Hace poco nos enterábamos que Microsoft Cofee (Computer Online Forensic Evidence Extractor), la suite forense que Microsoft le regala a las entidades policiales desde Junio del año 2008, se había filtrado en Internet, en La Comunidad DragonJAR nuestro amigo Seifreed ha conseguido una copia de Microsoft Cofee y nos muestra como es la instalación, configuración y uso del Microsoft Cofee.

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

(más…)

Visita nuestra nueva dirección de sitio web!! www.cosimti.com

NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine).  El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como  sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.

(más…)

Otra opción open source para realizar adquisición y análisis de evidencia digital, al igual que Helix está basada en Ubuntu, por lo que el reconocimiento de drivers funciona de maravilla. Caine en honor al personaje de la serie televisiva Horatio Caine, también posee dentro la gama de sus herramientas forenses, un analizador de ficheros llamado “Grissom”, el otro personaje en este caso de CSI Vegas.

Dándole un vistazo simple a este live cd se puede describir que se trata de un software bastante sensillo de usar, simple en cuanto a entornos gráficos, no viene cargada con una serie de herramientas de relleno, solo trae lo necesario, lo que más me interesó es que es amigable en cuanto a guiar en el proceso que debe seguir el investigador. Además viene cargado con el programa stegdetec, muy útil para determinar archivos camuflados con esteganografía, autopsy para la recuperación de archivos eliminados, y otros más para realizar duplicados clon e imagen de discos con algoritmos de digesto hash MD5 y SHA. De igual manera que la distribución Helix, al cual se parece mucho, contiene también el set de herramientas para sniffing pasivo de red tipo Wireshark y desencriptadores de passwrods como ophcrack.

Sin duda es una buena opción a considerar entre los utilitarios forenses.

Fuente: Israel Rosales M., CEH, ASIC

Paraben Corporation(www.paraben.com) tiene una herramienta llamada Device Seizure Mobile Kit es una solución para realizar análisis forense a celulares. El kit incluye software, cables, y hardware para que pueda procesar evidencia digital en cualquier lugar y momento.

(más…)

Voy a hablar de un tema quizas más complicado de lo normal, como es el análisis forense en correos electrónicos.

La búsqueda, parametrización y reconstrucción de correos es fundamental ante casos como denuncias, insultos, amenazas, etc. en el que el medio utilizado es el correo electrónico.(por ejemplo esto ha sido clave para la detención del jefe del aparato militar de ETA, ‘txeroki’)

Pocas herramientas son capaces de reconocer los formatos mas usuales que se utilizan en clientes y servidores de correo electrónico. Quizas la suite comercial más completa es FTK. Mientras que enl mundo Open, son muy pocas las que existen y dan cobertura.

En la siguiente lista vemos las suites comerciales y/o Open Source y los formatos que soportan

Comerciales

FTK: Outlook (PST), Outlook Expres (DBX), AOL, Netscape,Yahoo, Eudora, Hotmail, MSN

Paraben’s E-mail: Microsoft Exchange, Lotus Notes (NSF)

(más…)

CAINE (Computer Aided INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense (Forense Digital) para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia.

El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce nuevas características importantes, que aspiran a llenar el vacio de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes y resultados.

(más…)

Visitando la web de Sergio Hernando, me encuentro con un articulo titulado Análisis forense de teléfonos móviles y tarjetas SIM. Herramientas en el que comparte con todos este documento publicado por el National Institute of Standards and Technology, donde describen las principales características de las herramientas de recuperación forense en móviles más comunes.

El documento en cuestión es un IR (Interagency Report) de NIST, y se titula Cell Phone Forensic Tools: An Overview and Analysis Update. Son 165 páginas en las que, como hemos comentado, se hace un análisis sobre las principales herramientas de recuperación forense en telefonía móvil. Las herramientas de las que se habla son:

(más…)