Geekly articles weekly

Clave para el inicio: el mejor software y hardware para informática forense



Así es como se veía una de las tarjetas de presentación de Igor Mikhailov, especialista en el Laboratorio de Informática Forense del Grupo IB. En él se encuentran las claves de hardware de los programas que el experto utilizó al realizar exámenes forenses. El costo de estos productos de software por sí solo supera los 2 millones de rublos, y todavía hay software libre y otros productos comerciales. ¿Qué herramientas elegir para trabajar? Especialmente para los lectores de Habr, Igor Mikhailov decidió hablar sobre las mejores herramientas de software y hardware para informática forense.

El autor es Igor Mikhailov, especialista en el Laboratorio de Informática Forense Group-IB.

Maleta de cibercriminal


La informática forense examina una amplia variedad de dispositivos digitales y fuentes de datos. En el curso de la investigación, se pueden utilizar tanto software como hardware, muchos de ellos son caros. No todas las empresas, y mucho menos un especialista individual, pueden pagar tales gastos. En Group-IB, no ahorramos en herramientas, lo que nos permite realizar investigaciones de manera eficiente y eficiente.

Naturalmente, la lista de programas en mi ranking es diferente de la global. Esto se debe tanto a las peculiaridades regionales (por ejemplo, algunos programas extranjeros no pueden extraer datos de los mensajeros rusos, y en general no son amigos del idioma ruso (en tareas de búsqueda)) como a las restricciones de exportación, debido a que los especialistas rusos no pueden usar el mundo entero. Arsenal de herramientas similares.

Forense móvil, hardware


Cellebrite UFED Touch 2 es un producto desarrollado originalmente para uso en campo. Conceptualmente dividido en dos partes:
· Tableta Cellebrite UFED Touch 2 de marca (o UFED 4PC, un software análogo de Cellebrite UFED Touch 2 instalado en la computadora o laptop de un especialista): se usa solo para la extracción de datos
· Analizador físico UFED: una parte de software diseñada para analizar datos extraídos de dispositivos móviles.

El concepto de usar el equipo supone que usando Cellebrite UFED Touch 2, un especialista extrae datos en el campo y luego los analiza en el laboratorio usando el Analizador Físico UFED. En consecuencia, la versión de laboratorio es dos productos de software independientes, UFED 4PC y UFED Physical Analyzer, instalados en la computadora del investigador. Hoy, este complejo proporciona extracción de datos de tantos dispositivos móviles como sea posible. Durante el análisis, el programa UFED Physical Analyzer puede perder parte de los datos. Esto se debe a que en las nuevas versiones del programa aparecen periódicamente errores antiguos, que parecen corregirse, pero que por alguna razón reaparecen. Por lo tanto, se recomienda controlar la integridad del análisis de datos realizado por el programa UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field es un análogo de los productos Cellebrite desarrollados por la empresa sueca Micro Systemation. A diferencia del paradigma de Cellebrite, Micro Systemation sugiere que en la mayoría de los casos sus productos se utilizarán en computadoras de escritorio o portátiles. Un concentrador USB de marca, llamado "disco" en la jerga, y un conjunto de adaptadores y cables de datos para conectar varios dispositivos móviles están conectados al producto que se vende. La compañía también ofrece versiones de MSAB XRY Field y MSAB XRY Kiosk , productos de hardware diseñados para extraer datos de dispositivos móviles, implementados en forma de tableta y quiosco. Este producto es menos común en Rusia que los productos Cellebrite. MSAB XRY ha demostrado su valía al recuperar datos de dispositivos móviles heredados.

Desde cierto momento, las soluciones de hardware para chip-off (un método de extracción de datos directamente desde chips de memoria de dispositivos móviles), desarrolladas por la empresa polaca Rusolut, comenzaron a ser populares . Con este equipo, puede recuperar datos de dispositivos móviles dañados o de dispositivos bloqueados con un código PIN o contraseña gráfica. Rusolut ofrece varios conjuntos de adaptadores para extraer datos de ciertos modelos de dispositivos móviles. Por ejemplo, un conjunto de adaptadores para extraer datos de chips de memoria, utilizados principalmente en "teléfonos chinos". Sin embargo, el uso generalizado por parte de los fabricantes de dispositivos móviles de cifrado de datos de usuario en los mejores modelos ha llevado al hecho de que este equipo está perdiendo importancia gradualmente. Es posible extraer datos del chip de memoria, pero estará en forma cifrada, y su descifrado es una tarea no trivial.

