En nuestro artículo sobre las herramientas para hacer análisis forense en Kali Linux les presentamos la distribución DEFT Linux. Nos quedaba pendiente presentarles esta herramienta y qué ofrece para el análisis forense digital.
¿Listo para dar un recorrido por las herramientas y versiones de esta distribución? Empecemos.
¿Qué es Deft Linux?
DEFT Linux, que significa Digital Evidence & Forensic Toolkit, es una distribución Linux basada en Lubuntu. Fue creada en 2005 por un grupo de especialistas de la Universidad de Bologna, liderados por Stefano Fratepietro, Sandro Rossetti y Paolo Dal Checco. La idea surgió durante un curso forense digital en la Facultad de Leyes de esta universidad.
Es utilizado por una amplia variedad de profesionales, incluyendo fuerzas de seguridad, peritos judiciales, auditores IT y otros investigadores de ciberseguridad. Es una herramienta muy apreciada porque permite llevar a cabo investigaciones detalladas y precisas, garantizando que la evidencia digital se mantenga intacta.
¿Para qué sirve?
DEFT Linux está diseñada específicamente para el análisis forense digital. Sirve para realizar una serie de tareas cruciales en la investigación de crímenes informáticos, tales como la creación de imágenes forenses de discos duros, la recuperación de datos, y la verificación de integridad mediante el cálculo de hashes.
Esta herramienta permite a los profesionales del mundo forense digital analizar dispositivos móviles y realizar análisis de malware sin alterar la evidencia digital original.
Deft Linux: Características
- Distribución basada en Lubuntu: Proporciona una base sólida y estable.
- Entorno de escritorio LXDE: Ligero y rápido, ideal para hardware menos potente.
- Live Boot: Arranca desde un DVD o una unidad USB sin necesidad de instalación en el disco duro, preservando la integridad de la evidencia digital.
- Compatibilidad con múltiples sistemas de archivos: Soporta NTFS, FAT32, ext3/ext4, HFS+, entre otros.
- Incluye DART (Digital Advanced Response Toolkit): Ofrece un conjunto de herramientas específicas para la forense digital y la respuesta a incidentes.
- Compatibilidad con dispositivos móviles y discos duros: Facilita el análisis de datos de diferentes fuentes.
- Actualizaciones regulares: Mantiene las herramientas forenses al día con las últimas versiones.
- Comunidad activa y documentación detallada: Facilita el uso y la resolución de problemas.
Herramientas de Deft Linux
Pero, ¿qué herramientas ofrece Deft Linux? Algunas de las más importantes son:
- Sleuthkit 4.1 y Autopsy 2: Herramientas esenciales para el análisis detallado de sistemas de archivos.
- Digital Forensics Framework 1.3: Una plataforma flexible para realizar diversas tareas forenses.
- Libewf y AFFlib: Ofrecen soporte completo para trabajar con imágenes forenses en formatos EWF y AFF.
- Guymager, Cyclone y Esximager: Utilidades para la adquisición de imágenes forenses de discos duros y máquinas virtuales.
- Bulk Extractor 1.3.1: Una herramienta para la extracción de datos sensibles a gran escala, acompañada de una interfaz gráfica.
- Log2timeline: Permite la creación de líneas de tiempo detalladas a partir de registros de eventos.
- iPBA 2 y Lib iMobiledevice 1.1.5: Soporte completo para la adquisición de datos en dispositivos iOS y Android.
- Fastboot: Herramienta para reflashear particiones en dispositivos Android.
- Hashing Scripts: Para el cálculo de hashes usando algoritmos como SHA1, SHA256 y MD5, garantizando la integridad de los datos analizados.
- OSINT: Navegadores y herramientas de inteligencia de fuentes abiertas, como el navegador Google Chrome Open Source INTelligence y TOR.
- Maltego Radium: Herramienta para la obtención de información asociada a usuarios y su actividad.
DEFT Linux también incluye una serie de utilidades para el análisis de malware, la recuperación de datos y la recuperación de contraseñas.
Versiones de Deft Linux
DEFT Linux ha pasado por varias actualizaciones importantes desde su creación, adaptándose a las necesidades cambiantes del análisis forense digital.
Las versiones más destacadas incluyen la 7, que ya integraba la suite DART (Digital Advanced Response Toolkit) con el kernel Linux 3.x, proporcionando un conjunto robusto de herramientas forenses.
La versión 8 de DEFT Linux, basada en Ubuntu 12.10, incluyó mejoras significativas como la incorporación de DART 2 y una máquina virtual preconfigurada, optimizando así el uso de la distribución en entornos de VMware y VirtualBox. Esta versión también presentó mejoras en la estabilidad y la incorporación de nuevas aplicaciones solicitadas por los usuarios, aunque el manual de usuario de la versión 7 sigue siendo relevante debido a la similitud en la operación.
La última versión publicada fue DEFT Zero en 2017. DEFT Zero es una versión más ligera, diseñada para funcionar con solo 400 MB de RAM y basada en Lubuntu 14.04 LTS. Esta versión es compatible con sistemas de 32 y 64 bits, incluyendo sistemas UEFI, y soporta memorias NVMe y eMMC.
DEFT Zero ofrece tres modos de arranque: cargado completamente en la RAM, en modo Live desde el medio, y en modo texto desde terminal. Esta flexibilidad hace que DEFT Zero sea ideal para entornos con recursos limitados.
¿Quieres descargar Deft Linux? Puedes hacerlo desde este enlace.
Conclusión
DEFT Linux es una herramienta esencial para cualquier profesional de la ciberseguridad que necesite realizar tareas complejas de análisis forense digital. Su robustez, versatilidad y actualización continua la convierten en una elección preferida para la adquisición, verificación y análisis de datos digitales en diversos escenarios de investigación.
