La ejecución de imágenes o copias forenses de medios de almacenamiento digital es una tarea prácticamente cotidiana en la vida de un analista forense informático, ya sea en el ámbito privado como en laboratorios periciales de fuerza de la ley.
Con el objetivo de asegurar que el contenido de un medio que se someterá a algún tipo de análisis forense no será modificado y pueda ser auditado es que se requiere efectuar, como paso previo a cualquier análisis, la copia forense para el resguardo de la evidencia digital, siguiendo las mejores prácticas y normas al respecto.
El creciente tamaño de los medios de almacenamiento, no solo de servidores, sino también de estaciones de trabajo y dispositivos IoT, sumado al hecho de que para el control efectivo del procedimiento el analista o perito debe presenciar el procedimiento de copia forense asegurando la continuidad de la prueba y constituyendo la cadena de custodia de la evidencia digital, presentan un desafío para la extracción de información digital, ya sea en el laboratorio o en el campo, debido al incremento constante de los tiempos de operación.
Las mejores prácticas en el tratamiento de evidencia digital enmarcadas en la norma ISO 27037 requieren que la obtención de la imagen forense se haga con el menor impacto posible. En el caso de un disco rígido ese impacto debe ser nulo. Esto quiere decir que durante todo el procedimiento no se puede escribir en el medio de origen (comúnmente denominado “disco del sospechoso”), por lo que, en caso de utilizar para la copia forense una aplicación que se ejecute en cualquier sistema operativo estándar -el que fuera- es necesario bloquear la escritura mediante un dispositivo de software o hardware, pudiendo prescindir del mismo si se utiliza una distribución de software que no acceda de manera automática a los medios de almacenamiento, ya que de ser así podría impactar modificando el disco del sospechoso.
Para completar los requisitos y que una copia sea forense, además de ejecutar la lectura bit a bit en el medio original y su escritura en el medio de destino, se debe utilizar al menos un método de verificación probado mediante un algoritmo de digesto matemático o HASH, el cual se usa únicamente con fines de verificación.
Dejando de lado la controversia por el uso de funciones de HASH con colisiones, que es crítica en el uso criptográfico del mismo pero no tiene impacto en el uso forense del mismo, se acompaña toda imagen forense con uno o dos valores de HASH, siendo comúnmente utilizados y aceptados en corte el MD5 y SHA-1.
La ejecución de una imagen forense contempla la optimización de elementos de hardware y software con el objeto de maximizar la performance del conjunto y disminuir los tiempos que insume la tarea.
Es importante entender que no todas las variables están en control del analista forense, ya que el hardware y software pueden estar predeterminados en nuestro laboratorio o requerir alguna configuración especifica como, por ejemplo, al adquirir un arreglo de discos RAID. Por lo tanto, resulta clave la elección de las interfaces de conexión a nuestro sistema de imágenes forenses, tanto para el disco de origen como para el de destino.
Si bien podemos, en ocasiones, elegir un disco de destino con la interfaz más rápida que nuestro sistema soporte para que la operación se realice en menor tiempo, nunca podremos elegir la interfaz del disco del sospechoso.
Es por ello que, de ser posible, se debe evitar incorporar interfaces de conexión adicionales a las estrictamente necesarias, ya que seguramente van a lentificar el proceso. Si el disco del sospechoso es un típico SATA, lo mejor es conectarlo a una interfaz nativa SATA o eSATA. Emplear un adaptador SATA/USB es posible, pero debemos saber que pagaremos un precio en la velocidad del proceso.
El software empleado para hacer una imagen forense es indistinto en el resultado del producto final, ya que prácticamente todos soportan los formatos abierto y propietarios, que son estándar del mercado y absolutamente todos deben entregar un producto final con los mismos valores de HASH de los datos almacenados en el disco de origen o disco del sospechoso. No obstante, la elección del software puede tener un impacto importante en el tiempo de ejecución de la copia forense, según la utilización que éste haga de los núcleos del procesador, manejo de la memoria RAM y arquitectura x64.
