La
informática forense y la gestión de pruebas son el tema más importante cuando
hablamos de crímenes informáticos. El ethical hacking y
la gestión de intrusos se utilizan para proteger el sistema, pero si el
incidente ocurrió, entonces necesitas investigarlo.
Aquí
entra en juego la informática forense, en este artículo encontrarás una introducción
básica de las 3 mejores herramientas de informática
forense para usuarios de Linux.
Herramientas de informática forense
1. The Sleuthkit y Autopsy
El
Sleuthkit es un conjunto gratuito de código abierto de utilidades forenses que
tiene una GUI llamada Autopsy. Esta suite de herramientas tiene un fuerte
soporte para los sistemas de archivos Linux y puede utilizarse para examinar
los detalles completos de los inodos y otras estructuras de datos. Sleuthkit
tiene una estructura de complemento que admite el procesamiento automatizado.
DFF
(Digital Forensics Framework) es un software forense de código abierto y
construido sobre una interfaz de programación de aplicaciones (API) dedicada.
Preserva
la cadena digital de custodia: bloqueador de escritura de software, cálculo de
hash criptográfico. Entre sus principales características destacan:
- Acceso a dispositivos locales y remotos: unidades de disco, dispositivos extraíbles, sistemas de archivos remotos.
- Reconstrucción de disco de máquina virtual: compatible con VMware (VMDK).
- Herramienta forense para Windows y Linux: Sistemas de archivos de registro, Mailboxes, NTFS, EXTFS 2/3/4, FAT 12/16/32
- Rápida búsqueda de (meta) datos: expresiones regulares, diccionarios, búsqueda de contenido, línea de tiempo, etc.
- Recupera artefactos ocultos y borrados: archivos/carpetas eliminadas, espacios no asignados, entre otros.
- Aspectos forenses de la memoria volátil: Procesos, archivos locales, extracción binaria, conexiones de red.
SMART
es una utilidad de software que ha sido diseñada y optimizada para apoyar a los
forenses de datos y al personal de
Seguridad de la Información en la búsqueda de sus respectivos deberes y metas.
SMART
es más que un programa forense de
datos autónomo. Las características de SMART permiten utilizarlo en muchos
escenarios, incluyendo:
- Investigaciones “Knock-and-talk”.
- Vista previa in situ o remota de un sistema de destino.
- Análisis post mortem de un sistema muerto.
- Pruebas y verificación de otros programas forenses.
- Conversión de formatos patentados de “archivo de evidencia”.
¿Conoces
otras herramientas de informática forense? – Por favor ayúdame a difundir el
post en las redes sociales.