La obtención de imágenes forenses podemos definirla, sencillamente, como la copia de la información contenida en dispositivos físicos de almacenamiento, sin alterar su contenido. En este post expondremos algunas alternativas disponibles a la hora de realizar imágenes forenses de discos rígidos, ya sea en una investigación que maneje evidencia, o en cualquier situación en que se desee preservar la información.
En particular, no estamos hablando de la copia de archivos individuales, sino de discos o particiones enteras, obteniendo una imagen o instantánea de un disco en un momento determinado. Si bien estas ideas encontraron sus primeras aplicaciones en el área de la Informática Forense, para garantizar la preservación y posterior análisis de la evidencia digital, en la actualidad puede encontrarse una gran cantidad de herramientas disponibles para el usuario hogareño. Así, el mismo tiene a su merced un abanico de posibilidades, desde una pequeña suite forense para adquisición de imágenes, verificación y análisis, hasta la utilización de soluciones menos robustas para tareas específicas, como realizar copias de seguridad o cifrado de los datos, por ejemplo.
Podemos plantear diversos escenarios, y en base a ellos, las posibles formas en que podemos adquirir las imágenes de los discos. Así, supongamos primero que nos encontramos con una computadora encendida. En este caso, no queremos que la información que está en el disco se modifique, por lo que si apagáramos la misma de forma normal, las aplicaciones y el Sistema Operativo escribirían en el disco al cerrarse. De igual forma, si instaláramos alguna aplicación o insertáramos una memoria USB con herramientas para hacer la imagen del disco, también estaríamos modificando el estado del mismo. Por eso, en este tipo de situaciones, y especialmente en el marco de una investigación, donde la información puede servir como evidencia, se recomienda desconectar la computadora de la fuente de alimentación evitando así alterar el estado actual del disco.
El siguiente escenario es el de una computadora apagada. Aquí hay dos opciones: se puede realizar la imagen del disco sin desarmar la computadora, o extraer el disco. En el primer caso, debemos tomar todas las precauciones necesarias para que en ningún momento arranque el sistema que se encuentra instalado en el disco. Para ello, podemos utilizar alguna de varias distribuciones de Linux en su versión Live, las cuales cuentan con diversas aplicaciones forenses ya instaladas y listas para ser usadas. Además, los discos son montados en modo de sólo lectura, y cualquier medio extraíble que sea insertado, no se montará automáticamente. Entre estas distribuciones encontramos Helix, CAINE, o incluso BackTrack Linux y Kali Linux.
En el caso de que decidamos extraer el disco de la computadora en la que se encuentra, contamos con la flexibilidad de poder realizar la imagen conectando el disco a otra computadora nuestra, o a dispositivos como duplicadores forenses, que realizan el proceso a una alta velocidad. Si utilizamos una computadora, deberemos conectar el disco a adquirir, y la imagen podrá ser almacenada en el disco local o en otro disco cifrado, por ejemplo. En cuanto a aplicaciones, contamos con FTK Imager, disponible para diversos Sistemas Operativos, o la suite EnCase Forensic, la cual permite realizar imágenes en forma gratuita, pero requiere una licencia para funcionalidades de análisis y descubrimiento de datos.
Luego de haber adquirido una imagen forense, la misma podrá ser preservada como backup, o utilizada para realizar análisis tales como la búsqueda de palabras clave, resumen de tipos de archivo presentes, y recuperación de archivos borrados, entre otros. Las posibilidades son muy amplias, pero siempre hay que tomar en cuenta los recaudos necesarios, y tener en cuenta que los tiempos involucrados en este tipo de procesamiento no son menores.
En futuros post, mostraremos algunas de estas herramientas con más detalle para aquellos que quieran seguir aprendiendo de la temática.
Matías Porolli
Especialista de Awareness & Research