Forense móvil, software


Al observar el desarrollo del análisis forense móvil, puede ver fácilmente que a medida que se desarrolla la funcionalidad de los dispositivos móviles, también se desarrollan programas para su análisis. Si antes la persona que realizaba la investigación, u otro cliente, estaba contenta con los datos de la guía telefónica, SMS, MMS, llamadas, archivos gráficos y de video, ahora se le pide al especialista que extraiga más datos. Además de lo anterior, como regla general, se requiere extraer:

  • datos de programas de mensajería
  • correo electronico
  • Historial de navegación en internet
  • datos de geolocalización
  • archivos eliminados y otra información eliminada

Y esta lista está en constante expansión. Todos estos tipos de artefactos se pueden extraer con el software que se describe a continuación.

Oxygen Forensic Suite : hoy es uno de los mejores programas para analizar datos extraídos de dispositivos móviles. Si desea extraer la cantidad máxima de datos de un dispositivo móvil, use este programa. Los visores integrados de bases de datos SQLite y archivos plist le permiten examinar más a fondo bases de datos SQLite específicas y archivos plist manualmente.

Inicialmente, el programa se desarrolló para usar en computadoras, por lo que sería incómodo usarlo en una netbook o tableta (dispositivos con un tamaño de pantalla de 13 pulgadas o menos).

Una característica del programa es el enlace estrecho de las rutas a lo largo de las cuales se ubican los archivos: bases de datos de aplicaciones. Es decir, si la estructura de la base de datos de una aplicación sigue siendo la misma, pero la forma en que se encuentra la base de datos en el dispositivo móvil ha cambiado, Oxygen Forensic Suite simplemente omitirá dicha base de datos durante el análisis. Por lo tanto, el estudio de dichas bases de datos deberá realizarse manualmente, utilizando el archivo de "Oxygen Forensic Suite" y las utilidades auxiliares.

Los resultados de un estudio de un dispositivo móvil en el programa Oxygen Forensic Suite:


La tendencia de los últimos años es la "mezcla" de la funcionalidad de los programas. Por lo tanto, los fabricantes que tradicionalmente participan en el desarrollo de programas para análisis forense móvil están introduciendo funcionalidades en sus productos que les permiten investigar los discos duros. Los fabricantes de programas forenses centrados en el estudio de discos duros, les agregan la funcionalidad necesaria para el estudio de dispositivos móviles. Ambos agregan funcionalidad para extraer datos del almacenamiento en la nube, etc. El resultado son "programas combinados" universales, con los que puede analizar dispositivos móviles, analizar discos duros, extraer datos del almacenamiento en la nube y analizar datos extraídos de todas estas fuentes.

En nuestra clasificación de programas para análisis forense móvil, dichos programas ocupan los siguientes dos lugares: Magnet AXIOM , el programa de la compañía canadiense Magnet Forensics, y Belkasoft Evidence Center , el desarrollo de la compañía de San Petersburgo Belkasoft. Estos programas, en términos de su funcionalidad para extraer datos de dispositivos móviles, son, por supuesto, inferiores al software y hardware descritos anteriormente. Pero hacen bien su análisis y pueden usarse para controlar la integridad de la extracción de varios tipos de artefactos. Ambos programas están desarrollando activamente y aumentando rápidamente su funcionalidad en el campo de la investigación de dispositivos móviles.

Ventana de selección de fuente de datos móviles de AXIOM:



Resultados de un estudio de un dispositivo móvil realizado por Belkasoft Evidence Center:


Informática forense, cerraduras de grabación de hardware


Tableau T35U es un bloqueador de hardware de Tableau que le permite conectar de forma segura los discos duros estudiados a la computadora del investigador a través de USB3. Este bloqueo tiene conectores que le permiten conectar discos duros a través de interfaces IDE y SATA (y, si hay adaptadores, discos duros con otros tipos de interfaces). Una característica de este bloqueador es la capacidad de emular operaciones de lectura-escritura. Esto puede ser útil al examinar unidades infectadas con malware.

Wiebitech Forensic UltraDock v5 es un bloqueador de hardware CRU. Tiene la funcionalidad similar al bloqueador Tableau T35U. Además, este bloqueo se puede emparejar con la computadora de un investigador a través de una mayor cantidad de interfaces (además de USB3, también está disponible el emparejamiento a través de las interfaces eSATA y FireWire). Si un disco duro está conectado a este bloqueo, cuyo acceso está limitado por la contraseña ATA, aparecerá un mensaje en la pantalla del bloqueo. Además, cuando se conecta un disco duro con una zona de tecnología DCO (Superposición de configuración del dispositivo), esta zona se desbloqueará automáticamente para que un especialista pueda copiar los datos que contiene.

Ambos bloqueos de grabación utilizan la conexión de bus USB3 como conexión principal, lo que proporciona condiciones de trabajo cómodas para el investigador al clonar y analizar medios de almacenamiento.

