Recuperación de ficheros eliminados a través del CPU.

Si todavía no os habéis dado cuenta del día que es hoy, o si vivís lejos de España y no conocéis la tradición de este día. Hoy es el Día de los Santos Inocentes, este, en palabras de la Wikipedia, es la conmemoración de un episodio hagiográfico del cristianismo: la matanza de los niños menores de dos años nacidos en Belén (Judea), ordenada por el rey Herodes I el Grande con el fin de deshacerse del recién nacido Jesús de Nazaret. En España e Hispanoamérica es costumbre realizar en esta fecha bromas de toda índole. Los medios de comunicación hacen bromas o tergiversan su contenido de tal modo que la información parezca real. Es tradición que los periódicos publiquen páginas enteras de noticias que parecen serias, pero realmente engañan al lector desprevenido. GLIDER.es no podía ser menos, así que para celebrar este día de los Santos Inocentes, os preparé esta pequeña broma, sobre extracción de información eliminada a través del CPU un PC, aunque muchos de vosotros ya os disteis cuenta sobre la hilaridad de este artículo, para los que no, siento deciros que por desgracia un CPU no puede almacenar 280.000 Terabytes de información, es mas, un CPU no almacena información. 😉

Para los que os atrevisteis a ejecutar el comando “curl https://glider.es/DumpeadoCPU.bin” desde una terminal Linux, pudisteis comprobar que no dumpeaba “nah de nah”, simplemente mostraba este gracioso monigote:

 

Fig. 0 Ejecucción del comando: curl https://glider.es/DumpeadoCPU.bin

 

Espero que os haya gustado esta pequeña broma, y solo me queda desearos que paséis un Feliz día de los Santos Inocentes, o al menos, lo que queda de el.

 


A continuación el ARTÍCULO ORIGINAL:


Este posiblemente será uno de los últimos artículos del año que escribiré para GLIDER.es, por eso os quería hablar sobre esta técnica de recuperación de ficheros eliminados que tan poca gente conoce, pero que tan buenos resultados nos brindará. Normalmente cuando un Analista Forense necesita recuperar información eliminada de un equipo informático, ya sea tipo sobremesa, servidor, portátil o incluso teléfono móvil, se centra en el disco duro o en la memoria de almacenamiento tipo NAND y si el caso lo requiere, incluso del análisis de la memoria RAM del dispositivo. Pero de lo que muchas veces nos olvidamos es de realizar un análisis sobre el microprocesador (CPU – Unidad Central de Procesamiento) del equipo informático.

 


Fig. 1 Microprocesador

 

El microprocesador es un hardware que existe dentro de todos los equipos informáticos, normalmente es el componente más barato y por eso al que menos caso se le hace. Su función es dirigir y controlar al resto de Hardware instalado en el ordenador, Hardware entre el que se encuentra por ejemplo los discos duros, pendrives, o la memoria RAM del ordenador, entonces… Si el microprocesador controla los discos duros, pendrives, memorias RAM de un PC, ¿También controla la información (datos) que estos manejan?, la respuesta es: . Pero no hay que pensar en un control tipo: lo que tiene que hacer cada uno de los componentes anteriormente descritos, sino mas bien, en un control de los datos que cada dispositivo almacena, es decir, la fotografías, documentos de Word, ficheros de audio y video… Por lo tanto, si un microprocesador, procesa (valga la redundancia) toda esta información, ¿También la almacena?, la respuesta de nuevo es: si. Esto es algo que no cuentan en muchas ingenierías informáticas, por lo que la única forma de descubrir cómo funciona, es realizar un análisis forense a bajo nivel de un microprocesador, y esto es exactamente lo que os voy a explicar hoy.

