Herramientas forense para ser un buen CSI. Parte XVII: Clonación I de II

Buenas a todos, el viernes pasado dediqué una hora durante el Curso de Peritaje Telemático al tema de las clonaciones y la adquisición de evidencias. Estar alrededor de tanto forense experto todo el fin de semana me ha dado mono de retomar esta cadena de artículos que llevaba algunos meses pidiendo a gritos "más chicha", por lo que la retomaremos de nuevo para hablaros hoy sobre clonación de discos.

Como ya indicamos a todos los asistentes del curso Pedro Sánchez, Lorenzo Martínez y un servidor, no es lo mismo realizar una imagen de un disco duro (como las que podáis realizar con el Norton Ghost), que un clon idéntico bit a bit, ya que en este último si que conservaréis información oculta, como archivos eliminados, que todavía siguen existiendo en los sectores del disco duro que aún no han sido sobrescritos, la MBR, etc.

Teniendo claro desde el inicio este concepto vamos a estudiar algunas de las posibilidades que tenemos para realizar la clonación de un disco de manera que sea admitida en un proceso judicial.

Clonación por Hardware

La técnica más cómoda por su rapidez y fiabilidad para realizar la clonación de un disco duro es la clonación mediante clonadoras hardware.A continuación vamos a detallaros algunas de las más utilizadas en el mercado:Logicube EchoPlus

• Soporte para IDE, EIDE, UDMA y SATA
• Velocidad de 2,5GB/min
• Precio $789
• Portable

VoomTech HardCopy 3P

• Soporte para Sata/IDE
• Velocidad de 6GB/min
• Clonación/Borrado en dos discos en paralelo
• Precio: $1,640
• Portable

Image MASSter Rapid Image 7020CS IT

• Soporte para IDE, EIDE, UDMA y SATA
• Velocidad de 8GB/min
• Clonación/Borrado de 19 discos en paralelo
• Tamaño industrial
• Precio: $10,080

Image MASSter Solo-4

• Soporte para SAS, SATA, IDE, USB y eSATA
• Velocidad de 3,6GB/min
• Precio: $5,700

 

Con esta última he tenido la oportunidad de trabajar en varias ocasiones, y he realizado algunas fotografías para que podáis ver como funciona.En el post de hoy vamos a utilizarla para realizar una clonación de un disco duro de 1T SATA, a un disco duro externo USB de 1T 3.0. Para ello vamos a realizar una clonación en formato .dd, que posteriormente podremos abrir con FTK Imager, Autopsy, etc.

En el caso de esta clonadora, se pueden realizar dos copias en paralelo. En los laterales se situarían los discos duros "sospechosos" que queremos clonar, y en la zona delantera colocaríamos los discos duros "evidencia" donde queremos realizar la clonación.

A continuación os presentamos el menú principal de la clonadora (que corre sobre un Windows XP cocinado). En este menú podremos marcar cuál es el disco duro origen y destino, seleccionar el tipo de clonación (en el caso de hoy DD), el algoritmo de hashing utilizado para tomar la firma de la evidencia (es muy importante que se seleccione como mínimo Sha-1, ya que MD5 se encuentra "roto"), así como otros datos que para la prueba de hoy no nos harán falta:

Ahora podemos acceder a la pantalla "Operator Screen", donde veremos en modo gráfico el estado de la copia (velocidad, bytes copiados, tiempo esperado, etc.):

Eso es todo por hoy, espero que os haya gustado el artículo, en el próximo artículo hablaremos de la clonación por software.

Saludos!