(Un pequeño artículo que tuve que realizar para un módulo de ASIR)
E-fense tiene varias versiones de Helix dependiendo de la implementación que se quiera realizar, veamos que productos ofrece:
Helix: Versión gratuita, parece una versión liberada en 2009, en concreto la denominada 2009R1. Al acceder al link del producto que ofrece e-fense, tras un registro mínimo de nombre, apellidos y dirección de mail, te reenvia a la página donde puedes descargar la imagen .iso:
Al tener la imagen .iso, creamos una máquina virtual para comprobar el producto:
Realizamos el arranque como un liveCD:
Podemos destacar, ya que hemos hablado de ello en un apartado anterior, a Autopsy por ejemplo. Además posee wireshark, truecrypt, etcétera.
Helix Pro: Para realizar imágenes de disco forense a través de múltiples plataformas o plataforma forense segura para vistas previas del sistema. En este caso se trata de un LiveCD y booteable que es multiplataforma: MacOS X, Windows y Linux. Permite hacer imágenes forenses de todos los dispositivos internos, hacer una imagen forense de la memoria física (32 y 64 bits) o determinar si el cifrado a nivel de disco está activado.
Es un entorno forense para arrancar cualquier sistema x86 y con el que podremos hacer imágenes forenses de todos los dispositivos o buscar sistemas de archivos para tipos de archivo específicos, como por ejemplo, Archivos gráficos, Archivos de documento, etcétera.
Posee varias aplicaciones forenses de código abierto para ayudar con el análisis de datos incluyendo análisis de teléfonos móviles:
- Sleuthkit
- LinEn
- Libewf + mount_ewf
- Caravanas
- criptografía
- Truecrypt
- lvm2
- Bisturí
- Primero
- LibPff
- Volatitity con muchos plugins
- moto4lin
- gmobilemedia
- gammu
- gnokii
- frag_find
- pythonraw
- ptfinder
- Descargar Helix3 Pro
- Descarga de Helix3 Live CD
- Manual completo de Helix3
- Soporte Telefónico y Acceso al fooro de Sólo Miembros. Los expertos de e-fense estarán en línea durante las horas de oficina para responder a las preguntas realizadas.
Se integrada en la red y ofrece visibilidad en toda la infraestructura, revela actividades maliciosas como el abuso del uso de Internet, el uso compartido de datos y el acoso. También permite aislar y responder a incidentes de seguridad o amenazas de forma rápida y sin detección de usuarios a través de una herramienta de administración central.
Permite detectar, identificar, analizar, conservar e informar rápidamente, aportando las evidencias de cara al tratamiento de un incidente de seguridad.
Este producto ofrece en su página web una evaluación gratuita de 30 días, lo que es muy interesante a la hora de evaluar el producto. Además muestran algunas características:
Fácil de usar: El fabricante muestra la cara mas amable, parece que se controla a través de una interfaz gráfica fácil de usar que funciona con cualquier sistema operativo. Parece tan sencilla que apenas requiere formación al respecto.
- Rápida implementación: Parece que al integrarla en la red permite un despliegue sencillo y centralizado.
- Revisar el uso de Internet por parte de los empleados. Permite revisar rápidamente el historial de uso de Internet de un empleado, viendo qué buscaba y qué sitios visitaba.
- Captura de pantallas y registro de teclas. Se puede realizar una captura de pantalla o registro de claves en cualquier sistema de la red. En cualquier momento se puede observar lo que hay en la pantalla de un equipo . De forma rápida se puede activar o desactivar el registro de teclas de un equipo .
- e-discovery en toda la red. puede buscar archivos en toda su red con tres métodos diferentes:
- Sellos de fecha y hora.
- Palabras clave en nombres de archivo, contenido de archivo y expresiones regulares.
- Valores de Hash para métodos forenses.
- Capacidades sofisticadas de técnicas forenses. Recopila imágenes forenses de sistemas incluyendo RAM a través de múltiples plataformas, procesos en ejecución, variables de entorno, etcétera.
