Autopsy
en español
escrito por:
Alonso E. Caballero Quezada
Título: Autopsy en español
Autor: Alonso Eduardo Caballero Quezada
Versión 1.1: Noviembe 7 del año 2007
Versión 1: Setiembre 3 del año 2007 (MD5: b47912d9c71c410f290f2b5c3195a944)
Fecha de creación: Agosto del año 2007
La razón del presente escrito
Lo más común al finalizar algunos de mis cursos o exposiciones, es solicitarme
información sobre el tema, y la gran mayoría de las veces remito a las personas que lo
requieren, a fuentes de información en idioma inglés. Y al mismo momento percibo,
como por este “detalle” del idioma, algunas de ellas no profundizan más en el tema. Es
por este motivo que me decidí a realizar esta traducción; que ahora cuenta con el aval
de Brian Carrier; el autor de Autopsy & Sleuth Kit; las herramientos de Código Libre por
excelencia para temas de análisis de investigación digital.
Trato de respetar cabalmente los contenidos originales. Incluyo imagenes con las
capturas de pantalla de la versión más reciente de Autopsy. De igual modo, incluyo las
referencias que se realizan a 'The Sleuth Kit Informer'.
Es mi deseo; con este aporte; acercar mucho más estos temas tan interesantes a la
mayor cantidad de personas. Y es obvio que pueden distribuir y copiar gratuitamente el
presente documento.
Autopsy
Descripción
El navegador Forense Autopsy es una interfáz gráfica para las herramientas de análisis
de investigación digital en línea de comando contenidas en Sleuth Kit. Ambos unidos
pueden analizar discos UNIX y Windows, además de sistemas de archivos (NTFS, FAT,
UFS1/2 y Ext2/3).
Autopsy y Sleuth Kit son Open Source (Código Abierto) y pueden ser ejecutados en
plataformas UNIX. Como Autopsy se basa en HTML, se puede conectar al servidor
Autopsy desde cualquier plataforma utilizando un navegador HTML. Autopsy proporciona
una interfaz tipo “Manejador de Archivos”, y muestra detalles sobre datos borrados y
estructuras del sistema de archivos.
Modos de Análisis
Un Análisis “En reposo” ocurre cuando un sistema dedicado para análisis es utilizado
para examinar los datos de un sistema sospechoso. En este caso, Autopsy y Sleuth Kit
son ejecutados en un entorno confiable, típicamente en un laboratorio.
Autopsy y TSK soportan formatos de archivos AFF (Advanced Forensic Format), Expert
Witness, y raw (en bruto).
Análisis “En vivo” ocurre cuando el sistema sospechoso empieza a ser analizado
mientras está en ejecución. En este caso, Autopsy y Sleuth Kit son ejecutados desde un
CD en un entorno no confiable. Esto se utiliza frecuentemente durante la respuesta del
incidente mientras está siendo confirmado. Después de la confirmación, se puede
adquirir el sistema y realizar un análisis “En reposo”.
Técnicas de búsqueda de evidencia
Listado de Archivos: Analiza los archivos y directorios, incluyendo los nombres de
archivos eliminados y nombres de archivos basados en Unicode. Ver Figura 1.
Figura 1. Listado de Archivos con Autopsy
Sleuth Kit Informer #1 / Jail
* Referencia: Sleuth Kit Informer 1
Colocando al HTML en una jaula
Uno de los conceptos clave y mejor conocidos la forensia digital y respuesta de
incidentes es nunca confiar en el sistema sospechoso. Por esta razón se utilizan CDs
conteniendo binarios confiables cuando el sistema está en ejecución y antes de realizar
la adquisición el sistema es típicamente apagado y reiniciado con un kernel confiable. La
misma lógica es aplicada a los archivos ejecutables del sistema sospechoso. Solo deben
de ser ejecutados en entornos controlados para que no puedan destruir la estación de
análisis.
Este concepto también ha sido aplicado a Autopsy cuando se visualizan archivos HTML
desde el cache de un navegador por ejemplo. Los archivos HTML pueden causar
estragos de dos maneras durante la investigación. Primero, pueden contener scripts
dañinos (java script o java por ejemplo), que pueden causar daño a un sistema de
análisis vulnerable. Segundo, el HTML puede causar que el navegador se conecte a un
sitio externo para obtener una imagen u otro archivo. Esto puede alertar a una persona
de la investigación (en un mundo ideal, todos los laboratorios forense están aislados de
internet).
Por defecto Autopsy no interpretará los contenidos de archivos. Por ejemplo, cuando se
selecciona un archivo HTML, se mostrarán las etiquetas y textos en ASCII y no el
documento formateado (siempre que se utilice un navegador HTML). Esto se realiza
configurando el tipo de contenido “content-type” a text (texto) en lugar de html.
