El maletín del investigador forense

En investigaciones forenses se requieren precauciones extremas y un alto grado de pericia. Un investigador debe estar capacitado para preservar las evidencias digitales, analizar los datos y proveer un testimonio que podría incluso determinar un veredicto en un juicio. Para realizar este análisis, el investigador debe valerse del hardware y el software necesario para analizar todo tipo de plataformas y aplicaciones, trabajando a partir de duplicados de la evidencia original y proporcionando resultados repetibles.

Hoy en día existen una serie de maletines que facilitan estas tareas proporcionando al investigador un completo y auténtico laboratorio forense portátil. Estos kits suelen ahorrar tiempo en las fases de adquisición e investigación, por ejemplo incluyendo write-blocking y realizando cálculos de hashes mientras se copian los datos.

Sin embargo, hay que decir que no existe ninguna función que realice cualquiera de estos kits que no pueda también llevar a cabo un programa de software instalado en un equipo convencional. Aún así y ya sea por política, imagen o cualquier otra razón, una empresa puede decidir gastarse miles de euros en uno de estos maletines y poner en manos de alguno de sus analistas una herramienta que haría morir de envidia al mismísimo McGyver.

Adquirir una de estas estaciones forenses no es algo trivial y elegir correctamente puede llegar a ser un auténtico reto.

Requisitos de hardware

Primero es imprescindible que la estación de trabajo forense sea ampliable y que el investigador sea capaz de reconfigurar el sistema para dar cabida a interfaces adicionales.

Uno de los nuevos procesadores Intel o AMD será más que suficiente para la mayoría de las investigaciones. Aunque en algunas ocasiones será necesario comparar los hashes de una gran cantidad de ficheros o buscar palabras clave en el disco duro, la velocidad de proceso dependerá de la velocidad de acceso a la unidad, por lo que en lugar de invertir en un procesador muy potente será necesario centrarse en conseguir la velocidad más alta posible del bus I/O para que el sistema pueda acceder rápidamente a los datos almacenados en el disco.

En cuanto a la capacidad de almacenamiento de las evidencias dependerá un poco del nivel y la periodicidad de los análisis forenses que realicemos. Por ejemplo es muy probable que con 4 unidades de 400 GB en RAID 5 podamos llegar a almacenar los datos de al menos 15 investigaciones.

Respecto a las capacidades para clonado de discos, es importante tener duplicadores de disco con varias interfaces ATA, IDE, SCSI e incluso USB y Firewire. Algunos duplicadores pueden funcionar en modo "espejo", permitiendo a un investigador escribir copias a dos unidades simultáneamente y teniendo una redundancia tan importante hoy en día en los análisis forenses.

Otro aspecto importante que debe incluir todo buen maletín que se precie son los write blockers o protectores de escritura. Debido a que muchos sistemas operativos escriben datos en el disco nada más encender el equipo, muchos investigadores optan por el uso de bloqueadores hardware para prohibir cualquier modificación durante el duplicado. Un write blocker no es más (ni menos) que una herramienta diseñada para interceptar las comunicaciones entre el sistema operativo y el medio de almacenamiento (por lo general un disco duro ATAPI) filtrando las E/S que solicitan la modificación de los datos.

Requisitos de software

En cuanto al software, no hay un entorno definitivamente mejor que otro para nuestra estación de trabajo forense. No obstante hay que tener en cuenta también una serie de consideraciones.

Basta un sistema operativo estable, multiusuario, que tenga capacidades para loggear los eventos de hardware relevantes y los datos de las sesiones. Debe ser un sistema modular, que soporte diferentes periféricos y sistemas de ficheros.

Es necesario tener un control absoluto de los servicios y de cómo se montan las particiones y dispositivos para preservar la evidencia durante el análisis.

Por último y en caso de duda, es preferible instalar un sistema multi-arranque o virtualizar.

Algunos equipos del mercado

- Logicube Portable Forensic Lab: incluye conectividad a dispositivos IDE/UDMA, SCSI, SATA, acceso PCMCIA para dispositivos portátiles, acceso USB, dispositivos de 1.8" y 2.5" con adaptadores opcionales, medios Compact Flash y la mayoría de las tarjetas de memoria. Permite autenticación MD5 o SHA-256 para asegurar que la integridad de las evidencias y opcionalmente se puede adquirir el capturador de datos Forensic Talon capaz de capturar imágenes DD a una velocidad de 4Gb/min con SHA-256.


- DIBS Mobile Forensic Workstation: destaca un interfaz de protección contra escritura con conexión IEEE 1394 (Firewire). Su maletín es resistente al agua y los impactos e incluye cámara digital para grabar "la escena del crimen" y los detalles del equipo e incluso una impresora a color. Viene preinstalado con Windows XP y algunas utilidades forenses como Forensic Toolkit y Registry Viewer.


- RoadMASSter 3 Mobile Forensics Data Acquisition and Analysis Computer Lab: posee una amplia variedad de interfaces para dispositivos (IDE, SATA, SCSI, SAS, USB, 1394A/B), permite hashing MD5, CRC32, SHA1 y SHA2, múltiples métodos de captura y copiado simultáneo. Uno de los más completos (y caros) del mercado.

2 comentarios :

  1. Wow, qué buen artículo! Muy interesante. :)

    ResponderEliminar
  2. Gracias! A que están bien estos juguetitos? :-)

    ResponderEliminar