En algunas ocasiones, ya sea como como perito forense o simplemente como un novato curioso, tocará investigar tecnologías con herramientas que no siempre se tienen a mano. Por eso, a lo largo de este post desarrollaremos un modo sencillo que servirá para obtener las herramientas adecuadas para cada suceso.

Si bien siempre está la opción de realizar una búsqueda en el navegador, es tanta la información disponible en Internet que el desafío muchas veces radica en saber filtrarla. Y en el caso de la búsqueda de las herramientas de informática forense correctas, no es la excepción.

A continuación, analizaremos algunas opciones muy útiles que servirán para encontrar un software determinado desde repositorios oficiales.

Catálogo de herramientas de informática forense del NIST

A través del portal del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos, podremos encontrar una clasificación clara que permite realizar búsquedas de forma sencilla de las distintas herramientas forenses filtradas según funcionalidad.

Repositorio del NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos).

Como se puede apreciar en la imagen. el catálogo permite buscar por parámetros técnicos basados ​​en funciones forenses digitales específicas, como imágenes de disco o recuperación de archivos eliminados. Dentro de cada categoría podemos encontrar desde herramientas de análisis de Servicios en la nube hasta forense en drones o vehículos pasando por categorías como Análisis de datos, Base de datos, Recuperación de archivos eliminados, Imágenes de disco, Análisis de correo electrónico, Análisis de hash, Análisis de imágenes (archivos de video y gráficos), Mensajería instantánea, Captura de memoria y análisis, Dispositivos móviles, VoIP, WiFi, etc.

Este catálogo fue realizado de forma conjunta entre varios organismos de los Estados Unidos, como por ejemplo, el Departamento de Seguridad Nacional, la Dirección de Ciencia y Tecnología, la División de Seguridad Cibernética y el Programa de Pruebas de Herramientas Forenses del Instituto Nacional de Estándares y Tecnología.

El portal está dividido en tres secciones: una función de búsqueda para encontrar herramientas, una página para que los proveedores ingresen información sobre sus herramientas y una descripción de las funciones y parámetros técnicos.

Resultado de buscar herramientas para el análisis forense de servicios en la nube.

En la parte superior podemos visualizar el resultado de la búsqueda de herramientas para el análisis forense de servicios en la nube, y en la imagen inferior, resultados ligados a la Registry de Microsoft Windows.

Resultado de la búsqueda de herramientas para el análisis del Registro de Windows. Se encontraron 11 herramientas.

Cabe aclarar que el proveedor proporciona la información de cada herramienta. En el portal se aclara que cualquier mención sobre un producto, sea comercial o no, es solo para información y no implica que un producto haya sido probado.

Por otro lado, este compendio de herramientas proporciona una imagen del panorama de la herramienta de análisis forense digital, mostrando dónde hay vacíos; es decir, funciones para las cuales no hay herramientas y quizás el análisis se vuelva más complejo o netamente manual.

Catálogo de herramientas de informática forense de DFIR Training

Otra opción muy interesante viene de la mano de DFIR community; un portal muy completo que cuenta con una gran cantidad de recursos para respuesta a incidentes forenses. Además de tener un panel de búsqueda con un entorno grafico más agradable, permite dejar reseñas que irán evaluando las herramientas según la visión de cada usuario.

Panel de búsqueda de DFIR Training.

Para complementar, cuenta con un útil de las aplicaciones mejor evaluadas, las más descargadas, las más actualizadas, etc.

Información sobre las aplicaciones mejor evaluadas, más descargadas, recientemente actualizadas, etc.

Por si fuera poco, cuenta con una gran cantidad de recursos para testear las herramientas, así como guías rápidas e infografías.

Por último, no olvides que también muchas de las distribuciones de Linux apuntadas a pentesting cuentan con las herramientas más utilizadas, como las que podemos en observar en las imágenes a continuación.

Volatility: un clásico para el análisis de memoria ram. Se ejecuta desde un terminal.

 

Autopsy: otro clásico presente en varias distros de Linux como Kali.

Por último, es importante recordar que en muchos casos las herramientas que se buscan ya vienen configuradas y preinstaladas en distribuciones más específicamente apuntadas al análisis forense, como por ejemplo DEFT. Te recomiendo que antes de utilizarlas leas un poco acerca de su uso, buenas practicas, y actualices a la última versión disponible.

Ya no hay más excusas, durante este post vimos dónde encontrar las herramientas y los recursos para que pongas mano en el teclado y comiences a practicar o perfeccionarte en este apasionante mundo del análisis forense.