Manual NO Oficial de la FOCA Forensic

La FOCA Forensic es una nueva herramienta de la suite "FOCA" (ya tenemos la FOCA Classic, La FOCA Forensic y pronto la Evil FOCA) que los chicos de informatica64 crearon para facilitarle la vida a los investigadores forenses a la hora de extraer y analizar los meta datos de un conjunto de documentos.

Analizar grandes cantidades de documentos sin un sistema de automatización que nos ayude es algo complicado y que requiere de mucho tiempo en una investigación forense digital, por eso una herramienta como la FOCA Forensic es tan útil en estos casos, con este texto se pretende crear un manual NO OFICIAL de esta herramienta, para sacar el máximo provecho de ella y extender su utilización.

Lo primero que nos encontramos al abrir la herramienta (una vez descargado el archivo de licencia especifico para tu equipo) es el asistente que nos guiará paso a paso en el proceso de crear un nuevo proyecto.

En el solo debemos poner el nombre del nuevo proyecto, la fecha y una nota opcional para referenciar mejor el proyecto que estamos iniciando, si ya tenemos un proyecto creado y deseamos continuar trabajando con el, debemos darle al botón "Skip", pero como no es nuestro caso, damos a "Next" y continuamos.

Después de definir el nombre del nuevo proyecto, pasamos a darle la ruta donde deseamos buscar los documentos a los que la FOCA Forensic puede extraerles información, aquí podemos definir una carpeta en especial como "Mis Documentos" o una partición entera como "C:\".

La herramienta es capaz de analizar los metadatos de una larga lista de formatos que podemos ver a continuación aunque en su interface solo cite los .doc y docx o los .jpg y .svg:

  • Microsoft Office 2007 y posterior (.docx, .xlsx, .pptx, .ppsx)
  • Microsoft Office 97 al 2003 (.doc, .xls, .ppt, .pps)
  • OpenOffice (.odt, .ods, .odg, .odp, .sxw, .sxc, .sxi)
  • Documentos PDF
  • Información EXIF de imágenes JPG
  • WordPerfect (.wpd)
  • Imágenes SVG
  • Documentos de InDesign (.indd)

Después de elegir los archivos que deseamos buscar en el equipo, el asistente nos pregunta con que tipo de hash deseamos "firmar" cada uno de estos archivos encontrados.

Finalmente y antes de mostrarnos la interface principal de la herramienta nos pregunta si deseamos realizar una búsqueda recursiva, es decir, si queremos que si encuentra una carpeta, dentro de la carpeta que seleccionamos, realice una búsqueda también dentro de ella, es recomendable darle a esta opción de forma positiva ya que lo que necesitamos es la mayor cantidad de documentos para poder sacar información que nos sea útil de ellos.

Cuando podemos acceder a el modo de visualización por defecto de la Foca Forensic nos encontramos con una ventana conformada principalmente por tres partes, las cuales he llamado Barra de Herramientas, Archivos y Resumen y Listado de Archivos (seguramente en Informatica64 tendrán otros nombres para cada uno de ellos y por razones como esta, este manual no es oficial) como podemos apreciar en la siguiente imagen:

En la barra de herramientas tenemos los siguientes botones, cada uno con una tarea especifica.

En los archivos y resúmenes podemos encontrar con las siguientes opciones:

No te olvides del clic derecho... En la FOCA Forensic podemos hacer clic derecho en una gran cantidad de lugares y sus opciones varían según donde lo hagamos, si lo hacemos en uno de los archivos que nos muestra el "Listado de archivos", podemos abrirlo, eliminarlos del listado, realizar un reporte con toda la información de este archivo (En HTML, XML, PDF pronto o imprimir este reporte).

Si el clic derecho lo realizamos en los archivos agrupados por extensión también podemos generar un reporte con la información de todos los archivos que contengan esa extensión, que puede ser exportado como un informe en los formatos anteriormente mencionados.

Si decidimos hacer clic derecho en los grupos donde se resume la información sensible conseguida (Usuarios, Carpetas, Impresoras, Software, Emails, Sistema Operativo, Contraseñas, Servidores) podemos generar un informe de toda la información que contiene cada grupo, pero si por el contrario decidimos hacer clic derecho en uno solo de los resultados de esos grupos, nos permite buscar todos los archivos donde se encontró ese resultado.

El segundo modo de visualización que incluye la FOCA Forensic es el modo "Línea de tiempo" muy útil para los analistas forenses, ya que organiza los archivos según su fecha de creación, por lo que podemos ver de forma grafica que documentos fueron creados a que horas y por que usuario, este modo de visualización también se puede dividir en 3 partes, la primera parte de filtros, la segunda que es la línea de tiempo y la tercera que serian los usuarios.

Los filtros son algunas de las herramientas mas útiles con las que contamos a la hora de hacer un análisis forense, ya que nos permiten segmentar bastante toda la información encontrada en un equipo y descartar miles de archivos que no cumplen nuestros criterios, para centrarnos solamente en los que si lo cumplen, ahorrando muchísimo tiempo a la hora de realizar un análisis de este tipo.

