Mòdul Professional 4: Anàlisi forense informàtic - Adquisició d'evidències NO volàtils

Índex

1 Evidències no volàtils

En la còpies de dispositius d'emmagatzematge ens podem trobar en diferents situacions, on en cadascuna d'elles haurem de procedir de forma diferent:

2 Ordinador apagat i dispositiu accessible

Aquesta és la situació ideal on el ordinador objectiu ja estigui apagat, el puguem desmuntar i tinguem tots els cables i adaptadors per connectar-ho a l'estació forense.

Previ a aquesta connexió caldrà assegurar-nos que la nostre estació forense:

  1. No inicialitzarà el S.O. de l'evidència.
  2. No auto-muntarà l'evidència.

Per fer-ho, primer de tot verificarem el sistema i ordre d'arrencada a la BIOS/UEFI i tot seguit en el propi S.O. deshabilitarem l'auto-muntatge de dispositius.

Si és Windows:

diskpart automount disable

Si és Linux (gnome):

gsettings set org.gnome.desktop.media-handling automount false

Un cop preparada l'estació forense es connectarà l'evidència i es procedirà a fer el clonatge. Tanmateix primer de tot haurem de identificar el disc origen i el disc destí, i tot i que això sigui una operació trivial, cal estar molt al cas per no cometre errors amb l'evidència original! Les comandes que podem utilitzar a Linux poden ser:

  • fdisk -l
  • hdparm -I /dev/sdx
  • ls /dev/sd*

Un cop identificats origen i destí podem procedir a fer el clonatge del dispositiu. Per fer aquest clonatge, si estem utilizant Linux, podem utilitzar la comanda dc3dd:

dc3dd if=/dev/evidencia of=/media/forense/copia1.dd of=/dev/copia2 log=/media/forense/evidencia.log verb=on hash=md5 hash=sha512

Fixem-nos aquí en alguns detall de la comanda. Un primer detall és que podem especificar més d'un arxiu o dispositiu de sortida, per tant podem obtenir varies còpies alhora. Un segon detall és que enregistrem els logs de l'operació, i per últim generem dos hash diferents, tot en una sola comanda.

3 Dispositius no compatibles amb l'estació forense

En aquest cas, el investigador forense no disposa de adaptadors, cablejat, dispositius, etc que permetin fer lectura del dispositiu d'emmagatzematge. L'estratègia a seguir és utilitzar el propi sistema de l'evidència (amb un LiveCD) per fer-ne una còpia en xarxa cap a l'estació forense.

Aquesta operació no cal dir que ja és més intrusiva que l'anterior, caldrà apagar el sistema (tallant la corrent), connectar el USB / CD Live i iniciar el sistema amb molt de compte de que no arrenqui el sistema base (perdríem bona part de l'evidència, i podria quedar invalidada en judici).

Un cop el LiveCD iniciat, localitzat el dispositiu del qual es vol fer imatge i tenint l'estació forense en xarxa amb un servidor SSH en funcionament executaríem aquesta comanda per realitzar la còpia del dispositiu:

ssh usuari@estacio_forense "dd if=/dev/sda" | dd of=imatge.gz

Un altre alternativa a ssh és utilitzar nc, però és menys recomanable ja que no estableix canal segur entre les dues màquines ni integritat de les comunicacions.

4 Utilitzant la màquina de l'evidència, en funcionament

Finalment, si tenim la màquina de l'evidència en funcionament i volem fer un volcat-ge per xarxa sense apagar-la utilitzarem aquest mètode. Tanmateix remarcar que no és aconsellable ja que el sistema no està "estable".

Per sistemes Linux i Windows podem emprar el sistema anterior (ja que Windows també disposa de versions de ssh i dd). Per a Windows específicament també podem utilitzar eines com FTK Imager o OSForensics en versions portables en usb o utilitzant petits dimonis client en el sistema víctima que es connectin al servidor (estació forense).

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-17 ds. 10:43