#DFIR: No. Kali no es una distribución orientada al análisis forense digital

Hola, secuaces:

Permítanme ser directo. No. Kali Linux no es una distribución centrada en el análisis forense digital.

Permítanme también explicarlo. A lo largo de estos años se han publicado varios artículos, algunos de ellos en medios de comunicación de cierta relevancia dentro de las comunidades Infosec y DFIR, bajo los títulos "Las mejores distribuciones para el análisis forense digital", "Las mejores herramientas forenses de código abierto", o títulos similares.

Dentro de estas listas se encuentra, la mayoría de las veces, la distribución Kali Linux, y en muchos casos incluso por delante de otros sistemas que han sido realmente desarrollados para el análisis forense digital.

No seré yo quien les diga que no usen Kali para el análisis forense digital. De hecho, nadie debería decirles qué usar para el análisis forense digital. Tengan en cuenta que una distribución no es más que un sistema operativo, (Una herramienta), con otro conjunto de herramientas instaladas.
Deben usar algo, (llámenlo Windows, Linux, Mac OS, ...), con lo que les resulte cómodo trabajar, con lo que les apetezca llevar a cabo un análisis.
Por ello es vital conocer qué opciones tenemos disponibles. Porque las herramientas, como todo, también evolucionan.

Existen actualmente muchos sistemas y distribuciones que han sido desarrolladas para una labor específica dentro del área DFIR. Kali, en mi opinión, no es una de ellas. De hecho, si nos fijamos en la parte superior del cuerpo de su página principal se puede leer claramente un mensaje, un lema, que dicta: "Nuestra Distribución de Pruebas de Penetración Más Avanzada de la Historia."

(Fin de mi alegato).


Es cierto que Kali Linux tiene detrás un desarrollo muy grande, con una comunidad también muy grande y con el apoyo de 'Offensive Security'. Pero no es una distribución orientada al análisis informático forense.

A continuación voy a enumerar algunos Sistemas desarrollados para tratar en el area DFIR, sin entrar a valorarlas porque, permítanme que insista, nadie debe decirles qué deben usar. Sin entrar a valorarlas porque son ustedes quienes deben conocer, si no lo han hecho ya, quienes deben probar, si no lo han hecho ya, y quienes deben verter sus propias opiniones, si no lo han hecho ya, sobre cada una de las herramientas disponibles, sin influencias externas. Cada persona tiene sus gustos y cada persona tiene sus necesidades, (Incluso sus intereses).

Sistemas Operativos Live


WinFE, (Windows Forensic Environment): GratuitoWinFE es un Sistema basado en el entorno de pre-instalación de Windows, (WinPE). Puede ser construido bajo Sistemas Windows 7 y bajo Sistemas Windows 10. Y también puede ser personalizado a las necesidades de cada uno, con las herramientas que se necesiten, además de las que ya lleva integradas. 


Helix: Gratuito. Helix es una distribución personalizada, basada en Ubuntu, con una excelente detección de hardware y muchas aplicaciones dedicadas a la respuesta a incidentes y al análisis forense. 


DEFT Zero, (Digital Evidence & Forensic Toolkit): Gratuito. DEFT es una distribución personalizada, del CD en vivo de Línux de Ubuntu. Es un sistema fácil de usar que incluye excelente detección de equipo y algunas de las mejores aplicaciones de código abierto dedicadas a la respuesta ante incidentes y al análisis forense computacional.


Paladin Edge: Gratuito. Paladin Edge es una distribución Linux en vivo modificada, basada en Ubuntu, que simplifica varias tareas forenses de una manera bien estructurada a través de la caja de herramientas PALADIN.


Tsurugi AcquireGratuito. Tsurugi Acquire es una versión ligera y optimizada de Tsurugi Linux LAB, (Que les mostraré un poco más adelante), cuyo objetivo es proporcionar las herramientas básicas necesarias para arrancar un PC y adquirir dispositivos de almacenamiento masivo. Se instala un pequeño subconjunto de herramientas para hacer el ISO más pequeño y su propósito principal es ser rápido al arrancar, residir fácilmente en la RAM y soportar tantas arquitecturas como sea posible.


Laboratorios


CAINE, (Computer Aided INvestigative Environment): Gratuito. CAINE es una distribución en vivo de GNU/Linux basada en Ubuntu creada como un proyecto de computación forense. Ofrece un ambiente forense completo organizado para integrar herramientas de software ya existentes como módulos de programa y proveer una interfaz gráfica amistosa. Los objetivos de diseño principales a los que CAINE apunta a garantizar son: Un ambiente interoperable que apoye al investigador digital durante las 4 fases de la investigación digital, una interfaz gráfica amigable con el usuario y un resumen semiautomatizado del reporte final.


RŌNINGratuito. RŌNIN es una distribución de seguridad Linux, basada en Lubuntu, que proporciona una plataforma para la formación y la realización de análisis forenses de datos profesionales, pruebas de penetración y respuesta a incidentes. El objetivo principal de RŌNIN es proporcionar un escritorio Linux rápido y ligero junto con una curaduría de herramientas y recursos de seguridad que sean relevantes para profesionales, instructores y estudiantes por igual.


LosBuntuGratuito. LosBuntu es una distribución de Live DVD Linux que puede ser usada para asistir en investigaciones forenses de datos. LosBuntu es el resultado del deseo de tener una distribución forense de arranque con todas las herramientas y características que nos gustan.


