Introducció

Què és l'Anàlisi Forense?

L'anàlisi forense és un anàlisi en profunditat, l'objectiu del qual és identificar i documentar objectivament els culpables, les raons, el camí i les conseqüències d'un incident de seguretat o violació de les lleis o regles d'una organització.

Bàsicament, l'anàlisi forense investiga un delicte o crim (mostra qui, com i quan alguna cosa es va produir). Sovint es vincula amb l'evidència en un judici, especialment en matèria penal. Això implica l'ús d'un ampli espectre de tecnologies i procediments d'investigació i mètodes.

Els especialistes forenses recullen diferents tipus d'informació, treballen tant amb dispositius electrònics com amb la forma tradicional amb la informació sobre paper. L'Anàlisi Forense es basa en la Ciència Forense.

El resultat de l'Anàlisi Forense és una prova pericial que té valor probatori en processos judicials.

L'anàlisi forense s'utilitza en una gran varietat de camps, des de la criminologia a investigacions internes d'incidents dins d'una organització. Cadascun d'ells té els seus propis mètodes d'investigació forense.

L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme un anàlisi exhaustiu o auditoria forense. L'auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita.

Quan s'està realitzant una anàlisi forense s'intenta respondre a les següents preguntes:

Qui ha realitzat l'atac?
Com es va realitzar?
Quines vulnerabilitats s'han explotat?
Què va fer l'intrús una vegada que va accedir al sistema?
Etc.

Hem de tenir en compte uns principis bàsics:

Evitar la contaminació.
Actuació metòdica.
Control sobre les proves.
Preservar la cadena de custòdia (CdC).

Directrius per a la recol·lecció d'evidències i el seu emmagatzematge

Els RFC ("Request For Comments") són documents que recullen propostes d'experts en una matèria concreta, amb la finalitat d'establir per exemple una sèrie de pautes per dur a terme un procés, la creació d'estàndards o la implantació d'algun protocol. En el cas que ens ocupa, el RFC 3227 és un document que recull les directrius per a la recopilació d'evidències i el seu emmagatzematge, i pot arribar a servir com a estàndard "de facto" per a la recopilació d'informació en incidents de seguretat.

Regulació

Tot el relacionat amb l'anàlisi forense està regulat legalment tant per normatives nacionals com internacionals. Així doncs a Espanya està regulat per:

En l'actualitat amb la reforma del Codi Penal (L.O 1/2015) s'han endurit les penes relatives a delictes informàtics. A més de la regulació estatal, cal destacar la regulació i propostes de regulació a nivell europeu sobre aspectes informàtics i que són d'igual interès per al professional d'aquest àmbit. Per tant cal destacar dues directives del Parlament Europeu i del Consell.

La Directiva 2006/24/CE: aquesta directiva tracta de les obligacions dels proveïdors de serveis de comunicacions electròniques d'accés públic o d'una xarxa pública de comunicacions en relació amb la conservació de determinades dades generades o tractades pels mateixos, per garantir que les dades estiguin disponibles amb finalitats de recerca, detecció i enjudiciament de delictes greus, tal com es defineixen en la legislació nacional de cada Estat membre.

La Directiva 2013/40/UE: estableix les normes mínimes a la definició de les infraccions penals i a les sancions aplicables en l'àmbit dels atacs contra els sistemes d'informació.

Principis durant la recol·lecció d'evidències

Capturar una imatge del sistema tan precisa com sigui possible.

Realitzar notes detallades, incloent dates i hores indicant si s'utilitza horari local o UTC.
Minimitzar els canvis en la informació que s'està recol·lectant i eliminar els agents externs que puguin fer-ho.
En el cas d'enfrontar-se a un dilema entre recol·lecció i anàlisi triar primer recol·lecció i després anàlisi.
Recollir la informació segons l'ordre de volatilitat (de major a menor).
Tenir en compte que per cada dispositiu la recollida d'informació pot realitzar-se de diferent manera.