 


Fig. 2 Características técnicas familia i5 (Fuente Wikipedia)

 

Vamos a comenzar con un poco de matemáticas para que veáis toda la información que un microprocesador puede almacenar. Por ejemplo, un microprocesador: Intel Core i5 de 4 núcleos, 3.5 Ghz de frecuencia de reloj y 8 MiB de caché, tiene una capacidad de almacenamiento de 280.000 Terabytes de información, es decir, si nuestro disco duro es de 1Tb de capacidad, podremos almacenar el contenido de 280.000 discos duros de 1Tb en un solo microprocesador Intel Core i5. A continuación os indico la fórmula utilizada para averiguar la capacidad de almacenamiento de un microprocesador:

 

Vp x Un x (Hz / 2 ) x Ch = Cp

 

Dónde:
– Vp: Tipo de interlazado (el número después dela “i”) de microprocesador, en este caso tipo 5 (Intel i5)
– Un: Número de núcleos del microprocesador.
– Hz: Frecuencia del procesador, será preciso dividirla entre dos.
– Ch: Caché del navegador.
– Cp: Será el resultado de la operación, es decir, capacidad de almacenamiento del procesador.

 

Para el caso que nos ocupa, un Intel i5, la formula quedaría tal que así:

 

5 (i5 = Interlaced 5) x 4 (Núcleos) x [3.500.000.000 (3.5GHz) / 2 (Un Hz son dos vueltas)] x 8.000.000 (8 MB) = 280000000000000000 Bytes (280.000 Terabytes).

 

Ahora que ya sabemos toda la información que es capaz de almacenar un microprocesador, vamos a ver como poder extraerla, es decir, como realizar un dumpeado de la memoria interna de un CPU. Antes de comenzar es importante saber que necesitaremos espacio suficiente para almacenar este dumpeado, ya que aunque tan solo el microprocesador esté a la mitad de su capacidad, ya serán ciento cuarenta mil Terabytes de información los que tendremos que almacenar, si solamente disponemos de discos duros de 2Tb, necesitaremos unos 70.000 discos duros para almacenar esta información, si conseguimos una buena oferta, podremos comprar los 70.000 discos duros de 2Tb por poco más de cinco millones de euros. Si os estáis preguntando para qué necesita un microprocesador almacenar tanta información, realmente lo que ocurre es que en el microprocesador se almacena cada cambio que se realice en un disco duro (Journaling), es decir, en el microprocesador habrá un histórico de todos los ficheros que pasaron por el disco duro, por lo tanto, aunque un fichero se hubiera borrado hace años del disco duro, siempre quedará almacenado en el microprocesador, ya que no existe ningún sistema que permita eliminar información del CPU, solamente se puede grabar, ya que la configuración de un CPU normal es de write-only, (solo se puede escribir, no borrar). Seguir leyendo

Whatsapp: Razonando una duda razonable.

En este nuevo artículo de GLIDER.es os quiero hablar de algo que últimamente está siendo muy recurrente en medios de comunicación, y no es otra cosa que la posibilidad de manipular una conversación de Whatsapp y como este hecho, puede hacer que este sistema de mensajería no sea válido en un procedimiento judicial, todo ello según las noticias publicadas en distintos medios de comunicación. En este artículo trataré desde un punto de vista eminentemente técnico, sin sensacionalismos, explicar si realmente es tan fácil como parece, llegar a manipular una conversación de Whatsapp.

Fig.1 Uso de Whatsapp en un procedimiento judicial.

En primer lugar será preciso aclarar en qué consiste una eventual manipulación de Whatsapp, como ya he ido explicando en otros artículos, Whatsapp almacena muchísima información sobre el usuario: desde las veces que carga la batería a lo largo del día, si se conecta a WiFi o no, posiciones GPS, personas con las que más habla, histórico de los diferentes status, proveedor de servicios que utiliza… y así un sinfín de información más. Entonces, supuestamente esta manipulación se podría hacer contra cualquiera de estas bases de datos que nuestra app de mensajería instantánea almacena día a día. Aunque me imagino, que cuando a alguien se le habla de manipular un Whatsapp, lo primero que piensa es en alterar una conversación mantenida a través de esta app. Si tenemos en cuenta que a priori, lo más importante de una aplicación de mensajería es precisamente eso, los mensajes, me voy a centrar en explicar únicamente como se pueden manipular las conversaciones de Whatsapp.

Fig 2. Lo verdaderamente importante es un tratamiento adecuado de la evidencia.

