Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)
Si el otro día hablábamos de HELIX como una herramienta interesante, tanto para la adquisición de evidencias, como la realización de otras tareas relacionadas con los procesos forense, hoy mostramos otra suite: CAINE (http://www.caine-live.net/). Computer Aided INvestigative Environment es un conjunto de herramientas de libre distribución, agrupadas en una suite GNU/Linux Live basado en UBUNTU. De origen italiano, se encuentra dirigido por Nanni Bassetti. Ofrece un conjunto de herramientas que al igual que en el caso de HELIX, aporta una buena dosis de interactuación con discos y la adquisición de los mismos.
Img.- Utilizades forense de CAINE V 2.5.1
En este sentido la más destacada corresponde a AIR (Automated Imaged and Restore), con la cual adquirir y realizar algunas operaciones interesantes con los discos que se tratan en los procedimientos forenses. En esencia aporta funcionalidades muy similares a la aplicación Adepto ya comentada previamente. Tal y como se aprecia en la imagen siguiente, aunque presenta una interface diferente, aporta características semejantes a la anterior aplicación.
Img.- Aplicación AIR.
Los procesos en este sentido son similares, estableciendo los orígenes y destinos bien de ficheros o bien de dispositivos completos, procediendo así a la adquisición de un fichero tipo dd o a un clonado de disco. Estos procesos deben ser realizados también mediante el procedimiento de comprobación de hash.
Esta herramienta cuenta con una función muy interesante para limpiar discos: Disk Wiping. A través de este proceso se vuelcan sobre un disco que será seleccionado como destino, datos de tipo 0 que serán identificados como origen.
Img.- Funcionalidad para realizar Disk Wiping.
Tal y como se comentó la semana pasada, esto constituye un procedimiento indispensable para garantizar una higiene en el tratamiento y posterior análisis del caso. Tal y como se aprecia en la siguiente imagen se ha seleccionado como origen el conjunto de bits ZERO y como destino la unidad SDA. El proceso será iniciado tras aceptar el mensaje de advertencia que se proporciona por pantalla.
Img.- Inicio del proceso de eliminación de datos.
Todo el proceso puede ser revisado a través del módulo de mostrar el estado que proporciona AIR. En la siguiente imagen puede verse el estado del proceso de volcado de bist 0 sobre el disco SDA. Tal y como comentaba en el post anterior, estos procesos son lentos y requieren de un tiempo el que sean completados.
Img.- Estado del procedimiento.
Este proceso de Disk Wiping que se ha mostrado, no debe confundirse con el de eliminación segura del que se habla en ocasiones, con objeto de garantizar la no recuperación de la información que existe en un disco. Este último requiere de varias pasadas de bits de 1 y 0 para garantizar que una información no es recuperable. Aunque se pudiera realizar con esta herramienta, es más aconsejable utilizar otras, como la aplicación DBAN (http://www.dban.org/) que ha sido específicamente diseñada para ello.
Una aplicación más simple (por lo menos en el aspecto inicial) que aporta CAINE para el tratamiento de disco, aunque no por ello menos interesante es Guymager. Permite también la funcionalidad de adquirir y clonar discos mediante una interface bastante sencilla.
Img.- Guymager.
Como comentaba la sencillez no está reñida con potencia, puesto que cuando se selecciona la opción requerida (adquirir o clonar), permite introducir un gran número de parámetros y seleccionar opciones para realizar el proceso. La imagen siguiente muestra las opciones para la adquisición del fichero, donde permite por ejemplo realizar una adquisición en un único fichero, no solo mediante dd como se ha mostrado hasta ahora, sino también exportarlo en el formato propio de Encase. Como se ve, se puede proporcionar toda la información importante que debe acompañar a una evidencia y que permitirá identificar entre otras los datos del caso y el analista encargado de realizar la operación.
Img.- Adquisición de discos.
Esta semana hemos tratado otras alternativas para la adquisición de evidencias. Si bien este procedimiento es esencial, la semana que viene hablaremos de otro no menos importante, la cadena de custodia de las evidencias, de cara al juicio.
Saludos,Un dato importante para aportar es q guymager nos entrega la informacion detallada del contenedor de la evidencia digital (serie, marca, modelo, dispositivo, geometri,etc) que debe ser incluida en el embalaje y etiquetado de la misma como tambien en el dcto cadena de custodia e informe adquisicion de imagen y preservacion de la prueba.Nuevamente thank por la info y seguire pendiente d su continuidad.BytesDino
ResponderEliminar[...] a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a [...]
ResponderEliminar[...] a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a [...]
ResponderEliminar[...] a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a [...]
ResponderEliminar