Ordre de volatilitat L'ordre de volatilitat fa referència al període de temps en el qual està accessible certa informació. És per això que s'ha de recol·lectar en primer lloc aquella informació que vagi a estar disponible durant el menor període de temps, és a dir, aquella la volatilitat de la qual sigui major. D'acord a aquesta escala es pot crear la següent llista en ordre de major a menor volatilitat: Registres i contingut de la caché. Taula de enrutamiento, caché ARP, taula de processos, estadístiques del kernel, memòria. Informació temporal del sistema. Disc Logs del sistema. Configuració física i topologia de la xarxa. Documents. Accions que han d'evitar-se. S'han d'evitar les següents accions amb la finalitat de no invalidar el procés de recol·lecció d'informació ja que ha de preservar-se la seva integritat amb la finalitat de que els resultats obtinguts puguin ser utilitzats en un judici en el cas que sigui necessari: No apagar l'ordinador fins que s'hagi recopilat tota la informació. No confiar en la informació proporcionada pels programes del sistema ja que poden haver-se vist compromesos. S'ha de recopilar la informació mitjançant programes des d'un mitjà protegit com s'explicarà més endavant. No executar programes que modifiquin la data i hora d'accés de tots els fitxers del sistema. Consideracions sobre la privadesa És molt important tenir en consideració les pautes de l'empresa en el que a privadesa es refereix. És habitual sol·licitar una autorització per escrit de qui correspongui per poder dur a terme la recol·lecció d'evidències. Aquest és un aspecte fonamental ja que pot donar-se el cas que es treballi amb informació confidencial o de vital importància per a l'empresa, o que la disponibilitat dels serveis es vegi afectada. No cal ficar-se en la privadesa de les persones sense una justificació. No s'han de recopilar dades de llocs als quals normalment no hi ha raó per accedir, com a fitxers personals, tret que hi hagi suficients indicis. Depenent de si existeix informació amb dades de caràcter personal, cal tenir en compte la LOPD, així com la seva RDLOPD. De tota manera és obvi que les lleis s'han de tenir en compte sempre, ja que el seu desconeixement no eximeix del seu compliment.

Procediment de recol·lecció

El procediment de recol·lecció ha de ser el més detallat possible, procurant que no sigui ambigu i reduint al mínim la presa de decisions.

Transparència Els mètodes utilitzats per recol·lectar evidències han de ser transparents i reproduïbles. S'ha d'estar preparat per reproduir amb precisió els mètodes utilitzats, i que aquests mètodes hagin estat testats per experts independents. Passos On està l'evidència? Llistar què sistemes estan involucrats en l'incident i de quins d'ells s'han de prendre evidències. Establir què és rellevant. En cas de dubte és millor recopilar molta informació que poca. Fixar l'ordre de volatilitat per a cada sistema. Obtenir la informació d'acord a l'ordre establert. Comprovar el grau de sincronització del rellotge del sistema. Segons es vagin realitzant els passos de recol·lecció preguntar-se què més pot ser una evidència. Documentar cada pas. No oblidar a la gent involucrada. Prendre notes sobre quina gent estava allí, què estaven fent, què van observar i com van reaccionar.

Procediment d'emmagatzematge

Cadena de custòdia Ha d'estar clarament documentada i s'han de detallar els següents punts: On?, quan? i qui? va descobrir i va recol·lectar l'evidència. On?, quan? i qui? va manejar l'evidència. Qui ha custodiat l'evidència?, quant temps? i com l'ha emmagatzemat? En el cas que l'evidència canviï de custòdia indicar quan i com es va realitzar l'intercanvi, incloent nombre d'albarà, etc. On i com emmagatzemar-ho S'ha d'emmagatzemar la informació en dispositius la seguretat dels quals hagi estat demostrada i que permetin detectar intents d'accés no autoritzats.