SantokuGrautito. Santoku se especializa en análisis forense móvil, análisis y seguridad, y se presenta en una plataforma de código abierto fácil de usar.


PaladinGrautito. PALADIN es una distribución Linux en vivo modificada, basada en Ubuntu, que simplifica varias tareas forenses de una manera científicamente correcta a través de la caja de herramientas PALADIN. PALADIN es una solución completa para triaje, imágenes, exámenes e informes.


DEFT(Digital Evidence & Forensic Toolkit): GratuitoDEFT es una distribución hecha para Digital Forensics and Incident Response, con el fin de correr en vivo, o ser instalado, en sistemas sin alterar o corromper dispositivos, (discos duros, pendrives, etc...), conectados al PC/Mac donde se lleva a cabo el proceso de arranque.


Tsurugi LABGratuito. Tsuguri LAB es una distribución Linux altamente personalizada diseñada para apoyar sus investigaciones DFIR, análisis de malware y actividades de inteligencia de código abierto. En esta distribución se incluyen las últimas versiones de las herramientas más famosas que necesita para llevar a cabo una investigación forense o de respuesta a incidentes en profundidad y varias características útiles como el bloqueo de escritura de dispositivos a nivel de kernel, un conmutador de perfiles OSINT y mucho más.


Laboratorios, (OVA)


SIFT, (SANS Investigate Forensic Toolkit): GratuitoSIFT es un conjunto de herramientas forenses y de respuesta a incidentes de código abierto y gratuitas diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos. Puede adaptarse a cualquier tipo de respuesta a incidentes y a cualquier conjunto de herramientas forenses.


XplicoGratuito. Xplico es una herramienta de análisis forense de red, (NFAT), que es un software que reconstruye el contenido de las adquisiciones realizadas con un rastreador de paquetes (por ejemplo, Wireshark, tcpdump, Netsniff-ng).


HoneyDriveGratuito. HoneyDrive es la principal distribución de Linux de honeypot.


SkadiGratuito. Skadi es una compilación gratuita y de código abierto de herramientas que permite la recopilación, procesamiento y análisis avanzado de artefactos e imágenes forenses. Se puede escalar para trabajar eficazmente en portátiles, ordenadores de sobremesa, servidores y la nube.


REMnuxGratuito. REMnux es un kit de herramientas gratuito de Linux para ayudar a los analistas de malware con la ingeniería inversa de software malicioso. Se esfuerza por facilitar a los investigadores forenses y a los encargados de la respuesta a incidentes el comenzar a utilizar la variedad de herramientas disponibles, de forma gratuita, para el examen de malware.


DEFT XGratuito. DEFT X es un sistema completo dedicado al análisis forense y a la gestión de incidentes. 


Personalización de Sistemas


Es cierto que Kali presenta algunas herramientas para efectuar algunas tareas de análisis forense informático. Lo mismo que presentan otras distribuciones, como pueden ser BackBox o Parrot. Pero no por ello son distribuciones orientadas al análisis forense. En mi opinión, son distribuciones orientadas a la Seguridad, en general.

Como han podido ver, disponemos de muchos sistemas desarrollados específicamente para realizar la tarea específica en el area DFIR. También es cierto que los sistemas que he mencionado anteriormente vienen preconfigurados. Pero podemos personalizar algunos de estos sistemas, según nuestras necesidades. Recuerden que, sobre todo, debemos usar algo con lo que nos sintamos cómodos trabajando.

Por poner algunos ejemplos, podemos usar una distribución limpia e instalar nosotros mismos las herramientas que nos vayan haciendo falta, según nuestras necesidades. O podemos usar el propio Sistema Operativo Windows 10. Con él se pueden hacer grandes cosas. Desde el uso de pequeñas utilidades forenses que no requieren ser instaladas, hasta el uso de suites forenses avanzadas. Incluso, si instalamos el WSL, (Windows Subsystem for Linux), podemos gestionar la instalación de SIFT en él. 


También podemos instalar un Sistema Lubuntu y, sobre él, proceder con esa misma configuración de SIFT, pero en un entorno mucho más liviano que en el caso del entorno del fichero '.ova'.


Y del mismo modo podemos proceder con otras distribuciones como, por ejemplo, REMnux y Xplico, que pueden ser instaladas de forma conjunta en un único Sistema Lubuntu.


O con Skadi, que permite ser instalado en un Sistema Lubuntu mediante el uso de un script. 


Como pueden apreciar ustedes, se disponen de muchísimas opciones para practicar DFIR con una configuración apropiada. Y si esto no les complace, incluso pueden hacer ustedes uso de BitScout, que es una herramienta de construcción de SOs en vivo, personalizable, escrita exclusivamente en bash. Su propósito principal es ayudar a crear rápidamente nuestra propia imagen de disco de arranque forense.

Les vuelvo a insistir, usen el sistema que quieran, la distribución que deseen, para lo que quieran, (Que nadie les digan lo tienen que usar), pero por favor, llamen a cada cosa por su nombre. Kali no es una distribución orientada al análisis forense digital.

Y si desean ustedes saber cuántos sistemas y distribuciones tienen a su disposición, les referencio algunos enlaces interesantes:






Esto es todo.

Share:
spacer

No hay comentarios:

Publicar un comentario