Buenas,
DISCLAIMER: No me une relación contractual ni de cualquier otro tipo con ninguno de los productos y fabricantes mencionados en este artículo. El texto es una mera impresión personal de un producto determinado, basada únicamente en mi propia experiencia.
Aquellos que habéis escuchado ya el podcast que grabé con Dabo (el enlace a su post lo teneís aquí) recordaréis que en la parte final hablamos de respuesta ante incidentes y cómo se desarrolla el trabajo de campo del examinador forense. Por cierto, gracias a todos por la acogida, casi 1.500 descargas, nada más y nada menos :)
En el podcast se habla de un maletín, y dado que este material no es algo que salga a la luz con frecuencia, he creído conveniente hablaros de él para ilustrar un poco mejor el tema, sobre todo teniendo en cuenta que recientemente ha caído en mis manos un Tableau TD1 :)
El maletín
El maletín en sí, tanto en el caso de la unidad Tableau como en la amplia mayoría de productos comerciales de estas características, suele ser un contenedor acorazado que tiene como principal objetivo proteger los contenidos del mismo, principalmente la unidad de duplicación, los discos y otros componentes sensibles que podamos llevar dentro, facilitando a la par el transporte del equipo.
(Aquí en un tamaño más grande)
El maletín en sí lo fabrica PELI, y la unidad de duplicación y sus accesorios se suministran en un modelo 1450 dentro de su serie de maletines con relleno. A simple vista puede parecer un maletín cualquiera, pero es mucho más que eso: es impermeable, está fabricado para resistir ambientes pulverulentos y es resistente al aplastamiento. Es ligero y cuenta en el frontal con una válvula de ecualización de presión, y dispone de orificios en acero inoxidable para poder emplear candados de cierre. El interior está compartimentado con un relleno de espuma que le confiere al material un grado de protección adecuado.
La regla que hay debajo de la foto tiene 30 centímetros de longitud, para que podáis haceros una idea del tamaño. Si lo comparamos a otros maletines, como el PFL de Logicube, tiene un tamaño y peso considerablemente menores, pero esto también tiene su faceta negativa: el PELI 1450 tiene un espacio limitado para guardar dentro lo que solemos utilizar para el trabajo de campo: destornilladores, linterna, llaves, formularios, un portátil, discos para la adquisición, los adaptadores necesarios, bolsas de plástico alveolar y bolsas anti manipulación para la conservación de evidencias, entre otros.
El interior
El interior contiene la unidad Tableau TD-1, el adaptador de corriente con clavija intercambiable europea/americana, y una serie de accesorios necesarios para el trabajo de campo: dos juegos completos de cables IDE y SATA, con sus respectivos alimentadores de corriente, y una serie de conectores.
(Aquí en un tamaño más grande)
Grata sorpresa, en la parte superior izquierda, la presencia de una bolsita con un adaptador Zero Insertion Force (ZIF) que nos vendrá de perlas en la adquisición de ciertos discos en ordenadores portátiles.
Los cables suministrados son de buena calidad, y se agradece tener cables IDE cortos y largos en el equipo. El maletín, además del cableado IDE/SATA y el conector ZIF, viene con un adaptador Micro SATA, un adaptador IDE de 1.8 pulgadas y otro IDE de 2.5 pulgadas, con lo que se cubre la casi totalidad de adaptadores usuales en medios de almacenamiento modernos. Echo en falta adaptadores SCSI, con lo que convendrá asegurarse que tenemos alguno en el juego.
La unidad de duplicación forense
Sorprendentemente ligera, al menos comparada con el Talon de Logicube, es sencilla de operar y muy intuitiva en cuanto a funcionalidad. Aunque esté construida en plástico, es compacta y resistente. Los controles son sencillos y los conectores, situados en los laterales, son accesibles sin dificultades.
(Aquí en un tamaño más grande)
Es posible conectar una unidad origen y una destino para la duplicación, y se permiten IDE y SATA, indicando el panel luminoso qué modelo está en uso en cada caso, y existiendo un indicador de actividad y otro de alerta. En la siguiente imagen podemos ver un montaje prototipo, con un disco IDE como origen a la izquierda y un disco SATA como destino a la derecha.
(Aquí en un tamaño más grande)
Además de la clonación forense disco a disco es posible realizar imágenes disco a fichero tanto en formato bruto (DD) como en formato comprimido E01, siendo posible la verificación en todos los casos. La unidad permite además formatear discos, verificar la superficie de los medios, realizar borrado seguro de los discos y la obtención de hashes de los discos tanto en MD5 como SHA-1.
Como valor añadido, la unidad posibilita la conservación, gestión y visualización de logs de las operaciones, y tiene una funcionalidad que yo al menos agradezco en extremo: posibilidad de detectar y eliminar los mecanismos de ocultación usuales en discos, como HPA (Host Protected Area) y DCO (Device Configuration Overlay)
(Aquí en un tamaño más grande)
El display de la unidad es sencillo de leer e interpretar y ofrece información en tiempo real sobre el tiempo consumido en la tarea y el tiempo esperado para la finalización, lo que nos puede venir muy bien cuando estamos respondiendo un incidente y necesitamos dedicar el tiempo a otros menesteres. A tal efecto, la unidad permite la programación de una alarma (sonora y visual) de aviso de finalización de las operaciones en curso, lo que nos ayudará a no tener que estar permanentemente consultando el display para ver cómo va el proceso.
