En la primera parte de este artículo: El clonado ya no se lleva. Parte I os contaba las tendencias de la temporada primavera-verano 2013 para tratamiento de Evidencias Digitales, pero como se que os gusta estar a la moda, en esta segunda parte ya os puedo presentar la nueva temporada otoño-invierno 2013 (si, ya se que estamos en 2017) de tratamiento de Evidencias Digitales a Granel, técnicas también conocidas por las siglas: DFIR, más o menos traducido como: “Respuesta forense digital ante incidentes de ciberseguridad”. Vamos al lío.

Si habéis leído la primera parte de este artículo, ya nada se os puede resistir en el campo de la adquisición de imágenes forenses de Evidencias Digitales. Así que ya es hora de comenzar a trabajar y generar nuestra primera imagen forense.

Fig. 1 Perfil de un MacBook Air

 

El primer día de trabajo, llegamos a nuestro laboratorio y nos encontramos con un precioso MacBook Air 11” de Apple, un prodigio del diseño minimalista del que nos solicitan que hagamos una imagen forense de su contenido. Como hemos sido buenos alumnos, sabemos que lo primero que hay que hacer con el ordenador, a partir de ahora: Evidencia1, es documentar completamente su estado, es decir, dejar constancia por escrito de cual es su marca, modelo, número de serie, color, estado, si esta encendido, apagado, dañado. Sin olvidar registrar si el “elemento en cuestión” viene con alguna protuberancia extraña adherida a su cuerpo, véase un minipendrive USB conectado a alguno de sus puertos, si trae una antena WiFi USB, un cargador  de batería o incluso si fuera el caso, de algún CD/DVD dentro de la lectora. En este punto, ya llevamos por los menos cuatro folios de informe escrito, con sus negritas y cursiva, la cosa pinta bien, nos va a quedar un informe muy “pro”. Si las primeras veces os cuesta, nos os preocupéis, solo tenéis que mirar este artículo, ya va casi un folio y todavía no se ha dicho nada interesante 😉

Bueno, llegó el momento de “meterle mano” a nuestra Evidencia1, nos ponemos guantes, encendemos la bombilla del flexo con lupa, nos ponemos la bata blanca, impoluta por supuesto, cogemos el maletín de destornilladores que hemos comprados tres semanas antes en AliExpress, nos conectamos a tierra con esas pulseras azules de muelle tan a la moda, estiramos el tapete negro de goma para depositar en él, el ordenador portátil y proceder a su autopsia mediante la extracción del cerebro del finado, esto es, su disco duro.

Fig. 2 Pulsera anti-estática

 

En primer lugar procedemos a coger un destornillador de estrella para desmontar la tapa trasera del portátil y así extraer el disco duro para poder conectarlo a nuestra “clonadora” y realizar la imagen forense. Pero un momento… el destornillador de estrella no encaja en la cabeza de los tornillos del portátil. ¡Buff, que fallo!, ¡Casi la liamos! los tornillos del portátil son tipo TORX y no de estrella, bueno no pasa nada, como nuestro maletín de herramientas tiene de todo, ahora si, cogemos el destornillador TORX del 3 y aquí no ha pasado nada, que nadie nos ha visto. Pero que raro, el TORX del 3 tampoco entra en la cabeza del tornillo, bueno, bueno, tranquilidad, vamos a respirar hondo, que no queremos “pasar de rosca” la cabeza de un tornillo el primer día, vamos a probar con un TORX del 2 que seguro que encaja como el zapato de cristal de Blancanieves, ¿o era Cenicienta?, bueno, que mas da, que nos dispersamos del tema y nos liamos. Al final entre que si era: Blancanieves, Cenicienta o la Sirenita, nos hemos pasado haciendo fuerza en la cabeza del tornillo, lo que vienen siendo unos 0,1 mili Newton, y se «pasó» la cabeza del tornillo. Ahora que ya esta rota, nos fijamos en el resto de los tornillos que todavía quedan intactos y resulta que aunque la forma de sus cabezas parecen las de un TORX (6 puntas), las cabezas de los tornillos del Apple en vez de ser hexalobe (6 puntitas), son pentalobe (5 puntitas).

Fig. 3 Pentalobe de Apple vs Torx estándar. 