Tanto en sistemas Android como iOS (Apple), Whatsapp almacena todas las conversaciones que un usuario realiza en una carpeta interna del sistema, más concretamente en una base de datos SQLite llamada “msgstore.db”. Aquí ya tenemos el primer problema para realizar la tan ansiada manipulación de conversaciones, tenemos que llegar a acceder a esta base de datos interna. Pero lo que no nos cuentan en muchos artículos que hablan precisamente de esto (y si lo comentan, no le dan la relevancia suficiente), de manipular conversaciones de Whatsapp, es que no es para nada sencillo poder llegar a esta base de datos, por ejemplo, en sistemas Android, al estar en una parte interna de la memoria del teléfono, no se puede acceder a la misma si no es mediante el usuario ROOT (super-administrador), y por suerte o por desgracia, cada vez son menos los Smartphone que vienen con el usuario “root” habilitado por defecto, esto quiere decir que: “no root, no glory”. En teléfonos iPhone ocurre algo parecido, por defecto no se puede acceder a la base de datos interna del teléfono. Por ejemplo, en mi teléfono, un Huawei P9 con Android 7 que no tiene habilitado el usuario root, en el que yo soy el dueño del teléfono y le puedo instalar las aplicaciones que yo quiera, no puedo acceder al fichero “msgstore.db” y por lo tanto, no puedo manipular ninguna base de datos. En esa probabilidad que comentaba al principio ya nos estamos «quitando de encima» muchos teléfonos. Todos aquellos a los que no se pueda acceder como root, tampoco se puede manipular su base de datos de Whatsapp. Algunos estaréis pensando en técnicas como Whatsapp Downgrade, que permite “engañar” al sistema Android para instalar en el teléfono una versión concreta de Whatsapp (mas antigua) que permitía realizar un back-up de las conversaciones, pero OJO!, Whatsapp Downgrade permite extraer las conversaciones, no volver a inyectarlas dentro del teléfono para cambiar una conversación. Además, en los nuevos sistemas Android, esta técnica ya no es válida.

Fig.3 Permisos especiales de acceso a los directorios de Whatsapp

Ya partimos de la base, que a priorí a un móvil no rooteado, no se le podrá dar el cambiazo de la base de datos “original” por la “fake”. La maldad que se no puede ocurrir, es extraer la tarjeta SIM del móvil al que le queremos manipular la base de datos, introducirla en un móvil rooteado y a través del BackUp crifrado de la base de datos (el cual si es accesible), realizar la manipulación. – ¿Qué puede salir mal?. – Mal no saldrá nada. El problema que dentro del directorio “files” de Whatsapp, existe un fichero de “log” en el que queda registrado todas estas estratagemas de ahora quito una tarjeta, ahora meto una base de datos cifrada que no es la del móvil, ahora restauro un par de cosas… En resumen: efectivamente hemos realizado la manipulación de una conversación de Whatsapp, pero también hemos dejado en el fichero “log” un rastro cuanto menos llamativo de la manipulación, o lo que es lo mismo, que esta manipulación es detectable. También se nos puede ocurrir la maldad de alterar el log de Whatsapp para que la modificación no sea detectable, el problema, es que Whatsapp es muy “chivato” y no solo almacena en un único sitio la información, si no que la replica y la almacena en varios sitios de varias formas distintas, sitios y formas, que tampoco vienen al caso comentar ahora 😉 Seguir leyendo

El clonado ya no se lleva. Parte 3/3

¿Quieres montar tu propio laboratorio de adquisición de evidencias DFIR?¿Estás cansado de utilizar clonadoras para generar imágenes de discos duros?. Sigue leyendo, quizás te interese lo que te voy a contar en este nuevo artículo de GLIDER.es

