Es común para las aplicaciones contener contenido y funcionalidades las cuales no están directamente enlazadas o no factibles de ser alcanzadas desde un contenido principal visible. Un ejemplo común de esta funcionalidad es aquella implementada para propósitos de prueba o depuración la cual nunca fue removida.

Un Spidering dirigido por el Usuario es una técnica más sofisticada y controlada, la cual es usualmente preferible a un spidering automático. En este escenario el usuario recorre o transita a través de la aplicación web de la manera usual utilizando un navegador web, intentando navegar a través de todas las funcionalidades de la aplicación web. Mientras esto es realizado, el tráfico resultante se pasa a través de una herramienta combinando un proxy de interceptación y spider, el cual vigila todas las peticiones y respuestas.

El “Spider” o Araña es una herramienta utilizada para automatizar el descubrimiento de nuevos recursos (URLs) sobre un sitio en particular. Inicia con una lista de URLs para visitar, denominada las semillas, que depende de la forma en como se iniciará el Spider. El Spider luego visita estas URLs identificando todos los hiperenlaces en la página y los añade a la lista de URLs para visitar, además este proceso continúa de manera recursiva tanto como sean encontrados nuevo recursos.

Existen cuatro métodos para iniciar el Spider, diferenciados por la lista semilla con el cual inicia.

Zed Attack Proxy – ZAP escanea todas las respuestas provenientes desd la aplicación web en evaluación. El escaneo pasivo no cambia las respuestas en ninguna manera y es por lo tanto segura de utilizar. El escaneo es realizado en segundo plano para asegurarse de no generar lentitud en la exploración de la aplicación web.

Wireshark es un analizador de protocolos, el cual permite observar aquello suscitándose en las redes a un nivel microscópico. Es una herramienta muy utilizada en diversos tipos de organizaciones o instituciones, la cual se desarrolla gracias a las contribuciones de expertos de todo el mundo.

Network File System o NFS por sus siglas en inglés, es un protocolo para un sistema de archivos distribuido, el cual permite a un usuario en una computadora cliente el acceso hacia archivos a través de la red como si accediera a un almacenamiento local.

Se realiza un escaneo de puertos TCP utilizando la herramienta nmap contra el objetivo de evaluación, donde se detecta en el puerto TCP 2049 el servicio nfs. NFS también puede ser detectado consultando al portmapper por una lista de servicios.

La esteganografía es el arte o práctica de ocultar un mensaje, imagen, o archivo dentro de otro mensaje, imagen, o archivo. Steghide es un programa esteganográfico capaz de ocultar datos en varios tipos de archivos de imagen o audio. El color y las frecuencias de muestreo no son cambiados, haciendo a la inserción resistente contra evaluaciones estadísticas de primera orden.

En la versión de Kali Linux utilizada para desarrollar el siguiente ejemplo, no se incluye por defecto steghide, razón por la cual se procede a realizar su instalación.

En un Sistema de Archivos NTFS un archivo se divide en “atributos” y uno de esos atributos es $DATA o denominado simplemente atributo de dato. Esta es la parte del archivo donde se colocan los datos. Si se tiene un archivo de texto que dice “Este es mi texto”, entonces si se visualiza en el atributo de dato este contendrá un flujo de dato que lee “Este es mi texto”. Sin embargo este es un flujo de dato normal, algunas veces denominado flujo primario de dato, pero de manera más precisa se denomina flujo sin nombrar del dato. Esto debido a que este flujo del dato no tiene un nombre.