viernes, febrero 03, 2012

Forensic FOCA beta trial

Desde el mes de Septiembre de este año pasado se ha estado trabajando en la generación de una nueva herramienta de Informática64 basada en FOCA, pero centrada para el trabajo de un analista forense, a la que bautizamos como la Forensic FOCA.


Habíamos recibido ya anteriormente muchas peticiones al buzón de correo de amigosdelafoca@informatica64.com solicitando funciones para analistas forenses, como la generación de hashes, o la posibilidad de poder cruzar mejor los datos que se extraían de los ficheros, y yo andaba con la idea de hacer algo que pudiera dar respuesta a esas necesidades. Sin embargo, no quería seguir alimentando el proyecto FOCA con más funciones diversas, ya que queremos dar continuidad a la parte de plug-ins en auditoría de seguridad web, así que decidí que era el momento de hacer un spin-off y crear otra herramienta, de la que hoy os hablo por primera vez, y de la que solo dejé a mi amigo DarkOperator hablar antes de ella.

Forensic FOCA es una herramienta que extrae metadatos de documentos ofimáticos, algo que también hace la versión normal de FOCA, pero a diferencia de la versión pensada para pentesters, en Forensic FOCA se ofrecen herramientas para generar un caso forense. Así, está pensada para trabajar en local y no en remoto, por lo que el analista debe tener en su poder los ficheros del caso, o un disco copiado y montado en el sistema.

Figura 1: Listas de documentos con hashes y extracción de metadatos en curso

Una vez que se agregan todos los ficheros al proyecto, Forensic FOCA genera hashes MD5, SHA1 o SHA256 para que puedan identificarse de manera fiable los ficheros, extrae los metadatos y genera la lista de documentos con la información obtenida de cada uno de ellos, así como las de usuarios, impresoras, rutas, etc...  tal y como se ve en la Figura 1.

La parte más novedosa, es que Forensic FOCA genera un Time-Line con los metadatos de todos los ficheros. Es decir, muchos de los metadatos contenidos en documentos ofimáticos hacen referencia a fechas de creación, edición, impresión o guardado, y Forensic FOCA los ordena para hacer una linea temporal que le de al analista forense todos los datos que se pueda para que intente resolver el misterio y encontrar las evidencias.

Figura 2: Linea temporal de metadatos filtrado por usuarios

Por supuesto, para que sea cómodo moverse entre toda la lista de información se ha añadido un sistema de filtrado por fechas, por tipo de documentos o por usuarios, lo que hace que baste con hacer clic en un usuario para que se acceda a la linea temporal de esa única persona.

Figura 3: Configuración de filtros de búsqueda en línea temporal

Como última opción, se ha añadido un módulo de impresión de reportes y exportación directa a impresora o a ficheros PDF, XML o HTML para que sea posible procesar los datos en cualquier informe.

Figura 4: Informe en formato XML

La herramienta será con licencia comercial, pero estamos evaluando la posibilidad de dejar algunas versiones Lite. Por otro lado, el precio que estamos barajando para esta herramienta no creo que deje a nadie muerto, pues estamos pensando en valores entre 20 o 40 dólares, que nos permitan sufragar un poco la inversión en recursos para generarla.

Figura 5: Informe en formato HTML

Ahora mismo hemos puesta una versión trial en descarga directa para que la probéis y juguéis con ella. En esta versión hay soporte sólo para documentos Microsoft Word y está disponible en el siguiente enlace: Descargar Forensic FOCA beta trial

Saludos Malignos!

10 comentarios:

  1. No por Diosss!! Otra FOCA noooo!!!

    ResponderEliminar
  2. Bueno mira, ya tienes material para la Rooted, la NCN, la Lacon, la DEFCON, la Blackhat, la Troopers, la Ekoparty.... la (\w+CON)..... :D

    ResponderEliminar
  3. Unlimited Foca's powers! Fear the foca. Mother foca!!!

    ResponderEliminar
  4. Habrá que probarla.!!
    Chema, ¿ es del estilo de RegRipper?.
    No obstante felicidades por la suite.

    ResponderEliminar
  5. Tendremos que ver la herramienta y también cómo se "porta" en Linux ;)

    ResponderEliminar
  6. @Anónimo: La RootedCon del 2012, la RootedCon del 2013, la RootedCon del 2014... ;)

    ResponderEliminar
  7. De aquí a nada... la FocaCON.... de mascota Cálico Electrónico jaja

    ResponderEliminar
  8. Sí, como en la Rooted 2011 que hablamos de DUST y en la del 2012 que hablamos de Javascript Botnets....

    }XD FOCA Rul3z!

    ResponderEliminar
  9. Soy profesor y creo que me va a venir de perlas para saber quien se me ha copiado en los ejercicios y trabajos que les mando a mis alumnos y que les pido me envien por correo. :P

    ResponderEliminar
  10. Muy buena herramienta!!! ya que estoy comenzando con foca, aqui va su prima je! que tengas una excelente semana!!!

    ResponderEliminar