Por Brandon Gregg, IDG
Para obtener más información sobre la recopilación de pruebas digitales lea el siguiente documento sobre Las Mejores Prácticas del Servicio Secreto para la incautación de Pruebas Electrónicas, Guía de bolsillo.
Con esas normas en claro, nada le impide realizar la construcción de una configuración básica de informática forense que la imagen del sospechoso (es decir, crear una copia duplicada de la misma) y la revisión de la misma para la obtención de evidencias.
El primer paso antes de la obtención de pruebas es el reconocimiento. Primeramente, encuentre la marca y el modelo de la computadora de su sospechoso. La mayoría de las empresas utilizan códigos de stock, por lo que conocer el número y modelo del equipo sospechoso puede ayudarle a determinar el tipo de disco rígido (SATA vs ATA), su tamaño (40 GB o mayor) y, lo más importante-cómo acceder y desconectar el disco rígido. Los fabricantes de computadoras ensamblan sus discos rígidos en lugares particulares, por lo que una simple búsqueda en YouTube o Google, por ejemplo del disco rígido de Dell Latitude D400, puede ayudarle de forma rápida y fácil cómo extraer la unidad.
Para la selección del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar o construir.
Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios. Personalmente uso Logicube’s Portable Forensic Lab (http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una copiadora portátil. Este dispositivo cuesta unos pocos miles de dólares, pero permite hacer copias a una velocidad de 4 GB por minuto y es fácil de utilizar para aquellas personas que no conocen de tecnología. Logicube y otros proveedores también fabrican pequeñas unidades portátiles de unos pocos cientos de dólares que funcionan muy bien también.
Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un dispositivo vacío de disco rígido externo por USB (USD 20) y un simple cambio en su configuración/registro, puede lograr la imagen de datos como un profesional.
Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser recomendable si usted no está familiarizado con la tecnología de la computadora.)
- Haga clic en el botón Inicio y escriba Regedit y pulse Intro.
- Navegue a través de HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control.
- Haga clic derecho sobre Control y seleccione Nuevo y, a continuación Clave. Llame a la nueva clave FORENSICWRITEBLOCK.
- Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuación Dword. Llame al nuevo Dword WriteProtect.
- Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y pulse Aceptar.
Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB después de terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a cero.)
Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rígido personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le dará un mensaje de error indicando que la unidad está protegida contra escritura y su intento de copia de archivos fallará.
Después de capturar de manera encubierta el disco rígido del sospechoso, enchufe el dispositivo de bloqueo de lectura / escritura. Windows debería reconocer la nueva unidad y el explorador se abrirá. En este punto usted puede buscar y utilizar la unidad por su propia cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un momento posterior por usted o por un tercero y llevar a cabo la información a la corte.
Para hacer una imagen forense, descargue Accessdata’s FTK Imager 2.6.1 En el mercado forense hay muchos programas de código abierto, software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fácil de usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez instalado, seleccione “Crear imagen de disco”, seleccionar la fuente de la imagen (la unidad de disco USB), nombre su archivo y grabe la ubicación de almacenamiento (recomiendo guardar en una unidad externa de gran tamaño) y haga clic en Inicio. Después de unas pocas horas usted tendrá una copia idéntica de la unidad del sospechoso a explorar. En este momento usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia. FTK Imager también puede revisar la unidad asegurada o unidad original seleccionando “Agregar evidencia”. En esta función, Imagen actúa tanto como el Explorador de Windows, pero le mostrará muchos archivos borrados marcados con una X.
Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata, ofrecen soluciones de software que organizan los documentos del sospechoso, correos electrónicos y mensajes instantáneos, los índices completos de unidades para búsquedas; crack de contraseñas encriptadas, y mucho más. Personalmente recomiendo y uso FTK por sus herramientas fáciles de usar, alta velocidad de procesamiento y con un equipo de soporte técnico excelente.
Finalmente le digo a la gente de informática forense que esto es más un arte que una ciencia. Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o compra Encase y FTK para hacer la búsqueda más fácil, todo se reduce al tiempo que usted emplea en conectar los puntos y el ordenarlos de manera inteligente a través de una gran cantidad volumen de información.
Fuente: CXO