Entre las opciones de filtro que podemos tenemos en la línea de tiempo de la FOCA Forensic encontramos:

  • Filter by date/Filtro por fecha: si conocemos mas o menos el periodo de tiempo en el que se realizó el incidente que estamos analizando, es poco útil que nos desgastemos analizando archivos generados varios años antes a ese periodo de tiempo, yo personalmente sugiero analizar los archivos un mes antes y un mes después del periodo de tiempo estipulado del incidente, por lo que si el incidente se realizó entre el 20 y el 30 de diciembre del 2010, un filtro apropiado seria del 20 de noviembre al 30 de enero de 2011, si vemos necesario, podemos ir aumentando gradualmente este espacio de tiempo un mes cada vez.
  • Filter by user/Filtrado por usuario: si el equipo es utilizado por varias personas (algo muy común) y solo una de ellas es sospechosa o esta involucrada en el incidente que estamos analizando, este filtro será muy útil en nuestra investigación, ya que solo nos mostrara los archivos creados, modificados, leídos o impresos por este usuario.
  • Filter by file name/Filtro por nombre de archivos: Este filtro nos sirve para listar en la línea de tiempo por ejemplo los archivos que en su nombre tengan la palabra "nomina".
  • Filter by event type/Filtro por tipo de evento: Este filtro es bastante interesante, por que nos permite limitar nuestra línea de tiempo a los archivos creados, modificados, imprimidos o leídos en una fecha determinada o por un usuario determinado (según los filtros anteriores), diferenciando entre la información generada por el sistema operativo o la que nos proporcionan los metadatos.
  • Filter by file type/Filtro por tipo: Si conocemos que una infección a una empresa se realizó por medio de un archivo PDF infectado, podemos limitar nuestra línea de tiempo solo a los archivos de este tipo.
  • Podemos combinar todos los filtros según nuestra necesidades, por lo que podemos mostrar en nuestra línea de tiempo solo los archivos que pasen esta serie de filtros que realizamos basados en la información recopilada con anterioridad del caso, si queremos ver TODOS los archivos en esta línea de tiempo solo debemos hacer clic en el botón "Clear Filters" y listo.

Su deseamos generar un reporte de la línea de tiempo con los filtros aplicados, podemos hacer uso del botón "Report" y nos creará un informe en HTML, XML, PDF pronto o nos permitirá imprimir la información obtenida de los archivos que actualmente se encuentren en la línea de tiempo.

La línea de tiempo tiene como función principal, mostrar los archivos escaneados organizados cronológicamente, cuando fueron creados, modificados o leídos y por que usuarios, también es utilizado por los filtros y la columna usuarios para mostrar sus resultados, pero además si damos clic derecho a uno de los resultados individuales le la línea de tiempo tendremos muchas mas opciones.

Podemos Eliminar el documento de la línea de tiempo, abrirlo, ver detalles, podemos añadir filtros según los metadatos que este contenga, definir filtros únicos (sin combinaciones) según los metadatos de este archivo, o limpiar todos los filtros para volver a tener nuestra línea de tiempo libre de ellos.

En la columna users, podemos ver la actividad con los archivos de todos los usuarios encontrados dentro de sus metadatos, muy útil por si deseamos saber la actividad de un usuario en especial sin usar los filtros, pero personalmente pienso que debería permitir la selección de múltiples usuarios, por si mas personas están involucradas en el incidente que investigamos.

En Options podemos seleccionar (de momento) solo podemos seleccionar el algoritmo que utilizaremos para firmar los archivos, pero en el futuro esperamos que en este apartado, podamos seleccionar por ejemplo el idioma de la herramienta y otras opciones de personalización.

Finalmente en los créditos encontramos el acuerdo de licencia que aceptamos al instalar la herramienta (por si le quieres dar una re leída 😉 ) también aparecen los autores de la misma Francisco Oca y Chema Alonso a quienes aprovecho para felicitar por tan buena herramienta.

Actualizado:
Añado el video creado por Jesús Moreno "Chen" sobre Forensic FOCA

Esta es la primera versión de la FOCA y me parece que esta bastante bien, pero dejo un listado de mejoras que me gustaría ver en las siguientes versiones por si las quieren tener en cuenta:

  • Que en la primer pantalla, se pueda abrir un caso guardado (sin darle skip y luego abrir caso) o en su defecto aparezca una lista de casos recientes.
  • Mas rapidez a la hora de abrir un proyecto guardado, a veces parece como si estuviera haciendo de nuevo el análisis (especialmente si el numero de documentos supera los 1000).
  • A la hora de definir donde buscar documentos, debería permitir seleccionar varias particiones a la vez, o seleccionar "Mi PC" para buscar en todo el equipo los documentos que soporta la FOCA Forensic, además de incluir la opción de "búsqueda recursiva" en esta ventana.
  • Debería tener el listado de todos los documentos soportados en la ventana donde nos muestra la opción de seleccionar los documentos y permitir seleccionar que extensiones deseamos buscar (para no perder tiempo con extensiones que no nos interesan).
  • Se deberían integrar mas filtros, por ejemplo un filtro para mostrar archivos que en su interior contengan X palabra y la posibilidad de usar expresiones regulares en los filtros que aplique (por ejemplo el filtro por nombre de archivo).
  • En la columna Usuarios, deberían poderse seleccionar varios usuarios al tiempo, por si varias personas están involucradas en el incidente a investigar.
  • Entiendo que con miras a una comercialización internacional y ya que el mercado de habla hispana es reacio a comprar software, la primera versión saliera solo en ingles, pero tratándose de un software español, lo mas lógico es que contemos en las próximas versiones con una función multi idioma Español/Ingles.
  • Documentación, en la foca debería existir un enlace a documentación sobre la misma en español e ingles, ya que algunas opciones muy útiles no están a simple vista (ejemplo, el clic derecho en las diferentes partes de la herramienta).
  • Versión portable y por línea de comandos, seria muy útil para hacer un análisis en un sistema "vivo" sin ocupar memoria innecesaria con interfaces graficas, podría arrojar como resultado un archivo .FF que luego abriremos en la foca forensic de nuestro equipo para analizar la información, la cual se guardaría en el pendrive desde donde ejecutamos la herramienta.

Espero que esta información les sea útil, recuerden que si quiere probar la herramienta pueden bajar una beta de la pagina oficial de Informatica 64 o comprar una licencia de un año por solo 20 Euros.

Subir