La ANTPJI ha creado la Navaja Forense: se trata de un dispositivo de almacenamiento masivo que utiliza una herramienta que puede analizar, recopilar, adquirir, extraer y recopilar evidencias cibernéticas, comprobar y verificar programas y/o aplicaciones e incidentes de malware a través del dispositivo conectado localmente que no deja registro de nuestra intervención, ya que no instalamos ningún programa, dejando intactas todas las evidencias digitales encontradas.
La misión de los peritos informáticos e investigadores digitales es la búsqueda y recopilación de evidencias cibernéticas. Se trata de constatar el incidente tecnológico, sin contaminar las evidencias, equipos, programas o sistemas, y por ellohemos recopilado una "navaja forense" parala investigación.
En la mayoría de los ciberataques, el perito informático y el investigador han de buscar las evidencias para contestar a las preguntas de los afectados, jueces o fiscales, identificando los atacantes, sistemas comprometidos, ruta y vector de ataque… Cuanto más tiempo se demore el análisis del ciberataque, más tardarán los usuarios en estar protegidos y los autores identificados. La prueba digital es muy volátil, siendo vital contar con un perito informático para poder presentarla a un juicio.
Los ciberataques cada día son más sofisticados y persistentes, teniendo la necesidad como investigadores digitales de analizar cualquier incidente cibernético de la manera más rápida y eficiente, asegurando en todo momento la evidencia, teniendo las cautelas oportunas para no contaminar la evidencia, y asegurando su guarda y custodia por si pudiera ser requerida por un tribunal.
Uso básico de la navaja forense
Cuando ejecute la navaja forense, aparecerá un repositorio de programas y herramientas que deberá elegir para instarlos, recordando que el limite lo marcará la capacidad del dispositivo.
El perito informatico y/o investigador digital ha de seleccionar los programas que va a necesitar para su actividad profesionaldel repositorio y configurar de manera personalizada, construyéndose su propia navaja forense. Ha de saber que esta navaja forense, esencial para el análisis, está diseñada para no modificar sistemas operativos, programas o datos del disco duro u otros medios de almacenamiento conectados al sistema.
Hemos realizado una selección de las herramientas más populares, pudiendo personalizarlas editando los scripts respetivos y se pueden agregar paquetes estándar o sus propias herramientas.
La navaja forense está diseñada para ser una herramienta portable, mínima y universal para acceder a todos los equipos informáticos, conteniendo bibliotecas y herramientas para empezar con la investigación de inmediato, ejecutándose sin privilegios, ya que el contenedor se basa en el mismo núcleo que el sistema.
Hay muchas suites de software forense comercial, bastante caras, con limitaciones de funcionalidad y falta de transparencia. Carecen de funciones de análisis que no modifiquen el disco de evidencia, y también de flexibilidad para muchas investigaciones.
La Navaja Forense de la ANTPJI es una herramienta confiable, transparente, personalizable, estable, que puedan ampliarse las funciones y programas y que pueda utilizarse en cualquier hardware.
¿Qué herramientas se incluyen? Las herramientas que contiene esta navaja forense son una selección de programas utilizados para resolver periciales informáticas judiciales.
"los bloqueadores de escritura en ocasiones tienen vida propia y utilizamos mucho la maquina virtual Caine, para no manipular evidencias volátiles"
Esta recopilación de herramientas probadas y testadas, están clasificadas para la actividad profesional diaria, retroalimentándola con programas y utilizadas que nos sirven para mejorar la investigación científica de la evidencia. También permiten la posibilidad de exportar los datos de manera gráfica para mayor comprensión para el tribunal, mejorar la presentación de nuestro informe, presentando los datos y las capturas de manera visual, distinguiendo entre herramientas locales y herramientas on line.
Algunas herramientas, como Whatsaaptransf, tienen una versión gratuita pero si queremos que sean útiles hay que usar la versiónde pago
Son herramientas sencillas que cumplen su función, pero hay que tener la cautela de
probarlas, ya que puede haber incidentes en sistemas operativos desfasados, los bloqueadores de escritura en ocasiones tienen vida propia y utilizamos mucho la maquina virtual Caine, para no manipular evidencias volátiles.
En ocasiones no hace falta utilizar Kali Linux para resolver problemas en la red, y nos vale con una herramienta sencilla como IPscan.
Algunas herramientas, como Getdatasimpleback o whatsaaptransf tienen una versión gratuita, pero para funcionar y ser útiles necesitan la versión de pago, que deberás plantearte, según vayas elaborando periciales. EaseUs Todo Backup es una herramienta que te permite realizar Backup de un ordenador. Hay una versión gratuita que te vale para un mes. Es una opción barata que utilizo tras comprobar que los Backup de Windows no funcionan y dan problemas. (Por ejemplo, cuando reinstalas en un ordenador que no tiene el mismo disco duro).
Herramientas de análisis móvil: El análisis móvil está bastante solicitado. En mi repositorio no encontrarán este tipo de herramientas. Como por ejemplo el Dr. Phone. La razón es que no funcionan bien. Para que estas herramientas funcionen necesitan en la mayoría de los casos obtener los permisos de root de los terminales a analizar. Y si no los consiguen no hay extracción. Para ser justos, he de reconocer que he usado estas herramientas cuando la UFED CELLEBRITE no ha funcionado.
Hay herramientas de rooteo de terminales que las he suprimido de esta selección. Por ejemplo, Kingoroot o RootGenius. Os pueden valer para realizar pruebas, pero desde que los sistemas operativos y los fabricantes han aumentado las medidas de seguridad la efectividad de estos programas disminuye.
Máquinas virtuales: Se incluyen las máquinas virtuales de Kali Linux y Caine para realizar trabajos más completos, o auditorias de seguridad. Para clonar discos recomiendo utilizar Caine, es una opción lowcost, aunque es recomendable disminuir los errores humanos y utilizar una clonadora de alta velocidad con bloqueadores incorporados de serie.
Herramientas forenses de alto coste: Existen herramientas más completas, pero son herramientas enfocadas a facilitar el trabajo del investigador forense mediante una interfaz amena. Estas herramientas de “botón gordo” no facilitan la comprensión del perito del funcionamiento del sistema operativo analizado. Y hay que tener en cuenta este factor en el análisis pericial.
Por ejemplo, las herramientas de este tipo solo te podrán dar la información que existen en los registros y bases de datos del disco duro /dispositivo / sistema operativo analizado. No sacarán más información de la que ya existe.
Las herramientas de botón gordo también facilitan el trabajo de cadena de custodia y el tiempo de análisis. La herramienta de pago que he utilizado ha sido la UFED CELLEBRITE y la de ENCASE en su versión gratuita.
Las herramientas gratuitas son sencillas y con un uso limitado. La investigación del perito se enfoca a recorrer el sistema operativo con ellas. Por lo que conoce el origen de la información que se estudia. Esto permite una mayor comprensión del analista forense del origen de la información.
Las herramientas de pago son más amenas de utilizar y con más opciones. Facilitan el trabajo del investigador forense, pero llegado el caso pueden perder la percepción de la información en el origen. Por ejemplo, perdiendo metadatos.
Como todo, lo mejor es utilizar ambas. Combinar el conocimiento desarrollado con las sencillas con el potencial de las de alto coste. Por lo demás “No hay atajo sin trabajo”. Para más información: ANTPJI