Pasos Inicials

El procediment utilitzat per dur a terme una anàlisi forense és el següent:

Estudi preliminar: En aquesta fase es realitza un estudi inicial mitjançant entrevistes i documentació lliurada pel client amb l'objectiu de tenir una idea inicial del problema que ens anem a trobar.
Adquisició de dades: Es realitza una obtenció de les dades i informacions essencials per a la recerca. Es dupliquen o clonen els dispositius implicats per a una posterior anàlisi. En aquesta fase caldrà tenir molta cura en l'adquisició de les dades posat que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
Anàlisi i recerca: Es realitza un estudi amb les dades adquirides en la fase anterior. En aquesta fase també caldrà tenir molta cura posada que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
Realització de l'informe: En aquesta fase s'elabora l'informe que serà remès a l'adreça de l'organització o empresa. Posteriorment, es podrà usar per acompanyar la denúncia que realitzem a l'autoritat competent.

Es pot crear una classificació de tipus d'anàlisi forense sobre la base de quina estiguin orientats a analitzar. Tenint en compte aquest aspecte es poden identificar diversos tipus d'anàlisis:

Anàlisi forense de sistemes: tant sistemes operatius Windows, com OSX, GNU/Linux, etc.
Anàlisi forense de xarxes.
Anàlisi forense de sistemes embeguts.
Anàlisi forense de memòria volàtil.

Tot i que cadascun té les seves pròpies característiques des d'un punt de vista global són similars per a cadascun dels tipus:

Fases de l'Anàlisi Forense

Adquisició de dades

L'adquisició de dades és una de les activitats més crítiques en l'anàlisi forense. Aquesta criticitat és deguda al fet que, si es realitzés malament, tota l'anàlisi i recerca posterior no seria vàlid a causa que la informació sortiria amb impureses, és a dir, la informació que creiem que és de l'origen no ho és realment.

Una vegada que s'ha detectat un incident de seguretat, un dels primers problemes de l'analista en la recollida de dades es resumeix a dir si cal apagar l'equip o no.

Si pensem una mica, la resposta és evident: NO!!

Per què no?

Perquè les conseqüències poden ser vàries:

perdre evidències que estiguin en la memòria volàtil
no poder veure els usuaris connectats
no poder veure els processos en execució
no poder conèixer les connexions existents
etc.

Un cop guardades totes les dades "volàtils" i ja hem de procedir a apagar l'equip, el que farem és una DESCONNEXIÓ DIRECTE DE LA XARXA ELÈCTRICA. No farem un apagat correcte de l'equip ja que en aquest procés es realitzen una sèrie de passos programats per tancar el sistema de forma neta, però si a més un atacant ha instal·lat les eines adequades aquest podria eliminar, modificar i substituir fitxers al seu gust durant l'apagat, i es “netejaran” també de l'equip les petjades de l'atacant. A més si l'atacant segueix on-line, pot detectar la seva activitat i actuar amb una acció evasiva o, pitjor encara, destructiva eliminant tot tipus d'informació. Per tant si apaguem l'equip "a la brava" perdrem la informació volàtil de la RAM, micro, etc (de la que ja em volcat les dades abans), però conservarà encara bastant informació sobre l'atac.

Així doncs podem trobar-nos amb dos escenaris diferents:

Equip encès (“viu”), tal com es descriu seguint les directrius de la RFC 3227, establirem el següent ordre de volatilitat i per tant de recopilació d'evidències: Registres i continguts de la caché. Continguts de la memòria. Estat de les connexions de xarxa, taules de rutes. Estat dels processos en execució. Contingut del sistema d'arxius i dels discos durs. Contingut d'altres dispositius d'emmagatzematge. Dins de les evidències volàtils serà d'interès recuperar les següents dades del sistema en temps real: Data i hora. Processos actius. Connexions de xarxa. Ports TCP/UDP oberts i aplicacions associades “a l'escolta”. Usuaris connectats remota i localment. S'ha de recordar que per guardar la memòria volàtil, no ho farem mai en el disc dur de la màquina sinó que ho farem en un dispositiu extern* (Disc USB, llapis USB, ubicació en xarxa, ....). Equip apagat (“mort”), no es podrà recol·lectar aquest tipus d'informació pel que passarem directament al procés d'extracció d'informació de discos. Tan aviat com hagi obtingut tota la informació volàtil del sistema haurem de recopilar la informació continguda en els discos durs, tenint en compte que aquests dispositius no només contenen les particions, els arxius, directoris, etc. Sinó que també contenen un altre tipus de dades que fan referència als propis arxius i a fluxos d'informació, són les metadades que seran de gran importància en l'anàlisi forense. Per això es procedirà a realitzar una còpia exacta Bit a Bit en un procés denominat clonació. Per a això utilitzarem un LIVECD col·locant el disc origen en el com master i el disc destí com a esclau.

