16. Firma hash en Linux

 En los sistemas operativos Linux, generar una firma digital es un proceso bastante sencillo. A continuación, te muestro un ejemplo práctico de cómo se realiza, especialmente útil cuando extraemos archivos para analizarlos en un laboratorio.

Generación de firmas hash en Linux

Una tarea común en análisis forense es extraer información del sistema para su posterior estudio. Por ejemplo, podemos usar el comando:

bash
sudo cat /etc/passwd

Este comando muestra información sobre los usuarios, como si tienen contraseña, la fecha de vigencia de las mismas y otros datos relevantes. También podemos consultar:

bash
cat /etc/shadow

Que nos muestra rutas y otros elementos importantes. Sin embargo, durante una investigación forense, often necesitamos llevar esta información para analizarla en detalle.

Guardar información en archivos

Para guardar la información en un archivo, usamos el operador > para redirigir la salida. Por ejemplo:

bash
sudo cat /etc/passwd > /home/forense/escritorio/passwd.txt

Al ejecutar este comando, no veremos nada en la terminal porque la salida se ha guardado en el archivo especificado. Podemos hacer lo mismo con el archivo shadow:

bash
sudo cat /etc/shadow > /home/forense/escritorio/shadow.txt

Generar firmas digitales (hash)

La pregunta clave es: ¿cómo generamos la firma digital de estos archivos? Es muy sencillo. Podemos usar diferentes algoritmos de hash. Por ejemplo, para MD5:

bash
md5sum /home/forense/escritorio/passwd.txt

Esto generará la firma digital del archivo. Es importante aclarar que obtener la firma digital no significa que el archivo quede "firmado" o modificado. La firma es simplemente un valor hash calculado a partir del contenido del archivo, no se incrusta en él.

Dado que MD5 se considera obsoleto para algunos usos, podemos usar algoritmos más seguros como SHA-256:

bash
sha256sum /home/forense/escritorio/passwd.txt

Generar firmas para múltiples archivos

Una técnica muy práctica es generar firmas para todos los archivos en un directorio. Por ejemplo:

bash
sha256sum /home/forense/escritorio/* > /home/forense/escritorio/firmas.txt

Luego podemos verificar el contenido del archivo de firmas:

bash
cat /home/forense/escritorio/firmas.txt

Esto nos mostrará las firmas de todos los archivos en el directorio escritorio, incluyendo passwd.txt y shadow.txt.

Aplicación en investigaciones forenses

En una investigación digital real, typically extraemos entre 20 y 30 archivos diferentes: conexiones de red, información de usuarios, archivos de configuración, logs del sistema, etc. Esta técnica nos permite:

  1. Generar todos los archivos necesarios

  2. Calcular sus firmas digitales

  3. Descargarlos para analizarlos en el laboratorio

  4. Verificar su integridad durante el análisis

Como puedes ver, en los sistemas Linux es bastante sencillo obtener firmas digitales para validar la integridad de los archivos durante una investigación forense.

¿Neitas alguna modificación o añadir más detalles?

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más