Caine 12.4 “Sidereal”
Arranco por mi distro de cabecera, Caine. No se si es el mejor de los sistemas operativos forenses, pero fue la primera plataforma forense que conocí y aunque probé varias otras como las que describiré a continuación, en más de la mitad de mis computadoras del laboratorio tengo instalado esta distribución aunque en versiones anteriores (6 y 11).
Recientemente fue liberada la última versión de este gran SO, la 12.4 “Sidereal” 64 bit. La primer gran diferencia con versiones anteriores es que solo está en modo live y por lo tanto no es instalable. Debemos ejecutarla siempre desde un CD o pendrive.
Viene con KERNEL 5.4.0-90 y como siempre basada en Ubuntu, esta vez en su versión 20.04 64 bit. Al igual que en el pasado, todos los dispositivos vienen seteados en modo READ ONLY para proteger a las evidencias de escrituras accidentales. Asimismo trae servidor SSH desactivado por defecto. Trae drivers preinstalados para la NVME de los discos de estado sólido (SSD). Listo para APFS de Apple y herramientas forenses para BTRFS. Podemos controlar remotamente nuestro Caine con el server X11VNC.
Trae nuevas herramientas forenses, especialmente para OSINT. Incluye Autopsy 4.19.1, Reg Ripper 3.0, también incluye XRDP que es una implementación del protocolo RDP de Microsoft para servidores Linux, gracias a esta adaptación nos podremos conectar a servidores Linux mediante un cliente de Escritorio Remoto de Windows. La inclusión de Andriller es una novedad muy interesante en esta última entrega. Con ScrCpy se puede utilizar el mousse para manejarte por el teléfono y el teclado para escribir en él, todo ello desde la pantalla de la PC.
Se incluyen nuevos scripts en el menú de análisis (Forensic Tools –> Analysis menu). Trae el plugin de Volatility Bitlocker, no confundirlo con el conocido software de encriptación. Con Autotimelimiter podemos extraer líneas de tiempo desde un dump de momeria. Vemos que hay herramientas forenses para Mac como AutoMacTc. Firmwalker es un analizador de firmware. Finalmente con Stringsext podemos buscar strings codificador multi-byte en datos binarios.
Tsurugi
Tsurugi es una distro DFIR de Linux. Es un proyecto open source que es y siempre será libre e independiente, tal como reza en la presentación de su web. Este es otro de los principales sistemas operativos forenses que existen en la actualidad. Viene en tres versiones:
TSURUGI Linux [LAB]: Linux de 64 bit para realizar tareas de análisis forense. En su última versión utiliza el kernel 5.15.12 y aunque se puede usar en modo live está pensado para ser instalado en una estación de trabajo forense. Está basado en Ubuntu 20.04. Además de todas las principales herramientas forenses con que cuenta la distro, incluye un switch para pasar de perfil DFIR a OSINT muy útil ya que nos cambia el menú por uno más ligero y útil al realizar OSINT.
Viene con bloqueo contra escritura y cada vez que booteamos el sistema se ejecuta un script de limpieza que para y desactiva todos los servicios que hayan sido iniciados previamente. En esta documentación oficial de la distro podemos encontrar la lista completa de herramientas que trae.
TSURUGI Acquire: Linux liviano de 32 bit únicamente con herramientas para realizar adquisiciones live.
BENTO: Toolkit portable para realizar investigaciones en vivo.
ParrotOS 5.0
Parrot se presenta a si mismo como el sistema operativo para los hackers, especialistas en seguridad, desarrolladores, sysadmins y para redes. Se autodenominan como el framework definitivo para tus operaciones de cyberseguridad. Es un sisema operativo ligero, sobre todo en comparación con su rival directo Kali, ya que requiere mucha menos memoria y espacio en disco para correrlo. A diferencia de los anteriores su core principal es la seguridad informática más que la informática forense, aunque dependiendo el tipo de trabajo puede que te resulte más útil.
Viene en dos versiones Home y Security. La primera está diseñada para el uso diario, con un fuerte foco en la privacidad y herramientas de desarrollo de software. Security en cambio está pensada para ser usada por un Red Team y cuenta con todo un arsenal de software para pentesting. Hay otras versiones de Parrot para Cloud, IoT o la Raspberry Pi.
En Parrot hay preinstaladas útiles herramientas como Nmap para auditorías de red y AnonSurf para forzar conexiones a través de la red Tor. Entre las aplicaciones más importantes vamos a encontrar las siguientes: Anonymous mode start, I2P, Two Cents Crypto, ZuluCrypt, EtherApe, Ettercap, King Phisher, Tor Browser, TorChat, Wireshark, XHydra, Zenmap, debmod builder, Parrot Cloud Controller y Spectrum Tool. Debes tener en cuenta que muchas de estas herramientas son ejecutadas por línea de comandos y no poseen interfaz gráfica, pero son muy poderosas.
Kali
Kali Linux es una distribución GNU/Linux de código abierto basada en Debian orientada a diversas tareas de seguridad de la información, como pruebas de penetración, investigación de seguridad, informática forense e ingeniería inversa. Es una distro utilizada principalmente en seguridad informática pero que cuenta con herramientas para el forense informático. Es la distro más popular en su área de trabajo.
Kali es una plataforma completa de seguridad informática diseñada para hacer tu trabajo más sencillo. Existen versiones para PC, dispositivos móviles, Docker, ARM, AWS, maquinas virtuales y más.
Entre las principales herramientas podemos ver que cuenta con Maltego, una de los más importantes sino el principal de los software que utilizamos cuando estamos haciendo OSINT. Wireshark, Jhon the Ripper y el Metasploit Framework nos va a ayudar en distintas ocasiones en nuestras labores periciales. Autopsy, probablemente el principal sistema de análisis forense libre que existe, viene incluido en Kali.
