22 Herramientas GRATUITAS de investigación forense para el experto en seguridad informática

Una violación de datos ocurre casi todos los días.

Algunas de las principales violaciones de datos son;

• JP Morgan Chase
• Bank of America
• HSBC
• TD Bank
• Target
• Tumbler
• Home Depot
• MySpace
• eBay
• Adobe System Inc
• iMesh

Juniper Research sugiere que el cibercrimen costará más de 5 billones de dólares a las empresas en 2024. Así que la demanda de expertos en informática forense también aumentará.

Las herramientas son el mejor amigo del administrador; utilizar la herramienta adecuada siempre te ayuda a mover las cosas más rápido y te hace ser productivo. La investigación forense es siempre un desafío, ya que puede reunir toda la información que podría para el plan de pruebas y mitigación.

Aquí hay algunas de las herramientas de investigador forense de computadoras que necesitaría. La mayoría de ellas son gratuitas!

Autopsy

Autopsy es un programa forense digital de código abierto basado en GUI para analizar los discos duros y los teléfonos inteligentes de manera eficiente. Autospy es utilizado por miles de usuarios en todo el mundo para investigar lo que sucedió en el ordenador.

Es muy utilizado por los examinadores corporativos, militares para investigar, y algunas de las características son.

• Análisis de correos electrónicos
• Detección del tipo de archivo
• Reproducción de medios
• Análisis del registro
• Recuperación de fotos de la tarjeta de memoria
• Extraer geolocalización e información de la cámara información de la cámara de los archivos JPEG
• Extraer la actividad web de un navegador
• Mostrar los eventos del sistema en una interfaz gráfica
• Analizar la línea de tiempo
• Extraer datos de Android – SMS, registros de llamadas, contactos, etc.

Dispone de amplios informes para generar en formato de archivo HTML, XLS.

Detector de discos encriptados

Detector de discos encriptados puede ser útil para comprobar las unidades físicas encriptadas. Soporta volúmenes encriptados TrueCrypt, PGP, BitLocker, Safeboot.

Wireshark

Wireshark es una herramienta de captura y análisis de redes para ver lo que ocurre en tu red. Wireshark será útil para investigar el incidente relacionado con la red.

Magnet RAM Capture

Puede utilizar Magnet RAM capture para capturar la memoria física de un ordenador y analizar los artefactos en la memoria.

Es compatible con el sistema operativo Windows.

Network Miner

Un interesante analizador forense de red para Windows, Linux & MAC OS X para detectar el sistema operativo, el nombre de host, las sesiones y los puertos abiertos a través del esnifado de paquetes o mediante un archivo PCAP. Network Miner proporciona los artefactos extraídos en una interfaz de usuario intuitiva.

NMAP

NMAP (Network Mapper) es una de las herramientas de auditoría de redes y seguridad más populares. NMAP es compatible con la mayoría de los sistemas operativos, incluyendo Windows, Linux, Solaris, Mac OS, HP-UX, etc. Es de código abierto por lo que es gratuito.

RAM Capturer

RAM Capturer de Belkasoft es una herramienta gratuita para volcar los datos de la memoria volátil de un ordenador. Es compatible con el sistema operativo Windows. Los volcados de memoria pueden contener la contraseña del volumen encriptado y las credenciales de inicio de sesión para los correos web y los servicios de redes sociales.

Forensic Investigator

Si está utilizando Splunk, entonces Forensic Investigator será una herramienta conveniente. Es una aplicación de Splunk y tiene muchas herramientas combinadas.

• Búsqueda de WHOIS/GeoIP
• Ping
• Escáner de puertos
• Capturador de banners
• Decodificador/parser de URL
• Conversor XOR/HEX/Base64
• SMB Share/NetBIOS viewer
• Virus Total lookup

FAW

FAW (Forensics Acquisition of Websites) es para adquirir páginas web para la investigación forense, que tiene las siguientes características.

• Capturar la página completa o parcial
• Capturar todo tipo de imágenes
• Capturar el código fuente HTML de la página web
• Integrarse con Wireshark

HashMyFiles

HashMyFiles le ayudará a calcular los hashes MD5 y SHA1. Funciona en casi todos los últimos sistemas operativos de Windows.

Crowd Response

Response by Crowd Strike es una aplicación de Windows para recopilar información del sistema para la respuesta a incidentes y compromisos de seguridad. Puede ver los resultados en XML, CSV, TSV o HTML con la ayuda de CRConvert. Se ejecuta en 32 o 64 bits de Windows XP arriba.

Crowd Strike tiene algunas otras herramientas útiles para la investigación.

• Totrtilla – enrutar anónimamente el tráfico TCP/IP y DNS a través de Tor.
• Shellshock Scanner – escanear su red para la vulnerabilidad shellshock.
• Heartbleed scanner – escanea tu red en busca de la vulnerabilidad OpenSSL heart bleed.

NFI Defraser

La herramienta forense Defraser puede ayudarte a detectar archivos multimedia completos y parciales en los flujos de datos.

ExifTool

ExifTool te ayuda a leer, escribir y editar la meta información de un número de tipos de archivos. Puede leer EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc.

Toolsley

Toolsley tiene más de diez herramientas útiles para la investigación.

• Verificador de firmas de archivos
• Identificador de archivos
• Hash & Validar
• Inspector de binarios
• Codificar texto
• Perfiles de datos

.

• Generador de URI de datos
• Generador de contraseñas

SIFT

La estación de trabajoSIFT (SANS investigative forensic toolkit) está disponible gratuitamente como Ubuntu 14.04. SIFT es una suite de herramientas forenses que necesitas y una de las plataformas de respuesta a incidentes de código abierto más populares.

Dumpzilla

Extrae toda la información emocionante del navegador Firefox, Iceweasel y Seamonkey para analizarla con Dumpzilla.

Historial del navegador

Foxton tiene dos herramientas emocionantes gratuitas.

1. Capturador del historial del navegador – captura el historial del navegador web (chrome, firefox, IE & edge) en el sistema operativo Windows.
2. Visor del historial del navegador – extrae y analiza el historial de la actividad en Internet de la mayoría de los navegadores modernos. Los resultados se muestran en el gráfico interactivo, y los datos históricos se pueden filtrar.

ForensicUserInfo

Extraiga la siguiente información con ForensicUserInfo.

• RID
• LM/NT Hash
• Fecha de restablecimiento de la contraseña/fecha de caducidad de la cuenta
• Cuento de inicios de sesión/fecha de fallo
• Grupos
• Ruta del perfil

Black Track

Blacktrack es una de las plataformas más populares para pruebas de penetración, pero también tiene capacidad forense.

Paladin

Suite forense PALADIN – la suite forense de Linux más famosa del mundo es una distro Linux modificada basada en Ubuntu disponible en 32 y 64 bits.

Paladin tiene más de 100 herramientas bajo 29 categorías, casi todo lo que necesitas para investigar un incidente. Autospy está incluido en la última versión – Paladin 6.

Sleuth Kit

El Sleuth Kit es una colección de herramientas de línea de comandos para investigar y analizar sistemas de volúmenes y archivos para encontrar las pruebas.

CAINE

CAINE (Computer Aided Investigate Environment) es una distro de Linux que ofrece la plataforma forense completa que tiene más de 80 herramientas para que usted pueda analizar, investigar y crear un informe procesable.

Conclusión

Espero que las herramientas anteriores le ayuden a manejar el incidente de ciberseguridad de manera más eficiente y hacer el proceso de investigación más rápido. Si eres nuevo en la investigación forense, entonces es posible que quieras revisar este curso.