 

Ya les vale… ¿Que mas le daría poner una estría demás a los tornillos y cumplir con el estándar TORX?. Pues no, decidieron sacar su propio “estándar” de cinco puntitas, y claro, ahora ni destornillador ni cabeza que sirva.

Fig. 4 Detalle de un tornillo pentalobe de Apple

 

Tres semanas y un nuevo pedido a AlieExpress después…

 

Por fin, ya tenemos un nuevo y flamante destornillador de cinco puntas para tornillos de Apple, que cuesta tanto como una caja entera de destornilladores normales de cualquier otro tipo. Ahora si, nos disponemos a realizar la apertura de la carcasa trasera del Mac. Una vez abierta, todo según lo esperado, todos los componentes de un elegante color negro mate, o mejor dicho, todo el componente, por que parece que es todo una única pieza. Pero… ¿Y el disco duro dónde está? ¡No tiene disco duro! ¿Y ahora que hacemos?.

Fig. 5 Placa base de un MacBook Air con el «disco duro» marcado en rojo

 

Realmente lo que ocurre, es que este tipo de ordenadores ultrafinos, no pueden llevar en su interior discos SATA al uso, ya que directamente son demasiado voluminosos como para poder entrar dentro de una carcasa tan reducida como la de un MacBook Air. Esto no quiere decir que estos ordenadores no lleven discos duro, o mejor dicho, no lleven almacenamiento. En el caso de Apple, estos ordenadores los montan con unas placas SSD propietarias de la marca que hacen las funciones de sistema de almacenamiento.

Fig. 6 Placa SSD de Apple fabricada por TOSHIBA

 

Como era de esperar, se necesita un adaptador especifico para el año y modelo concreto de cada portátil de Apple y así para poder conectar estas placas SSD a conectores SATA estándar para extraer la información de los mismos. Si vuestra idea es acudir a la Apple Store mas cercana a comprar uno de estos adaptadores, siento deciros que no los vais a poder encontrar, ya que no los venden. Estos adaptadores solamente se pueden conseguir en el mercado negro de la DeepWeb pagando en BitCoins, bueno y también se pueden conseguir en: Amazon, eBay, AliExpress…

Fig. 7 Adaptador placa SSD de MacBook Air a SATA convencional.

 

El problema es que ya no tenemos tiempo para realizar otro pedido a AlieExpress, ni a ninguna otra tienda. Así que tendremos que realizar la adquisición de la imagen forense de esta Evidencia Digital de otro modo. De momento todo lo que habíamos aprendido en el artículo anterior no nos ha servido para nada, o quizás si, esto es algo que no podemos olvidar en el mundo de la informática forense, o quizás en el mundo de la informática en general, no podemos pensar que sabemos todo, que nunca nada nos sorprenderá, a lo mejor tenemos muchos conocimientos técnicos, pero después resulta que un fabricante decide cambiar la forma de un tornillo, y todos esos conocimientos ya no los podemos aplicar, al menos como teníamos pensado en un primer momento, por eso en este mundo es muy importante estar siempre reciclándose y lo mas importante, podrás aprender un poco de todo el mundo, y luego ya decidirás que técnica aplicar o no, pero lo imprescindible es conocer que esa técnica en concreto existe y nunca pensar que lo sabemos todo.   OJO! Aunque durante todo el artículo he estado hablando sobre los problemas que ofrecen los ordenadores Apple del tipo ultrafinos, como los modelos MacBook Air, no quiere decir que solamente sea Apple quien monta en el interior de sus equipos estos discos sin conectores SATA. Por ejemplo, ahora mismo estoy escribiendo estas lineas desde mi portátil ultrafino de marca ASUS y en su interior tampoco lleva un disco con conexión SATA convencional. Por no hablar de ordenadores portátiles fabricados hace ya unos años, en los que lo mas probable es que ninguno de ellos lleve conectores SATA estándar para sus discos duros, ya que muchos fabricantes montaban conectores propios y así garantizaban que solamente se pudieran montar sus propios discos duros en los portátiles que fabricaban.

 

Continúa leyendo la Tercera parte de: El clonado ya no se lleva 3. PULSANDO AQUÍ.

 

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.