Una aclaración final importante: el benchmark de las aplicaciones que voy a realizar mantendrá el resto del sistema constante y los resultados podrían variar para plataformas de hardware diferentes. Es por eso que aconsejo que cada analista forense haga su prueba de concepto con el hardware que dispone para así poder conocer la métrica de SU sistema; aunque como bien sabemos, cada escenario es diferente y en ocasiones se requiere hacer una copia forense de forma indirecta; es decir, usando el “hardware del sospechoso”, por lo que, en ese caso, nos estaremos enfrentando a un sistema totalmente desconocido.
El Benchmark
Motivados por la reciente aparición de la versión 4.3 de un software clásico entre los analistas forenses, como es el FTK IMAGER v4.3, y por el anuncio de que el mismo podría reducir drásticamente los tiempos de ejecución de las imágenes forenses, es que surge este trabajo.
Mi anuncio en la red Twitter de este benchmark produjo una serie de aportes que terminaron de darle forma a este post, ampliándolo a las siguientes herramientas:
- FTK Imager 4.2 y 4.3
- EnCase Imager 7.10
- Tableau Imager
- Magnet Acquire
- Guymager
- Paladin Toolbox
- Tableau Forensic Imager TX1
- CRU Ditto DX
Intentaré reproducir un escenario de prueba lo más parecido posible al que se nos presenta día a día en nuestro trabajo, excluyendo almacenamientos RAID y SSD que naturalmente pueden dar valores mucho más bajos pero alejados de la tarea cotidiana del analista forense.
Quiero dejar en claro que el objetivo de este trabajo es realizar una comparación relativa que permita a los analistas forenses elegir, cuando sea posible, la herramienta más rápida para el escenario que enfrenten sabiendo que es de buena práctica contar con varias herramientas entre los recursos del perito o analista forense.
Para obtener valores comparables a los de la vida real utilicé como disco del sospechoso un disco SATA de 1 TB, de los que encontramos frecuentemente, y un disco también SATA para el almacenamiento.
A continuación, se detallan los mismos:
Disco de Origen/Sospechoso:
- Western Digital blue WD10EZEX SATA 6Gb/s de 1 TB de capacidad
Disco de Destino:
- Western Digital black WD2003FZEX SATA 6Gb/s de 2 TB de capacidad
La plataforma de hardware es una estación Forense FRED DX de Digital Intelligence con las siguientes especificaciones:
- CPU Intel Core i7-7820X CPU @3.60 GHz
- 64 GB RAM
- Windows 10 PRO - DEFT 8.2 – Paladin EDGE 64 v8.01
- Bloqueador de escritura TABLEAU T356789iu firmware 2.1.0.3
Las pruebas se hicieron en tres categorías, a saber:
1) Software privativo de uso gratuito bajo plataforma Windows: aquí se incluye FTK Imager, EnCase Imager, Tableau Imager y Magnet Acquire
2) Software open source bajo plataforma Linux: Guymager y Paladin EDGE, ambos incluidos en diversas distribuciones forenses
3) Hardware duplicador forense Tableau TX1 y CRU Ditto DX
Las dos primeras utilizaron la plataforma de Hardware FRED. Al software bajo Windows se le conectó el disco del sospechoso mediante el bloqueador de escritura del FRED, siendo esto innecesario al emplear software open source de distribuciones forenses.
Las aplicaciones bajo plataforma Linux se ejecutaron desde Live CD forenses empleando para ello las distribuciones DEFT 8.2 y Paladin Edge 8.01
La inclusión de los duplicadores forenses es a los fines de la comparación relativa, ya que los mismos emplean un hardware totalmente diferente sobre el que corre el software para realizar imágenes forenses, siendo hardware propietario sobre el que se ejecuta software propietario que utiliza porciones de código abierto.