Per tant com hem vist a dalt, un cop volcades les dades volàtils, s'han de localitzar els dispositius d'emmagatzematge que estan sent utilitzats pel sistema: discs durs, memòries (USB, RAM, ...).

Una vegada que s'han localitzat, s'ha de recaptar la següent informació:

marca,
model,
nombre de sèrie,
tipus de connexió (IDE, SCSI, USB, etc.),
connexió en el sistema (si està connectat en la IDE1 i si és el primari o el secundari, etc.).

Una vegada localitzades totes les parts del sistema, és recomanable fer fotografies de tot el sistema així com de la seva ubicació a més de fotografiar els dispositius d'emmagatzematge.

Quan s'hagin fet les fotografies es continua amb la clonació bit a bit dels dispositius d'emmagatzematge del sistema. Aquesta clonació ha de ser realitzada en un dispositiu que hagi estat prèviament formatat a baix nivell, ja que aquest procés garanteix que no quedin impureses d'una altra anàlisi anterior. Per tant, la realització d'aquesta clonació haurà de fer-se mitjançant un LIVECD.

Exemple de còpia:

$ sudo mkdir /mnt/disc_a_copiar
$ sudo mount -o ro /dev/sda /mnt/disc_a_copiar
$ sudo dd if=/mnt/disc_a_copiar of=/dev/sdb

En l'exemple anterior veiem que primer creem el directori on muntarem el disc que volem copiar.

Una de les coses principals que hem de tenir en compte es que ens hem d'assegurar que al disc original NO es modifica ni un sol bit. Per tant, abans de fer qualsevol cosa el muntem com només lectura (read-only).

Per últim utilitzem una eina potent, lliure i fàcil d'utilitzar que incorporen la majoria de distribucions linux com és: dd (podem utilitzar qualsevol aplicació o dispositiu físic, però no sempre son assequibles).

Aquesta eina ens copia bit a bit tota la informació assegurant que tindrem una còpia exacte.

Quan tinguem la partició que volem analitzar copiada, hem d'asegurar-nos que són exactes.

Per fer això utilitzarem les funcions HASH basades en SHA1 i/o MD5

sha1sum /dev/sda /dev/sdb

Això ens comprobarà que el valor HASH és idèntic i que per tant, no s'ha modificat la integritat del disc.

Un cop garantitzat això podrem treballar amb la còpia. Es recomana per una còpia de la còpia i treballar amb aquesta segona (després de garantir la integritat també), ja que si tenim qualsevol problema tirarem de la primera còpia de nou i no haurem de tornar a tocar l'original.

Anàlisi i investigació

La fase d'anàlisi i recerca de les evidències digitals és un procés que requereix òbviament un gran coneixement dels sistemes a estudiar.

Les fonts de recollida d'informació en aquesta fase són vàries:

registres dels sistemes analitzats,
registre dels detectors d'intrusió,
registre dels tallafocs,
fitxers del sistema analitzat,
...

En el cas dels fitxers del sistema analitzat, cal anar amb compte amb les carpetes personals dels usuaris. Aquestes carpetes estan situades habitualment en el directori /home en sistemes GNU/Linux i en c:\documents and settings\ en sistemes Windows.

Cal tenir en compte que no es consideren personals aquelles carpetes que han estat creades per defecte en la instal·lació del sistema operatiu, per exemple, els comptes d'administrador. De totes maneres, sempre és recomanable assessorar-se amb un jurista davant la realització d'un anàlisi forense per prevenir possibles situacions desagradables (per exemple: ser nosaltres els denunciats per incomplir la legislació).