Comencé el primer artículo de esta serie sobre clonados diciendo: que para realizar un clonado o una imagen forense del disco duro de un ordenador, simplemente cogemos el disco duro, lo conectamos a un dispositivo de adquisición, botón siguiente, siguiente y ya tenemos nuestra imagen forense preparada… Pero… ¡Oh, wait!, ya vimos que esto no era tan fácil como a priori podía parecer, ya solo el hecho de llegar al disco duro de un ordenador, en algunos casos, puede ser una tarea del todo imposible, por no hablar de algunos tipos de sistemas de almacenamiento que van prácticamente soldados a las placas bases de ordenadores portátiles ultra-finos, tipo de ordenadores que por cierto, cada vez abundan mas. La opción de no actuar sobre este tipo de ordenadores por no poder acceder a su disco duro, está descartada. El trabajo de un forense informático no solo debe ser limitarse a pulsar el botón “siguiente”, “siguiente” en una máquina o un software que cuesta varios miles de euros, como ya dije mucha veces, un forense, tiene que tener muchas cualidades: técnica, conocimiento, objetividad, no apasionamiento, y también, un poco de artesano. Artesanía que en numerosas ocasiones se necesita para llegar un poco mas allá del camino marcado, solo así podremos llegar a obtener conclusiones que permitan alcanzar el fin de todo procedimiento forense, que es ni mas ni menos:  la búsqueda de la verdad.

 

 

Fig.1 Artesano en su materia.

 

Pero volviendo al problema de los discos duros y los ordenadores ultrafinos. ¿Qué hacemos con ellos?. Una opción sería arrancar el ordenador en cuestión, y a través de métodos de análisis directo sobre un sistema iniciado, tratar de extraer la máxima información posible del mismo, esta opción la dejaré para futuros artículos. Hoy vamos a ver como poder realizar una imagen forense, de esos dispositivos a los que no podemos acceder de ninguna forma tradicional a su disco duro. El método que vamos a utilizar no va a ser otro que usar un sistema Live, estos sistemas nos permiten arrancar el dispositivo en modo seguro y así realizar la adquisición sin modificar la evidencia, pero ¡OJO!, aunque esto puede parecer una tarea simple, vamos a ver como complicarla para poder exprimir al máximo el sistema y así adquirir un mayor número de evidencias en el menor tiempo posible.

 

Fig.2 4 horas en las que podremos tomar 8 cafés con leche.

 

Hoy en día un forense no solo tiene que ser eficaz en su trabajo, también tiene que ser eficiente. Imaginemos una oficina de cualquier empresa, en la que puede haber,  entre ordenadores de sobre mesa, portátiles, teléfonos y tablets, unos mil equipos informáticos. La opción de ir ordenador por ordenador, desmontando la torre, extrayendo el o los discos duros, conectándolos a una “clonadora” y realizar la adquisición, se puede antojar cuanto menos prolongada en el tiempo. Ha llegado el momento de comenzar a utilizar el hardware del propio ordenador “evidencia” para realizar la adquisición de esta, y no solo el ordenador, si no que también, llegó el momento de aprovecharnos de toda la infraestructura de red que dispongamos a nuestro alcance.

 

 

Fig.3 Típico armario de comunicaciones.

 

Aquí es dónde entran las capacidades de inventiva, pensamiento lateral y artesanía que un forense debe tener (¿Solo un forense?), para poder convertir en pocos minutos una red informática de una empresa, que por ejemplo ha recibido un ciber ataque, en una red de laboratorio preparada para realizar una adquisición de información de forma masiva, y sobre todo, de forma adecuada.

¿Vamos a ello?

Seguir leyendo

El clonado ya no se lleva. (Mini historia) Parte 2/3

En la primera parte de este artículo: El clonado ya no se lleva. Parte I os contaba las tendencias de la temporada primavera-verano 2013 para tratamiento de Evidencias Digitales, pero como se que os gusta estar a la moda, en esta segunda parte ya os puedo presentar la nueva temporada otoño-invierno 2013 (si, ya se que estamos en 2017) de tratamiento de Evidencias Digitales a Granel, técnicas también conocidas por las siglas: DFIR, más o menos traducido como: “Respuesta forense digital ante incidentes de ciberseguridad”. Vamos al lío.

Si habéis leído la primera parte de este artículo, ya nada se os puede resistir en el campo de la adquisición de imágenes forenses de Evidencias Digitales. Así que ya es hora de comenzar a trabajar y generar nuestra primera imagen forense.