- Herramientas de Informe. Puede obtener informes concisos sobre las auditorías realizadas y ejecutar informes personalizados basados en muchos criterios diferentes.
Por un lado parece que es una herramienta que va a permitir el cumplimiento de normativa de seguridad, además de ser una protección contra una conducta inapropiada de los empleados. El hecho de que aporte evidencias de cara a un juicio parece que es una herramienta muy útil ante empleados descontentos y que puedan ocasionar daños a la empresa de forma voluntaria o incluso involuntaria. Además en las versiones Pro y Enterprise ofrece un sistema centralizado de cara a un administrador de red, tener una consola central desde donde obtener evidencias parece todo un lujo.
Links consultados:
http://www.e-fense.com/products.php
F.I.R.E.: anteriormente conocido como Biatchux, es una distribución Linux portátil y arrancable basada en CD-ROM que proporciona un entorno inmediato para realizar análisis forenses, escaneo de virus y recuperación de datos. También proporciona las herramientas necesarias para la respuesta forense, análisis y tratamiento de incidentes de seguridad, así como evaluación de vulnerabilidades.
Es un proyecto para los auditores informáticos y es evidentemente un conjunto de herramientas orientadas al campo de la auditoría forense electrónica. Creada y mantenida porWilliam Salusky y es un software descargable.
Como características principales se podría enumerar de forma genérica:
- Estación de trabajo forense
- Recuperación de datos de particiones dañadas o sometidas a incidencias
- Sistema de respuesta a Incidentes. Capacidad para recolectar datos de un entorno informático sometido a intrusión o ataque
- Plataforma de Pentesting. Posibilidad de realización de test de penetración y vulnerabilidades.
- Nessus
- Nmap
- Whisker
- hping2
- hunt
- fragrouter
- Ethereal
- Snort
- Tcpdump
- Ettercap
- Dsniff
- airsnort
- chkrootkit
- F-Prot
- Tct
- Tctutils
- Autopsy
- Testdisk
- Fdisk
- gpart
- SSH (client and Server)
- VNC (client and server)
- Mozilla
- ircII
- mc
- Perl
- Biew
- Fenris
- gpg
Parece un proyecto abandonado desde el año 2014, de hecho cuando intentas descargar el software a través del enlace de su página web, te direcciona a sourceforge.net:
Al arrancar se nos ofrece un menú:
- Configuración básica, red, etcétera
- Herramietnas Forenses
- Escaneado de Virus
- Herramientas de Penetración
Podemos comprobar que al lanzar Autopsy nos pregunta que es el investigador, sobre que ip queremos lanzarlo. Al configurarle como ip localhost, se arranca el servicio y nos ofrece el link para acceder a la herramienta: http://8888/autopsy:
En general este conjunto de herramientas entre las que se encuentran herramientas muy conocidas, parece que en su momento pudo ser un buen punto de partida para un equipo sobre el que trabajar en Hacking ético y labores forenses. Ahora bien, se nota, no solo por con como es el entorno, sino por las versiones que maneja a nivel de las aplicaciones, que es un software obsoleto.
A modo de ejemplo, Pandora en esta suite está en la versión 4.1, cuando actualmente la última versión liberada es la 7. Si comprobamos de cuando es la versión 4 de pandora, podemos ver que es de Junio de 2013:
En los últimos años ha evolucionado mucho este tipo de herramientas. Por poner un ejemplo de punta de lanza, actualmente un Kali 2017.2 posee un desproporcionado número de herramientas para poder utilizar en Auditorias forenses o de seguridad en general.
Pero bueno, a pesar de este “pequeño” detalle, parece un bueno comienzo para establecer una base de cómo debería de montarse ir siendo una distribución específica, con un uso muy concreto y que además sea LiveCD para poder lanzarlo sobre casi cualquier equipo.
Links consultados:
http://biatchux.dmzs.com/
https://sourceforge.net/projects/biatchux/files/
http://best-data-recovery.freehostia.com/forensics-analysis-virus-scanning-data-recovery-fire.php
https://en.wikipedia.org/wiki/Pandora_FMS#Releases
SaluDOS.