En aquests casos cal tenir en compte l'article 18 de la Constitució espanyola, que garanteix el dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge, a més de garantir per exemple el secret de les comunicacions excepte resolució judicial. Per tant, tota la recerca ha d'anar sempre encaminada a trobar les evidències en totes aquelles dades que no continguin informació personal. Solament es pot accedir a aquesta informació disposant d'una resolució judicial que ho autoritzi.

Quan s'accedeix a la informació podem trobar dos tipus d'anàlisis:

Físic: informació que no és interpretada pel sistema operatiu ni pel de fitxers.
Lògic: informació que sí que és interpretada pel sistema operatiu. En aquest nivell, per tant, podrem obtenir:
- estructura de directoris,
- fitxers que se segueixen emmagatzemant així com els que han estat eliminats,
- hores i dates de creació i modificació dels fitxers,
- grandàries,
- utilització dels HASH^[1] per reconèixer els tipus d'arxius,
- contingut en els sectors lliures,
- etc.

En un dispositiu d'emmagatzematge ens trobarem amb tres tipus de dades recuperades:

Allocated: inode^[2] i nom del fitxer intactes, amb el que disposarem del contingut íntegre.
Deleted/Reallocated: inode i nom del fitxer intactes encara que han estat recuperats perquè havien estat esborrats, amb el que disposarem del contingut íntegre.
Unallocated: inode i nom de fitxer no disponibles, amb el que no tindrem el contingut integro de l'arxiu encara que sí algunes parts. De vegades, realitzant una feina molt laboriosa es pot obtenir part de la informació i fins i tot unir les parts i obtenir gairebé tota la informació de l'arxiu.

Una de les primeres accions que haurem d'efectuar és determinar la configuració horària del sistema. Amb aquesta opció podrem validar les dates i les hores que podem identificar perquè no siguin qüestionades davant un altre peritatge per exemple.

Després d'identificar la configuració horària, podrem realitzar l'estudi de la línia de temps també coneguda com timeline i conèixer quins han estat les accions realitzades des de la instal·lació fins al moment que s'ha clonat el disc.

Una eina que funciona molt bé per fer aquest tipus d'anàlisi es Autopsy [3]

Cadena de Custòdia

La cadena de custòdia (també anomenat CdC) no és quelcom únic en el món de l'anàlisi forense informàtic, sinó que està lligat amb l'àmbit judicial i que fa referència a la recopilació de proves i els seu tractament per assegurar que no han sofert cap modificació o contaminació i que per tant la prova es totalment vàlida.

Fitxa Cadena de Custòdia

Fitxa identificació cas

Fitxa Identificació Evidència

Segur que em vist en moltes pel·lícules o series de televisió o casos de la vida real, on en un judici, per el simple fet que no es pot garantir aquesta cadena de custòdia i per tant la fiabilitat de les proves, s'absol al processat.

Per tant la cadena de custòdia estableix un mecanisme o procediment, que assegura a les persones que han de jutjar que els elements probatoris (indicis, evidències o proves) no han patit cap alteració o contaminació des de la seva recol·lecció, examen i custòdia, fins al moment en el qual es presenten com a prova davant el Tribunal.

Aquest procediment ha de controlar certs aspectes de la prova (de forma no hi hagi cap motiu per dubtar de la seva validesa), com:

On s'ha obtingut.
Com s'ha obtingut.
Què s'ha fet i quan amb ella.
Qui hi ha tingut accés.
On es troba.
Qui la té.
En cas de destrucció (pel motiu que sigui):
- Com?
- Quan?
- Qui?
- Per què?
- On?

Aquestes evidències digitals, tenen certes característiques respecte altres tipus, ja que la informació que es presenta com a prova, es pot trobar en diferents estats:

En trànsit o desplaçament: Paquets d'informació que es troben viatjant per la xarxa i que poden ser capturats i/o emmagatzemats.
Emmagatzemada dinàmicament o que estigui en procés: Informació emmagatzemada de forma temporal (volàtil) i que es perdrà quan no arribi corrent.
Emmagatzemada estàticament: Informació emmagatzemada de forma persistent.