Resumen: Algunas ventajas
- Es probablemente el clonador forense con mejor relación calidad precio del mercado
- Tamaño y peso adecuados para el transporte aéreo en equipaje de mano y suficientemente robusto para ser facturado
- El maletín es cómodo y cuenta con orificios para sellado y colocación de candados
- La unidad de duplicación es sencilla e intuitiva
- Buenos tiempos de respuesta a la hora de ejecutar operaciones
- El display es sencillo de leer e interpretar
- Las funcionalidades son numerosas y cubren prácticamente todos los escenarios habituales
- Es posible conectar la unidad al equipo del investigador mediante USB y FireWire
- Permite detectar y eliminar mecanismos HPA/DCO
- La compresión E01 en operaciones disco a fichero es rápida y no provoca retrasos significativos al proceso
… y algunos inconvenientes
- El maletín puede resultar demasiado pequeño si se pretende conservar en él el resto del equipo, como herramientas, linterna, portátil y otros accesorios, lo que probablemente nos obligará a llevar una bolsa auxiliar con estos elementos.
- El maletín no es un laboratorio portátil como por ejemplo, el PFL de Logicube, con lo que no se suministran los accesorios usuales más allá de la unidad de duplicación y los conectores
- El display es pequeño, lo que requiere la navegación con scroll en determinadas pantallas
- El mecanismo de introducción de los datos del investigador y del caso en la unidad de duplicación es rudimentario, al carecer la unidad de teclado o de una pantalla táctil con el alfabeto completo
- La cara interior de la tapa está desnuda, desaprovechando espacio para almacenar formularios, plásticos de protección y bolsas para la conservación de evidencias
- Las operaciones de duplicación disco a fichero están limitadas a DD, E01 y DMG, no siendo posible emplear otros formatos interesantes como AFF
- Las operaciones con medios SAS, SCSI y USB requiren la adquisición de expansiones (Tableau Protocol Modules)
Un saludo,
Vaya grande Sergio ! ahora sí que se entiende bien, tengo que editar mi post y poner un enlace a esta entrada, porque ponerle imágenes ha sido lo que muchos de los que nos han escuchado (incluído yo) estaban esperando.
Viéndolo así se entiende mucho mejor el trabajo en si y lo aparatoso que puede llegar a ser tal y como decías en el audio.
Un abrazo !
Buen artículo Sergio, te indico algunas dudas y preguntas:
. ¿ Dispones de relaciones tamaño disco con tiempo de clonado ?.
. ¿ En el caso de realizar un dd te la posibilidad de almacenar report del clonado realizado ?
. ¿ En algún caso concreto te has encontrado problemas con la temperatura que cogen los discos ?.
Gracias.
Ante todo he de decir que mi conocimiento sobre estos temas forenses es nulo :)
Dicho eso, aqui va mi pregunta tonta:
Aparte de un maletin muy resistente y de esas funcionalidades para saltarse el HPA y DCO, esto aporta algo mas que un clonezilla corriendo en tu portatil con los discos origen y destino conectados por USB??
Es simple curiosidad,
Saludos
@psgonza
No hay preguntas tontas. Nunca :)
CloneZilla es una herramienta de clonación de discos y particiones, no es una herramienta para la adquisición de imágenes. Por tanto no genera logs adecuados para la preservación de evidencias, como por ejemplo, los siempre necesarios hashes de origen y destino.
La idea de adquirir una imagen, principalmente, es convertir a ficheros los contenidos de un disco. Trabajar con ficheros es cómodo, se pueden agregar, disgregar, montar, desmontar, mover, copiar … y CloneZilla no te lo permite. Por tanto olvídate de los formatos comprimidos, tan útiles en estos tiempos que corren con discos de muchos GBs.
Un duplicador forense te permite conectar discos de manera nativa, IDE o SATA en este caso. Hacer imágenes por USB es mucho más lento, salvo que utilices USB 3.0 o eSATA.
Por último la ejecución de CloneZilla necesita un portátil, y este es siempre más frágil que una unidad de duplicación forense. Otro factor a tener en cuenta. Tampoco olvides que, salvo que puedas garantizar la protección contra escritura, no es buena idea enganchar un disco evidencia a un sistema en ejecución por el impacto que puede sufrir el sistema de ficheros.
Un saludo,
@N3cr05
a) Depende del tipo de disco, pero si haces cuentas con 3 GB/minuto puedes hacerte una idea más o menos certera para la mayoría de escenarios.
b) Sí, hagas DD o E01, se genera un reporte automáticamente con todos los datos necesarios
c) La verdad es que no, pero pueden ocurrir. La temperatura de operación de discos convencionales está entre los 5 y los 50 grados centígrados, así es que es siempre recomendable el empleo de refrigeración auxiliar (http://www.forensic-computers.com/acqAccessories.php) bien sea mediante un accesorio, que es lo recomendable, bien trabajando en un ambiente refrigerado, como un centro de datos. Para presupuestos bajos se puede emplear un ventilador portátil.
Un saludo,
Gracias por la explicación ;)
Saludos
Buenas, ante todo muy buen artículo.
soy novato en estas cosas y he podido tener acceso a una imagen de disco a fichero, hecho con esta herramienta.
Tengo un conjunto de ficheros (IMAGE
Buenas, ante todo estupendo artículo
.
Soy novato en estas cosas, y he podido tener acceso a una imagen de disco a fichero hecho con esta herramienta.
Concretamente, tengo un conjunto de ficheros, IMAGE.001, IMAGE.002, … y la verdad, no se que hacer con ellos. Como puedo analizar/montar la imagen????
Quiero ver el sistema de ficheros original, ver el $MFT (es NTFS…), esas cosas… perdón por la ignorancia.
Muchas gracias.
Un saludo.