Belkasoft Forensic Studio Ultimate. Conclusiones


Después de varias semanas probando Belkasoft Forensic Studio Ultimate / Evidence Center gracias a una licencia temporal que me cedieron desde Belkasoft, voy a cerrar esta serie con mis impresiones personales sobre este producto.

Hasta el momento he colgado todo estos artículos detallando las pruebas que he realizado:

Resumen ejecutivo
Belkasoft Forensic Studio (o Evidence Center) Es un software potente que requiere una inversión relativamente baja (unos 1.000 dólares USA). Si trabajas como perito informático y necesitas procesar evidencias voluminosas merece la pena adquirirlo. Cuanto más voluminosa sea la evidencia y más variados los tipos de datos a procesar más rentable resultará la inversión.
La alternativa al producto de Belkasoft es EnCase que es la referencia del sector y que cuesta cuatro veces más. Para un laboratorio donde trabajen varios peritos igual es más interesante comprar EnCase porque es mucho más popular y porque permite desarrollar extensiones a medida mediante EnScript (un lenguaje propietario).

Principales ventajas
Lo que más me ha gustado de Forensic Studio:
  • Fácil de usar, coherente, sencillo.
  • Organizado, es muy fácil clasificar información de diferentes casos o incluir en un caso varias evidencias diferentes.
  • Bastante ágil cuando se manejan volúmenes de información por debajo de 10 GB. A partir de aquí se hace cada vez más pesado aunque imagino que esto depende mucho de la configuración del sistema que estemos usando.
  • Soporta miles de pruebas, incluyendo pruebas no tan populares como sistemas de mensajería instantánea chinos, rusos, coreanos, etc.
  • Busca información "fuera de archivos": memoria, ficheros borrados, etc.
  • Permite pasar fácilmente al modo manual: visor hexadecimal, ubicación de las pruebas por desplazamiento y longitud, etc.
  • Está orientado a usuarios técnicos avanzados: permite trabajar con las pruebas recuperadas mientras el programa sigue analizando datos, se pueden repartir las ventanas en múltiples monitores, etc.
  • Muy productivo a la hora de recuperar muchísimas pruebas (aunque, a veces, provoque falsos positivos).
Funciones que estarían bien ("nice to have")
Lo siguiente no son inconvenientes, más bien algunas funciones que, después de usar el software estas semanas, me hubiese gustado añadir:
  • Posibilidad de grabar desde el propio visor hexadecimal. Cuando se localiza un trozo interesante dentro de un área de memoria (por ejemplo), se puede ver el contenido en el visor pero hay que ir al fichero original para cortar el bloque interesante. No costaría nada poder exportar el bloque de bytes "en bruto" desde el visor.
  • Herramientas de análisis personalizadas. No sé si un lenguaje de script, pero al menos algún mecanismos para añadir nuestros propios tipos de pruebas para extender el producto. ¿qué pasa si tenemos que analizar un disco duro que usa algún software no muy popular que no está soportado? Se me ocurren dos tipos de extensiones:
    • Configuración similar a la de scalpel donde puedes indicar la estructura de los ficheros a buscar, indicando una firma característica, una estructura típica, tamaño, etc.
    • Un filtro tipo strings que exporte todo el contenido que parezca una cadena de texto. 
  • Un visor para bases de datos SQLite. Está bien localizar los datos pero, como antes, sería más cómodo poder analizar el contenido desde la propia herramienta.
Inconvenientes, problemas, defectos
  • La traducción al español es horrible. Lo peor de una traducción no es que sea extraña o poco común, lo peor es que sea confusa. Si tuviese que instalar otra vez el programa lo haría directamente en inglés.
  • Las tareas que llevan mucho tiempo parecen bloquear el programa, por ejemplo, al recuperar ficheros borrados de la imagen de 100GB. Está claro que es comprensible pero sería de agradecer que el software atendiera a los eventos de Windows para que el usuario no aborte el proceso temiendo que se ha quedado colgado.
  • Durante las pruebas se ha quedado colgado una vez. Esto no es grave pero que el programa se cuelgue después de 4 horas de trabajo no debe hacer mucha gracia cuando tienes un deadline a la vista.
  • Consume un gran volumen de espacio en disco, el análisis del disco de 100GB ocupó en mi sistema 28GB. Estos no son los datos recuperados, son las referencias a los datos recuperados (lo que creció la base de datos con el nuevo caso, vamos).
  • Las pruebas extraídas de memoria (volcado de RAM, ficheros de hibernación y paginación) no se pueden exportar directamente a archivo. 
  • No detecta la información de algunas máquinas virtuales. Esto es un problema porque el uso VM se está extendiendo entre los usuarios menos técnicos.
  • Soporta varios servicios cloud pero no soporta "Ubuntu one", casualmente el que uso yo.
  • Utiliza MD5 como algoritmo Hash. Y no tiene opción para añadir otros algoritmos.
Recomendaciones de despliegue y configuración
Está claro que nadie compra e instala una solución de este tipo para fines "recreativos". Los usuarios que compran estas soluciones son profesionales cuyo trabajo depende del buen funcionamiento del mismo. Desde este punto de vista es lógico pensar que el usuario debe maximizar el rendimiento del software y minimizar los riesgos de indisponibilidad, pérdida de datos y demás incidentes. Con la experiencia de un par de semanas que acumulo, me atrevo a enumerar una serie de recomendaciones básicas a los futuros usuarios del Forensic Studio:
  • Comprar el software y contratar el mantenimiento anual. El mantenimiento sale por unos 300$ al año. Un usuario profesional de una herramienta de este tipo no se puede permitir el lujo de quedarse obsoleto o sin soporte. 
  • Utilizar un equipo específico para este software. No digo que haya que tener un ordenador para cada aplicación que usemos pero, en este caso, Forensic Studio no debería instalar en un ordenador de uso personal, un portátil o cualquier "trasto" que tengamos rodando por el laboratorio.
  • No instalar en una máquina virtual. Por prestaciones y porque añade un nivel más de drivers al acceso a los discos que puede impedir utilizar algunas funciones de exploración.
  • Prestar atención a la configuración de memoria y disco duro. La velocidad de lectura de disco es crítica y para eso yo compraría una unidad RAID externa con 4 bahías "hot-swappeables" y conectores eSATA / USB 3.0 donde poder "enchufar" los discos que se traigan del "campo de batalla". También es importante usar SATA para los discos que sean SATA: los adaptadores USB son prácticos pero pierden prestaciones (y algo de información de bajo nivel) con la traducción. 
  • Usar base de datos MS SQL Server en lugar de SQLite. Por muchos motivos: acceso multiusuario, prestaciones, copias de seguridad, herramientas de optimización, etc

