Recientemente he utilizado la
versión 3 de Autopsy, la popular interfaz web de
The Sleuth Kit,
con idea de ver las novedades respecto a la versión anterior (v2). El
hecho de estar acostumbrado a la versión 2, que la v3 sólo estuviera
para Windows y además fuese basada en Java, habían hecho que hasta
ahora no me hubiese decidido a probarla.
La primera impresión que se tiene de la interfaz de usuario es que es
bastante más amigable, moderna y usable que su antecesora web, con un
acceso mucho más ágil a las diferentes partes de la aplicación. Una
característica que he visto muy útil es el módulo de
Ingest y la posibilidad de seleccionar los
plugins
que van a utilizarse; de esta forma, para ganar algo de tiempo,
podemos realizar una ingesta de datos con un único plugin para tener
algo sobre lo que trabajar y, mientras realizamos un
análisis
preliminar, podemos dejar cargando y procesando el resto de plugins.
Uno de los plugins que nos puede ahorrar algo de tiempo a la hora de
descartar archivos conocidos sin manipular es la base de datos de
hashes, que compara el hash de los archivos con dicha base de datos. La
base de datos que es de obligada descarga es la
NSRL (National Software Reference Library) del NIST, con un tamaño actual de 6 GB de software conocido (tanto bueno como "malo").
No obstante, hay que recordar que no contiene entradas de malware sino
más bien
herramientas consideradas para hacking, desde nmap a
herramientas de esteganografía. Otra pega es que, al parecer, sólo
contempla versiones de software por defecto sin tener en cuenta las
actualizaciones, por lo que puede crear falsos positivos o alertarnos
ante archivos sospechosos aunque que se trate de actualizaciones
lícitas.
Contenido completo en fuente original Security Art Works