Amb això veiem que per exemple la informació continguda en la memòria RAM, no la podrem tractar com una prova qualsevol, sinó que haurem de de fer un volcat d'aquesta en un dispositiu físic per analitzar-la posteriorment. Per això és important tenir l'autorització judicial, o de l'empresa (depen quin tipus d'anàlisi forense estiguem realitzant) i assegurar que la informació resultant serà vàlida. Un altre exemple el podríem trobar en un router per exemple, si el desconnectem de la xarxa elèctrica perdrem tota la informació actual d'equips connectats, etc.

Segons aquestes dades anteriors és ens atrevim a dir que, en alguns casos, la cadena de custòdia no s'aplicarà només “a l'indici material relacionat amb el delicte”, sinó que,a més a més, caldria ampliar aquesta definició, de forma que cobreixi i empari igualment aquelles dades obtingudes de dispositius amb informació volàtil que hagin estat obtinguts sobre el terreny. En aquests casos són molt importants les proves fotogràfiques del procés i de les pantalles on es vegi questa informació que després perdrem.

A més, el fet que mai acudeixi un sol agent al lloc dels fets permet que els altres assistents donin fe de les dades que s'han salvaguardat, com s'han recuperat i el lloc en el qual han estat obtinguts.

Hem de recalcar que el contingut original d'un dispositiu d'emmagatzematge (o el dispositiu mateix), podria veure's alterat en qualsevol moment, fins i tot de forma intencionada, per la qual cosa la possibilitat de treballar amb “còpies idèntiques” (i en aquest cas la prova informàtica té un gran avantatge sobre altres proves de diferent índole) allunya el temor que una prova pugui ser contaminada. I en el cas que això es produeixi (pel motiu que sigui), podrà tornar a clonar-se l'original per personal especialitzat designat per a tal efecte, permetent començar de zero, si això fos necessari.

Per tot això podríem definir la cadena de custòdia (CdC) com el protocol d'actuació relatiu a la seguretat i manipulació que ha de seguir-se durant el període de vida d'una prova, des que aquesta s'aconsegueix o es genera, fins que es destrueix o deixa de ser necessària.

Documentació

Informe executiu

Serà un document de poca extensió, almenys comparat amb l'informe tècnic, aquest haurà de contenir com a mínim els següents apartats:

Motius de la intrusió.
- Per què s'ha produït l'incident?
- Quina finalitat tenia l'atacant?
Desenvolupament de la intrusió.
- Com ho ha aconseguit?
- Què ha realitzat en els sistemes?
Resultats de l'anàlisi.
- Què ha passat?
- Quins danys s'han produït o es preveuen que es produiran?
- És denunciable?
- Qui és l'autor o autors?
Recomanacions.
- Quins passos donar a continuació?
- Com protegir-se per no repetir els fets?

Informe Tècnic

L'informe tècnic serà més llarg que l'anterior i contindrà molt més detall. Es farà una exposició molt detallada de tota l'anàlisi amb profunditat a la tecnologia utilitzada i les troballes. En aquest cas s'haurà de redactar, almenys:

Antecedents de l'incident.
- Posada en situació de com es trobava la situació anteriorment a l'incident.
Recol·lecció de dades.
- Com s'ha dut a terme el procés?
- Què s'ha recol·lectat?
Descripció de l'evidència.
- Detalls tècnics de les evidències recol·lectades, el seu estat, el seu contingut, etc.
Entorn de treball de l'anàlisi.
- Quines eines s'han usat?
- Com s'han usat?
Anàlisi de les evidències.
- S'haurà d'informar del sistema analitzat aportant dades com les característiques del sistema operatiu, les aplicacions instal·lades en l'equip, els serveis en execució, les vulnerabilitats que s'han detectat i la metodologia usada.
Descripció dels resultats.
- Quines eines ha usat l'atacant?
- Quin abast ha tingut l'incident?
- Determinar l'origen del mateix i com s'ha trobat.
- Donar la línia temporal dels fets ocorreguts amb tot detall.
- Redactar unes conclusions amb les valoracions que es creguin oportunes a la vista de tot l'anàlisi realitzat.
- Donar unes recomanacions sobre com protegir els equips per no repetir l'incident o sobre com actuar legalment contra l'autor.