Para ciertos tipos de archivos, citamos HTML e imágenes, Autopsy permite al usuario
visualizar los datos interpretados utilizando un enlace “view”. Este enlace abrirá por
defecto el interprete de contenido de archivo en una nueva “celda”. La “celda” por
defecto interpretará el código HTML y dejará sin efecto los scripts y enclaces . Esto se
realiza modificando el HTML de las siguientes manera:
. SRC= se cambia por SRC=AutopsySanitized
. HREF= se cambia por HREF=AutopsySanitized
. <script se cambia por <AutopsySanitized-script
. BACKGROUND= se cambia por BACKGROUND=AutopsySanitized
La parte del servidor web de Autopsy es configurado para reemplazar las peticiones de
imagenes que tienen “AutopsySanitized” con un gráfico definido. Esto permite al
investigador ver la ubicación donde existe una imagen sín conectarse a un sitio externo.
Además si el investigador visita una URL, Autopsy reportará que no se permite al
investigador seguir enlaces externos mientras esta en la jaula. Después de verificar el
contenido de una pagina HTML, el usuario puede salir de la celda utilizando el botón
“Normal” y este puede ser exportado con el botón “Export Contents”.
Es una buena práctica deshabilitar los lenguajes de script en los navegadores sobre las
estaciones de trabajo. Autopsy alertará si su navegador tiene scripting habilitado. La
limpieza que Autopsy realiza cuando se visualizan paginas HTML añade una capa de
protección adicional en caso de que los scripts sean activados accidentalmente, en caso
exista una vulnerabilidad en el navegador, o el sistema esté conectado a internet.
Después de que el investigador ha identificado la pagina como segura, puede ser
visualizada en su formato original.
* Fín de Referencia: Sleuth Kit Informer 1
Contenido de Archivos: Los contenidos de archivos puede ser visualizados en bruto
(raw), hexadecimal o en cadenas ASCII extraidas.
Cuando los datos son interpretados, Autopsy los esteriliza para prevenir daño al sistema
de análisis local. Autopsy no utiliza ningún lenguaje script en el lado del cliente. Ver
Figura 2.
Figura 2. Contenido de Archivos
Base de Datos de HASH: Para identificar rápidamente archivos desconocidos como
confiables o dañidos se realizan operaciones de búsqueda en una base de datos de
hashs. Autopsy utiliza NIST (National Software Reference Library “NSRL”) y bases de
datos de archivos conocidos como confiables o dañinos creadas por los usuarios. Ver
Figura 3.
Figura 3. Autopsy utilizando Bases de datos de hash
Ordenando por tipo de archivo: Para identificar archivos de un tipo conocido, se
ordenan los archivos basándose en sus firmas internas. Autopsy puede extraer también
solamente imágenes gráficas (incluyendo miniaturas). La extensión de un archivo puede
ser comparada también con un tipo de archivo para identificar archivos que pueden
tener su extensión modificada para ocultarlos. Ver figura 4.
Figura 4. Ordenamiento por tipo de archivos
Línea de tiempo de la actividad de archivos: En algunos casos, el tener una línea
de tiempo de la actividad de los archivos puede ayudar a identificar áreas de un sistema
de archivo que podría contener evidencia. Autopsy puede crear líneas de tiempo que
contienen entradas de los tiempos de Modificación, Acceso, y Cambio (MAC) de archivos
asignados y sin asignar. Ver figura 5.
Figura 5. Línea de tiempo de la actividad de archivos
Búsqueda de palabras clave: Las búsquedas de palabras clave en una imagen de un
sistema de archivos puede ser realizada utilizando cadenas ASCII y expresiones
regulares. Las búsquedas pueden ser realizadas en la imagen completa del sistema de
archivos o solamente en el espacio sín asignar. Se puede crear un archivo índice para
una búsqueda más rápida. Las cadenas buscadas frecuentemente pueden ser
fácilmente configuradas dentro de Autopsy de búsquedas automatizadas. Ver figura 6.
Figura 6. Búsqueda de palabras clave
Análisis de Meta Datos: Las estructuras de Meta Datos contienen detalles sobre
archivos y directorios. Autopsy permite visualizar detalles de cualquier estructura de
Meta Datos en el sistema de archivos. Esto es útil para la recuperación de contenido
eliminado. Autopsy buscará los directorios para identificar la ruta completa de un
archivo que tiene asignada la estructura. Ver figura 7.
Figura 7. Análisis de Meta Datos
Análisis de Unidades de Datos: Las unidades de datos son el lugar donde se
almacena el contenido del archivo. Autopsy permite visualizar el contenido de cualquier
unidad de datos en una variedad de formatos incluyendo ASCII, volcado hexadecimal, y
cadenas. Se proporciona también el tipo de archivo y Autopsy buscará las estructuras de
Meta Datos para identificar cuales unidades de datos tiene asignada. Ver figura 8.
Figura 8. Análisis de Unidades de Datos
Detalles de la imágen: Los detalles del sistema de archivos puede ser visualizados,
incluyendo la disposición sobre el disco y tiempos de actividad. Este modo proporciona
información que es de utilida
Crear cuenta
Comentarios de: Autopsy (0)
No hay comentarios