• Se utiliza y gestiona vía web
• Está muy enfocado al análisis forense, por lo que hay disponibles plugins muy concretos para dichos menesteres (como por ejemplo, Geolocalización de tramas, reglas de Yara...)
• Facilidad para la búsqueda e indexado de información dentro de las capturas de red
• Posibilidad de crear GUIs propias debido a que hay disponible una API para todo... Continuar leyendo

Hace unos días una de nuestras usuarias creó un ticket con un correo que le parecía malicioso (una muestra más de que la concienciación en seguridad cuesta de realizar, pero que a largo plazo termina rindiendo beneficios).

La usuaria nos mandó un fichero con extensión .msg (el resultado de "Guardar Como..." en Outlook). Para abrirlo en Ubuntu lo más sencillo es emplear el script en Perl msgconvert.pl, que nos lo convierte a MIME (un formato mucho más estándar y manejable).
Además, el correo trae adjunto denominado "Invoice_4605916.pdf".

Suena raro, ¿verdad?. Pues vamos a extraer ese PDF del fichero en formato MIME para ver qué pinta tiene. Si repasamos un poco el estándar MIME recordaremos que el formato de codificación es base64, así que es tan sencillo como copiar el texto entero desde el principio hasta el final del adjunto (no olvidéis los símbolos "=" si los hubiera, que son el padding de base64) , pegarlo a un fichero de texto, y desde una línea de comandos... Continuar leyendo

Absolution es una herramienta de análisis forense que: recoge, analiza e informa sobre la evidencia digital. La premisa básica de Absolution es proporcionar un solo sistema integrado para examen exhaustivo y robusto de los datos a granel operados en la forma más sencilla posible.

Absolution también tiene como objetivo proporcionar una plataforma extensible utilizable por investigadores avanzados, investigadores, auditores, litigantes, entusiastas y cualquier otra persona que necesita realizar una búsqueda exhaustiva de grandes cantidades de datos.

Cumple con todos los estándares de software forense. Posee una arquitectura extensible que produce salida en formato XML de uso universal. Permite automatizar tantos pasos forenses como sea posible, mejorando el rendimiento de todos los pasos de análisis forenses. Es una herramienta muy útil para las personas que necesitan una rápida respuesta en analisis forense... Continuar leyendo

Desde mediados de los años 90 casi todos los ordenadores que se han vendido, han sido con equipos con arquitectura de 32 bits, y en su mayoría han venido preinstalado con Windows. Después del lanzamiento de Windows 7, las ventas de equipos con Windows de 64 bits han aumentado considerablemente.

El precio de un ordenador con arquitectura de 64 bits ha disminuido tanto que son casi tan baratos como equipos de 32 bits. Y la gente preferirá equipos de 64 bits ya que puede manejar mucho más memoria (RAM).

Un equipo de 32 bits con Windows de 32 bits (valga la redundancia) puede usar un máximo de 3 a 4 GB (RAM) de memoria, sobre todo en torno a 3 GB, debido a que una gran parte del espacio de direcciones es usado por las tarjetas de vídeo y otros dispositivos tales como tarjetas de red, tarjetas de sonido, etc. Con los ordenadores de 64 bits se puede manejar mucha más memoria RAM como por ejemplo 192 GB.

En el momento de evolución de Windows 32 a 64 muchas cosas se han ido... Continuar leyendo

... Continuar leyendo

Recientemente he utilizado la versión 3 de Autopsy, la popular interfaz web de The Sleuth Kit, con idea de ver las novedades respecto a la versión anterior (v2). El hecho de estar acostumbrado a la versión 2, que la v3 sólo estuviera para Windows y además fuese basada en Java, habían hecho que hasta ahora no me hubiese decidido a probarla.

La primera impresión que se tiene de la interfaz de usuario es que es bastante más amigable, moderna y usable que su antecesora web, con un acceso mucho más ágil a las diferentes partes de la... Continuar leyendo

La memoria RAM es uno de los componentes principales de un ordenador, es la memoria en la que se cargan todas las instrucciones que ejecuta el procesador y otras unidades de cómputo. Esta memoria es volátil, lo que quiere decir que cuando se apaga el ordenador y pierde la fuente de alimentación la información que contiene se pierde.

Debido a esto, en la fase de recogida de... Continuar leyendo