Autopsy es una herramienta de inform谩tica forense desarrollada por Basis Technology y es usada por fuerzas de seguridad, forenses y peritos por todo el mundo. Nos permite analizar im谩genes de discos f铆sicos o im谩genes de discos de m谩quinas virtuales y encontrar todo tipo de informaci贸n interesante. Autopsy est谩 disponible para todos los sistemas operativos y podemos descargarlo en su web oficial.
La 煤ltima versi贸n para Windows es espectacular y comparada con la versi贸n que aparece en Caine (una distribuci贸n Linux muy usada para inform谩tica forense), esta 煤ltima se ve como m铆nimo bastante tosca. Tambi茅n tenemos disponible una versi贸n mas reciente para Gnu/Linux, pero por facilidad de instalaci贸n y uso vamos a probarla con Windows 10.
Para las pruebas usar茅 unas im谩genes de disco de esta web https://cfreds.nist.gov/, donde tenemos disponibles m煤ltiples im谩genes de disco en varios formatos que podemos descargar para probar Autopsy (o bueno, cualquier herramienta de an谩lisis forense). Las im谩genes de disco son dos y en principio sabemos por el nombre, que pertenecen a un equipo Dell Latitude.
Sin mas presentaciones vamos al l铆o.
Lo primero descargamos el instalador de la web oficial de Autopsy y lo ejecutamos, la instalaci贸n no tiene ninguna dificultad pues es el t铆pico instalador de Windows.
Autopsy usa el motor OpenJdk, as铆 que tenemos que darle paso en el cortafuegos de Windows 10 en la alerta emergente que nos aparece.
Una vez instalado procedemos a abrir nuestro primer “Case” (caso) , que es como se llaman en Autopsy las diferentes estancias o proyectos de an谩lisis que podemos ir gestionando.
Tenemos diferentes fichas para ir rellenando los datos del caso. Nombre, direcci贸n, correo, contacto de la persona que va a realizar el examen etc..
Generamos un nuevo host en donde iremos a帽adiendo los an谩lisis de todos los dispositivos que vayamos analizando.
Seleccionamos imagen de disco
Aparece en el men煤 del explorador solo uno de los discos de momento, lo seleccionamos y luego volveremos a por el otro.
Seleccionamos los diferentes m贸dulos que queremos aplicar a la b煤squeda, seleccionaremos todos en este caso (vienen ya preseleccionados).
Una vez a帽adida la imagen Autopsy pasa al proceso de "ingesta", en el que monta la imagen y analiza los datos. Nos tocar谩 esperar mas o menos tiempo en funci贸n del tama帽o del disco, l贸gicamente. Tenemos una barra de progreso abajo a la derecha.
En el panel lateral vemos como se van agrupando los datos recabado organizados por categor铆as.
Podemos ver que hay (o hab铆a) 32 programas instalados pero tambi茅n podemos ver otros datos como el historial web, el listado de documentos recientes etc, pero la verdad que hemos obtenido poca informaci贸n, vamos a por el segundo disco de imagen.
Hacemos clic en el bot贸n “Add Data Source” arriba a la derecha para volver al men煤 que vimos al principio.
Lo a帽adimos al mismo “Host” que creamos anteriormente.
Si tenemos instalado Autopsy en una maquina f铆sica podemos a帽adir un disco f铆sico (con el cable Sata o USB) y analizarlo con la opci贸n "Local Disk".
Vamos a intentar montar la segunda imagen, esta vez probaremos la opci贸n “Logical Files”.
 |
Ahora si nos aparecen ambas im谩genes, a帽adiremos la segunda. |
Bingo!, podemos ver que ha aparecido mas informaci贸n, podemos consultar el 谩rbol de carpetas de esa m谩quina e incluso podemos recuperar informaci贸n borrada. Por supuesto si hay alguna contrase帽a almacenada, Autopsy la recuperar谩.
Lo mas divertido de Autopsy es usar el buscador de palabras clave "Keyword Search", donde podemos buscar palabras que nosotros podamos intuir que puedan aparecer entre los datos. Saber como funcionan los servicios, programas y aplicaciones nos facilitar谩 mucho la b煤squeda, con este buscador se podr铆an buscar scripts, archivos de configuraci贸n, mensajes de correo y todos aquellos archivos que ya sabemos de antemano que son sospechosos (por no hablar de malware). De momento nos conformamos con usar las t铆picas hack, crack y password.
 |
| La informaci贸n resultante de las b煤squedas queda organizada por pesta帽as. |
Lo que hace de Autopsy una herramienta fenomenal, aparte de la profundidad del an谩lisis que efect煤a; es su capacidad de organizar los resultados, pudiendo agrupar los an谩lisis en funci贸n del tipo de an谩lisis que se necesite. Por ejemplo, se podr铆an agrupar la memorias de todos los dispositivos de una red que ha sufrido un ataque de malware en un solo "Case", y cada imagen de disco con su "Host".
Pero es que adem谩s, se pueden crear fichas con los datos personales de los contactos que recuperemos de mensajes de correo o documentos, lo que nos permite un mejor an谩lisis de quienes hayan accedido al equipo o hayan interactuado con el usuario de alguna manera.
Por otra parte la opci贸n "Timeline" nos muestra un hist贸rico de uso con todos los detalles acerca de acceso y modificaci贸n de archivos, software instalado, de los correos enviados o recibidos y otros datos relevantes.
Como vimos con Openvas, Autopsy tiene la capacidad de hacer reportes detallados en varios formatos entre ellos Html y Excel.
 |
| Reporte del an谩lisis en Html. |
Por supuesto, nuestros tel茅fonos smartphone tambi茅n tienen una memoria, de la que se puede hacer una imagen. Para estos casos, Autopsy tiene algunas opciones especiales.
Por ejemplo con el men煤 "Communications" podemos visualizar algunos n煤meros de tel茅fono y direcciones de correo usados por el dispositivo as铆 como recolectar algunos contactos de la agenda.
Si el dispositivo m贸vil ten铆a la localizaci贸n activa podemos consultar los datos en el men煤 "Geolocation".
Como v茅is Autopsy en un programa magn铆fico, y en cierto modo terror铆fico, pues con 茅l ning煤n disco est谩 seguro; Os recomiendo que prob茅is Autopsy; la descarga es gratis, se puede instalar en una m谩quina virtual, y probad con vuestros discos, igual os llev谩is una sorpresa.
Ya para terminar os querr铆a recomendar algunos post anteriores donde probamos herramientas para almacenamiento seguro de la informaci贸n
- Dos utilidades para borrado seguro en GNU/Linux.
- Guarda seguras tus contrase帽as con KeePassX.
- Guarda segura tu informaci贸n con Veracrypt.
No hay comentarios:
Publicar un comentario