9 ago. 2017

Bitscout, nueva herramienta de análisis forense (abierto)

El investigador de Kaspersky Lab, Vitaly Kamluk, ha publicado el código fuente de Bitscout, una herramienta personalizable y diseñada para operaciones de análisis forenses remotos.

Bitscout, que no es un producto oficial de Kaspersky, inicialmente comenzó como un pasatiempo y ha sido mejorado continuamente en base a los requisitos que surgieron en las investigaciones de Kaspersky sobre análisis forenses.

Bitscout 2.0 -la versión 1.0 nunca fue lanzada al público- permite a los investigadores analizar remotamente un sistema, permitiendo al propietario del sistema monitorear las actividades del experto y asegurarse de que su acceso está limitado a los discos de destino. La herramienta puede ser útil para investigadores, unidades de ciberdelincuencia policial, e instituciones educativas.
El propietario del sistema en el que se llevará a cabo el análisis forense recibirá una imagen que debe grabar en una unidad de almacenamiento extraíble. El sistema se inicia desde esta unidad y el investigador se conecta de forma remota a Bitscout a través de SSH utilizando una VPN.

Bitscout incluye varias herramientas populares diseñadas para el análisis forense, pero los usuarios también pueden personalizarlos o agregar sus propios scripts. La herramienta utiliza una interfaz de usuario basada en texto (TUI) para facilitar su operación.

Según Kamluk, al investigador sólo se le proporciona privilegios de root dentro de un contenedor virtual, y el propietario puede especificar qué discos se pueden analizar para evitar el acceso no autorizado. Por otro lado, el investigador puede instalar software adicional y hacer cambios en el sistema desde este contenedor, pero sólo en la memoria volátil para asegurar que todo se restaure a su estado inicial después de que el dispositivo se apaga.

"Todas las sesiones remotas se graban y almacenan fuera del contenedor. Esto proporciona un buen nivel de aislamiento y una manera de reconstruir el proceso forense con fines de aprendizaje, o probar la existencia de evidencia"
.

Descarga: https://github.com/vitaly-kamluk/bitscout 
Video demostración: https://www.youtube.com/watch?v=knA0NS9tWsY 

Fuente: SecurityWeek

1 comentario:

  1. Hi,
    After executing ./automake,sh command I receive the following message :

    Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh > /dev/null; fi'

    I´m using Ubuntu 16.0.4 LTS desktop installed on a VMware Workstation 12 pro.

    Regards,
    Adolfo Cáceres

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!