[Firefox Forensics] Analizando las huellas de Firefox

La informática forense es la segunda rama de la informática que más me gusta, después de la seguridad, y se nota que poco a poco empieza a haber más en internet acerca de ella (sobre todo, más documentos en español).

Esta entrada la quiero dedicar exclusivamente a un programa llamado Firefox 3 Extractor, que nos permite, a partir de los datos que se guardan del navegador, obtener de forma ordenada esos datos.

El programa (Descarga) consta de dos ficheros: el ejecutable y una libreria para que funcione. Ambos ficheros se han de copiar en la carpeta donde tenemos los datos que extraerá, que en Windows 7 y Vista suele ser:

C:\Users\[ususario]\AppData\Roaming\Mozilla\Firefox\Porfiles\[perfil]

Nada más iniciarlo nos pide unos cuantos datos de configuración rápida:
-Formato de la hora (Inglés o Americano)
-Offset UTC en minutos (para los tiempos): España por ejemplo tiene UTC+1 (+2 en verano), así que pondriamos 180.
-Referencia del Caso
-Nombre del Caso
-Investigador

Tras esta miniconfiguración, nos desplega un menú:

Recalcaría las opciones que me parecen más útiles, como puede ser la B y la D.
La A es igual que la B, salvo que en la opción B nos decodifica las fechas y tiempo, por lo que puede ser más cómodo. Sin embargo, de elegir la A, las fechas y tiempos nos aparecerán codificados en una cadena de 16 dígitos que luego podemos decodificar usando la opción E.

Por otra parte, la opción C y D hacen lo mismo, pero en lugar de exportarlo en formato CSV (que es muy cómodo si después pensamos tratarlo de alguna manera) la opción D lo exporta en formato HTML, legible para cualquier navegador y fácilmente entendible y visible.

Analizando las cookies exportadas
cookies.sqlite moz_cookies
El formato que tiene el fichero generado para ver las cookies ordenadas (en CSV, opción B) tiene la siguiente estructura:
ID, nombre, valor, host, ruta, expiración, ultimo acceso, si es segura, si es HttpOnly (estos dos ultimos valores son indicados mediante 0 o 1).

Este fichero nos puede ser muy útil si buscamos una cookie crítica, es decir, la que usa una página para autenticarnos, como puede ser auth_token en el caso de twitter. Simplemente usariamos Ctrl+B y buscariamos “auth_token”, y nos aparecería. Si tuvieramos que hacer este proceso para comprobar todas las cookies de los sitios que queremos saber, nos podria dar algo (sobre todo si es un log antiguo), así que lo más cómodo, teniendo un archivo CSV, es usar algún programa que nos haga el archivo CSV más legible, como puede ser Calc (el Excel del OpenOffice).

Ahora, tendremos más legible la zona de hosts, que es la que nos interesa.

Analizando los sitios
places.sqlite moz_bookmarks
En este CSV que contiene información acerca de los marcadores (o favoritos), son interesantes los campos de: Id, tipo, padre, posición, titulo, fecha de creación, última modificación.
El tipo será 1, 2 o 3, dependiendo de si es un enlace, una carpeta, o una barra respectivamente.
En el contenido de “padre” pondrá la ID a la que pertenece el enlace. Por ejemplo, si tenemos una carpeta de ID 3, y dentro tenemos un enlace, en este nos aparecerá que tiene como padre el 3.
La posición es el lugar en el que se encuentra respecto a los demás enlaces dentro de su carpeta.
Los tres siguientes campos, su propio nombre lo indica. Destacar que no aparece el enlace (que pena).

places.sqlite moz_places
Aquí realmente no me funcionan bien todos los campos (sobre todo los últimos, aunque igual es porque no tengo que se grabe nada salvo las cookies).
Los campos que destacaria aquí son los de URL, y Título, ya que a partir del título de la web (que anteriormente incluso teniamos en los marcadores) tenemos la URL.