Fig. 1 Perfil de un MacBook Air

 

El primer día de trabajo, llegamos a nuestro laboratorio y nos encontramos con un precioso MacBook Air 11” de Apple, un prodigio del diseño minimalista del que nos solicitan que hagamos una imagen forense de su contenido. Como hemos sido buenos alumnos, sabemos que lo primero que hay que hacer con el ordenador, a partir de ahora: Evidencia1, es documentar completamente su estado, es decir, dejar constancia por escrito de cual es su marca, modelo, número de serie, color, estado, si esta encendido, apagado, dañado. Sin olvidar registrar si el “elemento en cuestión” viene con alguna protuberancia extraña adherida a su cuerpo, véase un minipendrive USB conectado a alguno de sus puertos, si trae una antena WiFi USB, un cargador  de batería o incluso si fuera el caso, de algún CD/DVD dentro de la lectora. En este punto, ya llevamos por los menos cuatro folios de informe escrito, con sus negritas y cursiva, la cosa pinta bien, nos va a quedar un informe muy “pro”. Si las primeras veces os cuesta, nos os preocupéis, solo tenéis que mirar este artículo, ya va casi un folio y todavía no se ha dicho nada interesante 😉

Bueno, llegó el momento de “meterle mano” a nuestra Evidencia1, nos ponemos guantes, encendemos la bombilla del flexo con lupa, nos ponemos la bata blanca, impoluta por supuesto, cogemos el maletín de destornilladores que hemos comprados tres semanas antes en AliExpress, nos conectamos a tierra con esas pulseras azules de muelle tan a la moda, estiramos el tapete negro de goma para depositar en él, el ordenador portátil y proceder a su autopsia mediante la extracción del cerebro del finado, esto es, su disco duro.

Fig. 2 Pulsera anti-estática

 

En primer lugar procedemos a coger un destornillador de estrella para desmontar la tapa trasera del portátil y así extraer el disco duro para poder conectarlo a nuestra “clonadora” y realizar la imagen forense. Pero un momento… el destornillador de estrella no encaja en la cabeza de los tornillos del portátil. ¡Buff, que fallo!, ¡Casi la liamos! los tornillos del portátil son tipo TORX y no de estrella, bueno no pasa nada, como nuestro maletín de herramientas tiene de todo, ahora si, cogemos el destornillador TORX del 3 y aquí no ha pasado nada, que nadie nos ha visto. Pero que raro, el TORX del 3 tampoco entra en la cabeza del tornillo, bueno, bueno, tranquilidad, vamos a respirar hondo, que no queremos “pasar de rosca” la cabeza de un tornillo el primer día, vamos a probar con un TORX del 2 que seguro que encaja como el zapato de cristal de Blancanieves, ¿o era Cenicienta?, bueno, que mas da, que nos dispersamos del tema y nos liamos. Al final entre que si era: Blancanieves, Cenicienta o la Sirenita, nos hemos pasado haciendo fuerza en la cabeza del tornillo, lo que vienen siendo unos 0,1 mili Newton, y se «pasó» la cabeza del tornillo. Ahora que ya esta rota, nos fijamos en el resto de los tornillos que todavía quedan intactos y resulta que aunque la forma de sus cabezas parecen las de un TORX (6 puntas), las cabezas de los tornillos del Apple en vez de ser hexalobe (6 puntitas), son pentalobe (5 puntitas).

Fig. 3 Pentalobe de Apple vs Torx estándar. 

 

Ya les vale… ¿Que mas le daría poner una estría demás a los tornillos y cumplir con el estándar TORX?. Pues no, decidieron sacar su propio “estándar” de cinco puntitas, y claro, ahora ni destornillador ni cabeza que sirva.

Fig. 4 Detalle de un tornillo pentalobe de Apple

 

Tres semanas y un nuevo pedido a AlieExpress después…

 

Por fin, ya tenemos un nuevo y flamante destornillador de cinco puntas para tornillos de Apple, que cuesta tanto como una caja entera de destornilladores normales de cualquier otro tipo. Ahora si, nos disponemos a realizar la apertura de la carcasa trasera del Mac. Una vez abierta, todo según lo esperado, todos los componentes de un elegante color negro mate, o mejor dicho, todo el componente, por que parece que es todo una única pieza. Pero… ¿Y el disco duro dónde está? ¡No tiene disco duro! ¿Y ahora que hacemos?.

