Son muchas las herramientas dedicadas al análisis forense, las cuales son importantes y necesarias para análisis de sistemas informáticos y de redes pudiendo así averiguar los problemas que puedan tener y así solucionarlos. Estas herramientas suelen ser bastante complejas a la hora de instalarlas, configurarlas y utilizarlas para usuarios comunes y acaban siempre en manos de expertos en la materia, pero DiFT cambia esta forma de ver las cosas.
DiFT es una distribución de Ubuntu adaptada para realizar de forma fácil análisis forenses, es distribuida en un CD arrancable de Ubuntu 12.04 que incluye los paquetes necesarios ya configurados de las herramientas forenses para que así cualquier usuario sea capaz de utilizarlas en poco tiempo.
Los paquetes que incluye DiFT por defecto son logstash y log2timeline, los cuales son utilizados con frecuencia para este tipo de funciones. Logstash es una herramienta Open Source que se encarga de recopilar y administrar todos los registros del sistema y log2timeline será la que nos permitirá crear una línea del tiempo con todos los logs que se recopilen para su fácil control.
En DiFT también podemos encontrar otros paquetes para una correcta gestión y consulta de los datos recopilados como Kibana, una interfaz web que permite a los administradores consultar de forma gráfica y remota los resultados rápidamente, permite filtrarlos, buscar registros concretos, etc.
Se puede utilizar DiFT de forma sencilla, hay que arrancar en los ordenadores de la red y comprobar que el módulo elasticsearch se está ejecutando correctamente, se arrancan los programas log2timeline y logtash, pasadas unas 2 horas los módulos terminarían sus procesos y se podrá consultar de manera instantánea todos los resultados recopilados por la interfaz web; Kibana. Resumiendo, los pasos a seguir para usar este sistema forense son:
Su desarrollador ha afirmado que continúa trabajando para mejorar la distribución, le añadirá nuevos paquetes y mejorará el funcionamiento global de las aplicaciones. De momento podremos encontrar DiFT en su versión Alpha, aunque su funcionamiento es bastante estable puede que nos encontremos con algunos errores.
Fuente: RedesZone.