En todos los casos se realizó la imagen en el formato EnCase tradicional E01, también conocido como Legacy o Expert Witness Format con compresión y seleccionando, de ser posible, Hashes MD5 y SHA-1; dejando el resto de los parámetros de configuración por defecto. El disco del sospechoso contiene aproximadamente el 20 % del disco ocupado. Y si bien las herramientas pueden tener diferente performance, sobre todo en la fase de compresión según se trate de contenido aleatorio, comprimido o bloques vacíos, no se observan diferencias apreciables en la performance y sí en el tamaño de la imagen obtenida.
En esta prueba de concepto omití hacer una verificación de la imagen forense al finalizarla. Si bien las mejores prácticas aconsejan hacerlo, en este caso lo omití para no duplicar los tiempos. En la tarea cotidiana es el analista forense el que determinará cuál es la mejor forma y el mejor momento para realizar dicha verificación.
Los resultados
Luego de realizadas las imágenes forenses con cada una de las aplicaciones, los resultados ordenados de menor a mayor, según el tiempo de ejecución, fueron:
| Plataforma | Fabricante | Producto | Versión | Tiempo |
|---|---|---|---|---|
| HW propietario | Tableau | TX1 Imager | 3 | 01:35:17 |
| Linux | Sumuri | Paladin Tool box | 8,01 | 01:55:02 |
| Windows | Tableau | TIM | 1.3 | 01:56:03 |
| Windows | Accesdata | FTK | 4.3 | 01:58:57 |
| Windows | OpenText | EnCase Imager x64 | 7.10 | 02:03:41 |
| Windows | Accesdata | FTK | 4.2 | 02:07:28 |
| HW propietario | CRU | Ditto DX | 2019Mar27a | 02:15:24 |
| Linux | Open Source | Guymager | 0.7.3-1 | 02:16:41 |
| Windows | Magnet Forensics | Acquire | 2.21 | 02:24:19 |
Del análisis de los datos obtenidos podemos hacer algunas consideraciones:
- Como era de esperar, el producto más rápido resultó ser el Duplicador forense Tableau TX1.
Sorprende el bajo resultado del Duplicador forense CRU Ditto DX. Posiblemente se deba a una arquitectura de hardware antigua.
- La motivación principal de este trabajo fue comparar la nueva versión de FTK imager 4.3 con su predecesora, ya que algunos testeos indicaban que reducía el tiempo a la mitad. Habría que ver las condiciones de contorno elegidas para sustentar esa afirmación. En este benchmark la mejora de velocidad no llega al 7 %. No obstante, se posiciona como el software bajo Windows más rápido después de Tableau Imager (TIM), diseñado para procesos de copia forense que incluyen bloqueadores de escritura de esa marca.
- En ambiente Linux, la mejor performance la tuvo Paladín Tool box Imager con el mejor tiempo para aplicaciones de software, levemente superior a TIM y FTK Imager 4.3.
Guymager quedó casi al final de la tabla, posiblemente requiera de una actualización del código.
Finalmente, quiero insistir en el hecho que este benchmark es una prueba de concepto tratando de emular un escenario real, sabiendo que los distintos casos que se presentan en la realidad pueden ser muy diferentes entre sí.
En el día a día, los analistas forenses y peritos informáticos nos encontramos ante escenarios que requieren que tomemos decisiones rápidas en tiempo real para los cuales tenemos que estar preparados. Es por eso que resulta importante conocer varias herramientas alternativas de modo de poder elegir la que mejor se adapte a la situación que presenta cada caso, ya que esto puede significar la diferencia entre completar la extracción forense correctamente o no hacerlo.
Si este articulo cumplió el objetivo de transmitir la metodología para hacer sus propias pruebas de concepto, me doy por satisfecho. Por último, no se olviden que, además de hacer una imagen forense en el menor tiempo, debemos documentar exhaustiva y claramente todo el trabajo para fortalecer y sostener el mismo judicialmente.
Autor del post: Ing. Gustavo Presman, investigador, entrenador y perito forense informático.