Informática forense, software


Viejos para situaciones inusuales


Hace 15 años, los líderes indiscutibles de la experiencia en informática eran Encase Forensics y AccessData FTK . Su funcionalidad se complementaba naturalmente y permitía extraer el número máximo de diferentes tipos de artefactos de los dispositivos estudiados. En estos días, estos proyectos son ajenos al mercado. La funcionalidad actual de Encase Forensics está muy por detrás de los requisitos de software actuales para investigar computadoras y servidores que ejecutan Windows. El uso de Encase Forensics sigue siendo relevante en casos "no estándar": cuando necesita examinar computadoras que ejecutan Mac OS OC o un servidor que ejecuta Linux, extraiga datos de formatos de archivo raros. El lenguaje macro de Ensripts integrado en Encase Forensics contiene una enorme biblioteca de scripts listos para usar implementados por el fabricante y los entusiastas: al usarlos, es posible analizar una gran cantidad de sistemas operativos y de archivos diferentes.

AccessData FTK intenta mantener la funcionalidad del producto en el nivel requerido, pero el tiempo de procesamiento de las unidades excede significativamente la cantidad de tiempo razonable que un especialista promedio puede gastar en dicho estudio.

Características AccessData FTK:

  • búsqueda de palabras clave de muy alto nivel
  • análisis de varios casos, lo que permite identificar relaciones en dispositivos incautados para varios casos
  • la capacidad de personalizar la interfaz del programa por ti mismo
  • soporte para formatos de archivo raros (como bases de datos de Lotus Notes)

Tanto Encase Forensics como AccessData FTK pueden manejar cantidades masivas de datos sin procesar, medidos en cientos de terabytes.

Joven y en crecimiento


El líder indiscutible en informática forense es Magnet Axiom . El programa no solo se desarrolla gradualmente, sino que cubre segmentos enteros con funcionalidad adicional: investigación en dispositivos móviles, recuperación del almacenamiento en la nube, investigación en dispositivos que ejecutan el sistema operativo MacOS, etc. El programa tiene una interfaz conveniente y funcional, en la que todo está al alcance de la mano, y se puede utilizar para investigar incidentes de seguridad de la información relacionados con infecciones de malware en computadoras o dispositivos móviles o fugas de datos.

El análogo ruso de Magnet AXIOM es Belkasoft Evidence Center . Belkasoft Evidence Center le permite extraer y analizar datos de dispositivos móviles, almacenamiento en la nube y discos duros. Al analizar discos duros, es posible extraer datos de navegadores web, chats, información sobre servicios en la nube, detectar archivos y particiones cifrados, extraer archivos por una extensión determinada, datos de geolocalización, correo electrónico, datos de sistemas de pago y redes sociales, miniaturas, archivos de sistema , registros del sistema, etc. Tiene una funcionalidad flexible y personalizable para recuperar datos remotos.

Ventajas del programa:

  • Una amplia gama de artefactos recuperados de varios medios de almacenamiento
  • buen visor de base de datos SQLite incorporado
  • recolectando datos de computadoras y servidores remotos
  • funcionalidad integrada para verificar archivos detectados en Virustotal

El programa básico se vende por una cantidad relativamente pequeña. Otros módulos que amplían la funcionalidad de Belkasoft Evidence Center se pueden comprar por separado. Además de la configuración básica, se recomienda comprar el módulo "Sistemas de archivos", sin el cual trabajar con los medios investigados no siempre es conveniente en el programa.

Las desventajas del programa son la interfaz inconveniente y la falta de evidencia del desempeño de las acciones individuales en el programa. Para utilizar el programa de manera efectiva, debe someterse a la capacitación adecuada.

La ventana principal del programa Belkasoft Evidence Center, que muestra estadísticas de los artefactos forenses encontrados al examinar un dispositivo específico:


Poco a poco, el mercado ruso conquista X-Ways Forensics . Este programa es un cuchillo forense informático suizo. Versátil, preciso, confiable y compacto. Una característica del programa es la alta velocidad de procesamiento de datos (en comparación con otros programas en esta categoría) y la funcionalidad óptima que cubre las necesidades básicas de un especialista en informática forense. El programa tiene un mecanismo incorporado para minimizar los resultados falsos positivos. Es decir, el investigador, cuando recupera archivos de un disco duro de 100 GB, no ve 1 TB de archivos recuperados (la mayoría de los cuales son resultados falsos positivos, como suele ser el caso cuando se utilizan programas de recuperación), es decir, aquellos archivos que realmente se recuperaron.