Fig. 5 Placa base de un MacBook Air con el «disco duro» marcado en rojo

 

Realmente lo que ocurre, es que este tipo de ordenadores ultrafinos, no pueden llevar en su interior discos SATA al uso, ya que directamente son demasiado voluminosos como para poder entrar dentro de una carcasa tan reducida como la de un MacBook Air. Esto no quiere decir que estos ordenadores no lleven discos duro, o mejor dicho, no lleven almacenamiento. En el caso de Apple, estos ordenadores los montan con unas placas SSD propietarias de la marca que hacen las funciones de sistema de almacenamiento.

Fig. 6 Placa SSD de Apple fabricada por TOSHIBA

 

Como era de esperar, se necesita un adaptador especifico para el año y modelo concreto de cada portátil de Apple y así para poder conectar estas placas SSD a conectores SATA estándar para extraer la información de los mismos. Si vuestra idea es acudir a la Apple Store mas cercana a comprar uno de estos adaptadores, siento deciros que no los vais a poder encontrar, ya que no los venden. Estos adaptadores solamente se pueden conseguir en el mercado negro de la DeepWeb pagando en BitCoins, bueno y también se pueden conseguir en: Amazon, eBay, AliExpress…

Fig. 7 Adaptador placa SSD de MacBook Air a SATA convencional.

 

El problema es que ya no tenemos tiempo para realizar otro pedido a AlieExpress, ni a ninguna otra tienda. Así que tendremos que realizar la adquisición de la imagen forense de esta Evidencia Digital de otro modo. De momento todo lo que habíamos aprendido en el artículo anterior no nos ha servido para nada, o quizás si, esto es algo que no podemos olvidar en el mundo de la informática forense, o quizás en el mundo de la informática en general, no podemos pensar que sabemos todo, que nunca nada nos sorprenderá, a lo mejor tenemos muchos conocimientos técnicos, pero después resulta que un fabricante decide cambiar la forma de un tornillo, y todos esos conocimientos ya no los podemos aplicar, al menos como teníamos pensado en un primer momento, por eso en este mundo es muy importante estar siempre reciclándose y lo mas importante, podrás aprender un poco de todo el mundo, y luego ya decidirás que técnica aplicar o no, pero lo imprescindible es conocer que esa técnica en concreto existe y nunca pensar que lo sabemos todo.   OJO! Aunque durante todo el artículo he estado hablando sobre los problemas que ofrecen los ordenadores Apple del tipo ultrafinos, como los modelos MacBook Air, no quiere decir que solamente sea Apple quien monta en el interior de sus equipos estos discos sin conectores SATA. Por ejemplo, ahora mismo estoy escribiendo estas lineas desde mi portátil ultrafino de marca ASUS y en su interior tampoco lleva un disco con conexión SATA convencional. Por no hablar de ordenadores portátiles fabricados hace ya unos años, en los que lo mas probable es que ninguno de ellos lleve conectores SATA estándar para sus discos duros, ya que muchos fabricantes montaban conectores propios y así garantizaban que solamente se pudieran montar sus propios discos duros en los portátiles que fabricaban.

 

Continúa leyendo la Tercera parte de: El clonado ya no se lleva 3. PULSANDO AQUÍ.

 

El clonado ya no se lleva. Parte 1/3

Si alguna vez habéis asistido a una de mis charlas sobre tratamiento de evidencias digitales, posiblemente me habréis escuchado decir que los clonados de discos duros ya no se llevan. Algunos se extrañan al oírme decir tal afirmación, más si cabe, si la persona que lo escucha, no conoce otra palabra en el ámbito del análisis forense que no sea la del “clonado” y “volcado”. Pero en realidad esto no es cosa de modas: es un tema de eficiencia y eficacia. Clonar un disco duro implica copiar bit a bit toda la información que este contiene, es decir, copiar todos los bits (0 y 1) de un disco duro original sobre otro disco copia. Como seguro que ya os imaginaréis, por cada disco duro (físico) original, se necesitará un disco duro (físico) copia, no vale con lo de «si tengo varios discos duros originales pequeñitos, clonarlos todos a uno más grande y ya está«. No, no es así. Un clonado siempre implica que, por cada disco duro origen, se necesite otro disco duro físico de destino, y no solo eso, no servirá cualquier disco duro. El disco duro que se utilizará para realizar la copia deberá ser de las mismas características que el disco duro original: tipo, tamaño, sectores… Además de tener que estar completamente wipeado, esto no es otra cosa que “poner” previamente todos los bits del disco destino a 0, para así evitar que se «contamine» con los datos que ya pudieran estar grabados en el disco de destino.

