CAINE (Computer Aided INvestigative Environment) es una distribución Linux con entorno gráfico con un compendio de aplicaciones enfocadas hacia en análisis forense digital. Dentro de las herramientas con las que cuenta CAINE se puede llegar a analizar imágenes de discos, bases de datos, redes, memorias y dispositivos móviles.
CAINE se puede descargar desde la siguiente dirección: http://www.caine-live.net/page5/page5.html
Para este blog, se trabajará únicamente la aplicación Autopsy que se encuentra contenida en CAINE.
CAINE no requiere instalación, ya que se trata de un LIVE CD, por lo que es necesario tener dos consideraciones importantes:
- El montaje se realizará desde una maquina virtual
- El procesamiento, así como el caso analizado no se guardará en ninguna ubicación de la maquina, por lo que al apagar el sistema se perderá la información.
Como se mencionaba, se monta una maquina virtual usando el programa VM VirtualBox. Se configura para que sea una maquina con sistema operativo Ubuntu a 64 bits, con memoria RAM de 1GB y disco duro de 8 GB, sin embargo ni el sistema operativo ni el disco duro serán tocados dado que CAINE corre directamente desde la imagen ISO descargada desde la dirección anteriormente referenciada:
Maquina virtual para el montaje de CAINE
Al arrancar el sistema, se selecciona la versión de CAINE gráfica para mayor facilidad:
Selección de la interfaz gráfica de CAINE
Cargado el sistema, la interfaz gráfica permite fácilmente trabajar sobre las distintas opciones
Pantalla principal del sistema
Como se mencionaba, CAINE cuenta con un conjunto de herramientas para le análisis forense:
Herramientas disponibles para análisis forense en CAINE
Se ingresa a la aplicación Autopsy la cual funciona a través del explorador de Internet:
Pantalla principal de Autopsy
Y se crea un nuevo caso, se realiza una descripción del mismo y se asocian los investigadores:
Creación del caso en Autopsy
Creado el caso es necesario crear un host:
Creación del host en Autopsy
Luego, es necesario asociar la imagen del caso a analizar:
Adición de imagen en el caso
Se carga la imagen indicando su ubicación, si se trata de una imagen o una partición y el método de importación:
Selecciona la imagen a analizar
Previo al cargue de la imagen es posible calcular el hash del disco con el fin de verificar que se trata del mismo procesado como evidencia, además se conocen algunos detalle del sistema de archivos:
Parámetros de la imagen a analizar
El sistema entrega la información calculada y permite agregar una nueva imagen o continuar con el análisis de esta:
Hash calculado sobre la imagen
Ya con la imagen cargada, se inicia el análisis:
Inicio del análisis sobre la imagen
Se solicita hacer un análisis de las actividades de los archivos en una línea de tiempo:
Hacer análisis de línea de tiempo sobre la imagen
Se establecen los parámetros para el análisis:
Parámetros de análisis para la linea de tiempo
y se establece el archivo de salida:
Información para la salida de información:
Finalmente el programa arroja la información solicitada para una fecha en particular, la cual se puede modificar con los parámetros de la parte superior de la pantalla:
Visor de los archivos por fecha
Además, es posible analizar el sistema de archivo del disco, los archivos asociados a la línea de tiempo y al resultado como tal:
Análisis de la línea de tiempo
Es posible observar el estado actual de los archivos, por ejemplo en la imagen se observa que varios de ellos se encuentran eliminados:
Identificación de archivos eliminados
Conclusiones:
Aunque CAINE tiene muchas más herramientas de análisis forense, sólo se exploró la herramienta de Autopsy. Es posible hacer una línea de tiempo de la actividad sobre los archivos, chequear la integridad de la imagen, calcular el hash de archivos y del disco. Además, permite tomar notas relevantes y registrar la secuencia de los eventos.
También permite chequear la integridad del disco mediante la generación del hash. Además, al ser un sistema sobre montado, no se altera el sistema donde se ejecuta la tarea.
Referencias Bibliográficas
Arellano L. (2012) La cadena de custodia. Recuperado de http://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/45
López M. (2007) Análisis forense digital. Recuperado de www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
Rivas J. (2009) Análisis forense de sistemas informáticos. Recuperado de http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
Villacís V. (2006) Auditoria Forense: Metodología, Herramientas y Técnicas Aplicadas en un siniestro informático de una empresa del sector comercial. Recuperado de http://www.dspace.espol.edu.ec/handle/123456789/10737
Fases de la informática forense. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf
RIFA POUS H, SERRA RUIZ J & RIVAS LOPEZ J.L. (2009) Análisis forense de sistemas informáticos. Barcelona – España. 2009. Disponible en: http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
Referencias Bibliográficas
Arellano L. (2012) La cadena de custodia. Recuperado de http://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/45
López M. (2007) Análisis forense digital. Recuperado de www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
Rivas J. (2009) Análisis forense de sistemas informáticos. Recuperado de http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
Villacís V. (2006) Auditoria Forense: Metodología, Herramientas y Técnicas Aplicadas en un siniestro informático de una empresa del sector comercial. Recuperado de http://www.dspace.espol.edu.ec/handle/123456789/10737
Fases de la informática forense. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf
RIFA POUS H, SERRA RUIZ J & RIVAS LOPEZ J.L. (2009) Análisis forense de sistemas informáticos. Barcelona – España. 2009. Disponible en: http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf
No hay comentarios.:
Publicar un comentario