Con X-Ways Forensics, puedes:

  • encontrar y analizar datos de correo electrónico
  • analizar el historial de navegadores web, registros del sistema operativo Windows y otros artefactos del sistema
  • filtrar resultados, deshacerse de innecesarios, dejar solo valiosos y relevantes
  • construir una línea de tiempo y ver la actividad en el período de interés
  • reconstruir incursiones (RAID)
  • montar discos virtuales
  • escanear en busca de malware

Este programa se ha demostrado muy bien en el análisis manual de discos duros extraídos de DVR. Usando la funcionalidad X-Tension, es posible conectar módulos de terceros en el programa.

Desventajas de X-Ways Forensics:

  • interfaz ascética
  • falta de un visor completo de la base de datos SQLite
  • La necesidad de un estudio en profundidad del programa: la implementación de ciertas acciones necesarias para obtener el resultado necesario para un especialista no siempre es obvia

Recuperación de Datos, Hardware


Actualmente, solo un fabricante de dichos equipos domina el mercado ruso: ACELab , que produce hardware para análisis, diagnóstico y recuperación de discos duros (PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS) , Unidades SSD (complejo PC-3000 SSD), unidades flash (complejo PC-3000 Flash), RAID (complejos PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). El dominio de ACELab en el mercado de soluciones de hardware para la recuperación de datos se debe a la alta calidad de los productos anteriores y a la política de precios de ACELab, que no permite que los competidores ingresen a este mercado.

Recuperación de Datos, Software


A pesar de la gran cantidad de diferentes programas de recuperación, tanto de pago como gratuitos, es muy difícil encontrar un programa que restaure correcta y completamente diferentes tipos de archivos en una variedad de sistemas de archivos. Hasta la fecha, solo hay dos programas que tienen aproximadamente la misma funcionalidad que lo permiten: R-Studio y UFS Explorer . Miles de programas de recuperación de otros fabricantes no alcanzan los programas especificados en sus capacidades funcionales o son significativamente inferiores a ellos.

Software de código abierto



Autopsy es una herramienta conveniente para analizar computadoras que ejecutan el sistema operativo Windows y dispositivos móviles que ejecutan el sistema operativo Android. Tiene una interfaz gráfica. Se puede utilizar en la investigación de incidentes informáticos.

Photorec es uno de los mejores programas gratuitos de recuperación de datos. Una buena alternativa gratuita a las contrapartes pagas.

Eric Zimmerman Tools : un conjunto de utilidades gratuitas, cada una de las cuales te permite explorar un artefacto particular de Windows. Como la práctica ha demostrado, el uso de Eric Zimmerman Tools aumenta la eficiencia de un especialista en responder a un incidente en el campo. Actualmente, estas utilidades están disponibles como un paquete de software: Kroll Artifact Parser and Extractor (KAPE).

Distribuciones basadas en Linux



SIFT es una distribución de Linux desarrollada y respaldada por la organización comercial SANS Institute, que se especializa en capacitar a profesionales de ciberseguridad e investigar incidentes. SIFT contiene una gran cantidad de versiones actuales de programas gratuitos que se pueden usar tanto para extraer datos de varias fuentes como para analizarlos. SIFT se utiliza como parte de la capacitación de la empresa y su contenido se actualiza constantemente.La conveniencia del trabajo está determinada por la herramienta específica ubicada en esta distribución, con la que el investigador tiene que trabajar.

Kali Linux es una distribución única de Linux que utilizan los especialistas tanto para realizar una auditoría de seguridad como para realizar investigaciones. En 2017, Packt Publishing publicó un libro de Shiva V.N. Parasram (Shiva V. N Parasram) "Análisis forense digital con Kali Linux". Este libro ofrece consejos sobre cómo copiar, investigar y analizar computadoras, unidades individuales, copias de datos de RAM y tráfico de red utilizando las utilidades incluidas en este kit.

Para resumir


Este estudio es el resultado de mi experiencia empírica con el hardware y el software descritos utilizados en la investigación forense de la tecnología informática y los dispositivos móviles. Espero que la información presentada sea útil para los especialistas que planean comprar software y hardware para análisis forenses informáticos e investigación de incidentes.

Group-IB sabe todo sobre el cibercrimen, pero cuenta las cosas más interesantes.

El canal Telegram lleno de acción (https://t.me/Group_IB) sobre seguridad de la información, piratas informáticos y ataques cibernéticos, piratas informáticos y piratas de Internet. Investigaciones del cibercrimen sensacionalista por pasos, casos prácticos utilizando tecnologías del Grupo IB y, por supuesto, recomendaciones sobre cómo no convertirse en una víctima en Internet.

Group-IB Instagram www.instagram.com/group_ib
Twitter twitter.com/GroupIB

Group-IB — , - .

Source: https://habr.com/ru/post/454672/

More articles:


All Articles