Con esto doy por terminado el análisis que he podido realizar de este programa. Hope it helps!

</ Belkasoft Forensic Studio Ultimate. Conclusiones>



3 comentarios:

  1. Hola, qué pedazo de análisis de esta herramienta. Reconozco que muchos términos que utilizas me suenan a chino, pero en general ha quedado muy claro cómo funciona, las ventajas, inconvenientes y mejoras que sugieres.
    No sé cómo tienes tiempo de probarla, si para hacer este tipo de testeo suelen pagar, pero da igual que haya remuneración, pues las conclusiones son lo importante, y para los profesionales que se dediquen a este tipo de peritaje, seguro que si leen tu artículo sabrán muy bien a qué atenerse a la hora de comprar el producto.

    Felicidades, analizas y escribes muy bien, a ver si me paso más por aquí.
    Saludos cordiales.

    ResponderEliminar
  2. Por supuesto que no me han pagado por hacer esto. Simplemente asistí a un curso online de la herramienta, probé el Ram Capturer y Belkasoft me cedió una licencia temporal para que probase el Forensic Studio. La licencia es una licencia temporal de un mes, no es gran negocio.

    Gracias por el comentario,

    ResponderEliminar
    Respuestas
    1. Noto que te he podido molestar al sugerir la posibilidad de cobrar, no era mi intención. Ya sé que estarías probando una licencia, pero al no conocerte ni haber "cotilleado" mucho tu perfil, no sabía muy bien cuál era el caso, y puede que haya empresas que paguen a testers. En cualquier caso, ya ves que le he restado importancia a ese hecho, y que lo que me resulta valioso de tu post son las conclusiones sobre el producto.
      Me alegra que haya gente que le saca partido a los cursos online :)
      Saludos.

      Eliminar