Fig.1 MorterueloCON 2017

 

Por otra parte, si lo que tenemos que hacer es clonar un par de discos duros al mes, nos dará igual este extremo. El problema surge cuando es necesario adquirir  (capturar) mediante clonado cientos de discos duros al mes, cada uno de ellos con un tamaño distinto, un fabricante distinto, un tipo distinto… Además, como ya comenté, el disco de destino tiene que estar wipeado. En este caso, tampoco vale la excusa de decir que «el disco de destino está a estrenar, y que lo acabo de sacar del embalaje del fabricante«, hoy en día aún hay técnicos que afirman que es necesario desprecintar el disco duro de destino al momento de realizar el clonado para garantizar que no tiene otros datos anteriores grabados. El problema es que un disco duro, nuevo, a estrenar, recién sacado de su caja original, que huele a nuevo, no tiene porque venir de fábrica con todos los bits a cero, es más, algunos de ellos ya vienen con formato asignado y un par de ficheros PDF informativos y publicitarios en su interior, por no hablar de los discos reacondicionados. Así que para hacer clonados forenses de discos, los discos copia o destino tienen que estar previamente wipeados si o si, este proceso si será el que garantice la validez del disco duro destino, y no el sacarlo de una caja con una pegatina de plástico que ha puesto ahí el fabricante.

Fig.2 Disco duro en una bolsa electro estática.

 

Para solucionar estos problemas y otros que conllevan el clonado de discos duros, ya hace muchos años que se “inventaron” las imágenes forenses de discos duros, pero ¡OJO!, una imagen forense de un disco duro no es fotocopiar un disco duro por las dos caras y luego compulsar la fotocopia. (verídico 😉 )

Fig.3 Imagen «casi-forense» de un disco duro

 

Realizar una imagen forense del contenido de un disco duro, implica tomar todos esos ceros y unos que están grabados en el disco duro origen, y en vez de grabarlos directamente sobre la superficie de otro disco (esto sería un clonado), los «empaquetamos» en un fichero contenedor, como puede ser los ficheros Ex, DD, ISO, RAW. De este modo, podremos copiar, mover, analizar estar imágenes forenses, sin necesidad de trabajar con un disco duro (físico) copia. Es decir, en vez de custodiar un elemento físico como es un disco duro, custodiamos y operamos con ficheros digitales que se pueden mover de un lado al otro, y que en todo momento podremos garantizar su integridad mediante el uso de sistemas de firmado digital HASH.

Ahora que ya os he convencido (o no) sobre la conveniencia de realizar imágenes forenses en vez de clonados para la adquisición de dispositivos de almacenamiento, vamos a ver como poder realizar esas imágenes forenses. Lógicamente, el método más sencillo, es coger una mal llamada «clonadora» forense, conectarle dos discos, origen y destino, pulsar sobre el botón de “Realizar Imagen” y ya solo nos queda esperar a que termine. Pero explicar el funcionamiento de estos dispositivos en este blog no tendría mucho sentido.

Fig.4 ImageMASster SoloIV G3 Plus

 

Así que explicaré como poder «jugar» con los sistemas de creación de imagen forense, para en cierto modo perder el miedo que todavía hoy en día existe sobre ellos.

Aunque normalmente no me gusta hablar de sistemas o marcas de software concretos, para desarrollar lo que explicaré a continuación utilizaré el sistema operativo forense Deft de Linux (o Deft Zero, que es la versión «reducida»), con las siguientes herramientas: Guymager, sha1deep, sha1sum, dhash, fdisk y cat. Además también utilizaré el software comercial Encase desarrollado por Guidance, para comprobar que los resultados obtenidos son exactamente los mismos. Seguir leyendo