Eines per l'Anàlisi Forense

Cal pensar que no existeix l'eina definitiva, ni cap que estigui aprovada i/o validada per cap estàndard.

Tenim multitud d'eines desenvolupades o amb alguna funció per l'anàlisi forense que treballen sobre diferents aspectes de la màquina a analitzar (les memòries, els discs d'emmagatzematge, els protocols de xarxa, les aplicacions, etc).

També hi han distribucions que ofereixen l'anàlisi sobre varis d'aquests punts oferint eines veritablement potents i útils.

Caine (Distribució Linux)

Imatge Logo CAINE

CAINE Linux, acrònim de Computer Aided Investigative Enviroment (Entorn de Recerca Assistit Per Computadora), és una Distribució GNU/Linux creada com un Projecte Forense Digital.

Aquesta eina la podem utilitzar tant en versió LIVE com intal·lada en una màquina (utilitzant l'eina SystemBack que porta incorporada). És una distribució Distribució GNU/Linux basada en Ubuntu 64 bits i que conté moltes eines que podem utilitzar per realitzar un anàlisi informàtic forense.

Deft Zero (Distribució Linux)

Imatge Logo DEFT Zero

DEFT Zero és una versió molt més lleugera i reduïda de DEFT dissenyada, igual que la seva predecessora, per realitzar anàlisi forenses de dades, xarxes i dispositius. Aquesta nova distribució funciona amb tan sols 400 MB de memòria RAM i està basada en Lubuntu 14.04 LTS (el que garanteix un suport estès a llarg termini). A més, també és compatible amb sistemes de 32 bits, 64 bits i fins i tot amb sistemes UEFI. A més, aquest nou sistema és compatible amb memòries del tipus NVM Express (NVMe) i eMMC.

FTK Imager

Forense Toolkit Imager (FTK Imager) és un paquet comercial de software d'imatges forenses distribuït per AccessData.

FTK Imager, orientat principalment a l'adquisició i tractament d'imatges de dispositius d'emmagatzematge, per ser posteriorment usades com a evidències forenses.

Aquest producte té un gran avantatge per aquelles persones que no es porten bé amb la línia de comandes: la seva interfície gràfica, que permet crear imatges de tot tipus amb còmodes assistents i funcions agrupades en menús. A més, al tractar-se d'una eina Windows, FTK Imager és fàcil d'instal·lar i permet operar amb dispositius subjectes a controladors no universals, que moltes vegades dificulten el seu muntatge en altres sistemes i que doten a l'anàlisi en aquest tipus de plataformes d'una feinada addicional que no tothom pot afrontar.

La interfície presenta un aspecte amigable, amb totes les funcions principals integrades.

Imatge Logo FTK Imager

Referències

↑ Una funció de hash és una funció per resumir o identificar probabilísticament un gran conjunt d'informació, donant com resultat un conjunt imatge finit, generalment menor (un subconjunt dels nombres naturals per exemple). Una propietat fonamental del hashing és la que dicta que si dos resultats d'una mateixa funció són diferents, llavors les dues entrades que van generar dits resultats també ho són.
↑ És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.
↑ És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.

Webs d'interès

Webgrafia

[1] Una funció de hash és una funció per resumir o identificar probabilísticament un gran conjunt d'informació, donant com resultat un conjunt imatge finit, generalment menor (un subconjunt dels nombres naturals per exemple). Una propietat fonamental del hashing és la que dicta que si dos resultats d'una mateixa funció són diferents, llavors les dues entrades que van generar dits resultats també ho són.

[2] És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.

[3] És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.

[1]

[2]

Anàlisi Forense

Contingut