Pues bien, la gente de Belkasoft me ha cedido una licencia temporal de su herramienta "Forensic Studio Ultimate" para que compruebe de primera mano las posibilidades de este software tanto para analizar volcados de memoria (como los generados por Ram Capturer) como sus otras posibilidades. "Forensic Studio Ultimate" es una evolución del "Evidence Center" que ya conocíamos. En la web de Belkasoft se puede comprobar la interminable lista de funciones que contiene este Software.
Mientras dure la licencia voy a analizar este producto y colgaré en el blog las pruebas que realice y mis impresiones al respecto. Aunque en la licencia tengo activadas un montón de funciones (casi todas) voy a centrarme en los usos más comunes en mi actividad como perito informático: análisis de contenido "estático" de discos duros (documentos, imágenes, recuperación de ficheros borrados, etc.), documentación de la actividad de a un ordenador (correos electrónicos, mensajería instantánea, etc.), análisis de dispositivos portátiles (tablets, smartphones, etc.).
¿Qué es Belkasoft Forensic Studio Ultimate?
Es una herramienta que automatiza algunas de las tareas habituales de un perito informático. Está centrado en el análisis de datos procedentes de un ordenador personal (Windows, Mac, Linux). De forma resumida, este software toma una fuente de información "en bruto", la analiza y presenta de forma organizada todo lo que encuentra.
La fuente puede ser un directorio con archivos, una imagen de memoria (obtenida con Ram Capturer), un disco que conectemos al equipo (via USB o conectado directamente dentro del equipo), un fichero con la imagen de un disco (generado con dd o dc3dd, por ejemplo).
Lo que encuentra es .... "casi todo lo imaginable": archivos de todo tipo (imágenes, documentos office, openoffice, pdf, etc.), información de los navegadores (historial), mensajes de correo electrónico (gmail. outlook, hotmail, etc.), historial de mensajería instantánea, actividad en redes sociales, etc.
Además, realiza algunas tareas de forma automática que, de otra manera, tendría que hacer el perito a mano a costa de su precioso tiempo: descifra archivos (office, outlook, pdf, zip, etc.), localiza y muestra imágenes contenidas en thumbnails, extrae bases de datos SQLite, clasifica automáticamente imágenes y vídeos (en "porno", "caras", "textos"), identifica archivos locales que están sincronizados en algún servicio cloud, localizar archivos borrados, etc.
Se puede decir, simplificando aún más, que es una alternativa (3 veces más barata, aproximadamente) al famoso Guidance EnCase.
¿Qué NO es Belkasoft Forensic Studio Ultimate?
No es un software para que una persona sin conocimientos haga una pericial forense sin tener ni idea. Una persona sin conocimientos puede usar esta herramienta para "jugar" pero, desde luego, no puede presentarse delante de un tribunal diciendo "yo no tengo ni idea de hacer periciales informáticas pero me compré un programa y aquí estoy".
No escribe informes automáticamente. Es decir, el perito informático tiene que escribir y argumentar el informe aunque la herramienta le ayude a localizar las evidencias. El software aportará listados interminables con nombres de archivos, fechas, etc. pero la parte importante del informe lo tendrá que trabajar el perito en persona.
No exime al perito de conocer el fundamento técnico de las pruebas que presenta. Esto es importante: el software puede localizar una fotografía escondida (en memoria, en un thumbnail.db, dentro de un e-mail, en un archivo borrado, etc.) pero el perito debe ser capaz de argumentar cómo ha llegado esa fotografía desde la evidencia (el disco duro incautado) hasta el informe pericial. Es conveniente que el perito sea capaz de repetir manualmente (herramientas estándar, editor hexadecimal, etc.) el proceso seguido por la herramienta.
¿Merece la pena una herramienta de este tipo?
Pues, depende. Depende de cuánto tiempo y esfuerzo supone de ahorro tener esta herramienta frente a la opción de hacer el análisis manualmente o programar uno mismo las herramientas según las va necesitando.
Forensic Studio Ultimate sale por 1.000 dólares USA (precio en la web de Belkasoft) y el mantenimiento unos 300 dólares / año. No es muy caro, de hecho parece que el mensaje de sus creadores es ser "la versión barata de EnCase" (y rusa). Personalmente una herramienta de este tipo me merece la pena si me ahorra trabajar un par de fines de semana al año (todos los años tengo varios fines de semana que me paso programando, revisando ficheros en hexadecimal o recuperando trozos de archivos borrados para un informe que hay que entregar "urgentemente" la siguiente semana).
Durante las próximas semanas publicaré aquí las pruebas que vaya realizando, que son: análisis de un volcado de RAM, análisis de una tarjeta de memoria de un Smartphone, análisis de un sistema completo Windows 7, etc. No son casos elegidos al azar, es simplemente en lo que estoy trabajando ahora.
</ Belkasoft Forensic Studio Ultimate. Introducción>
No hay comentarios:
Publicar un comentario