IACC Análisis Forense Digital Control Semana 4

 

PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA. PARTE II. VÍCTOR VILLAR JARA  ANÁLISIS FORENSE DIGITAL DIGITAL INSTITUTO IACC LUNES 10 DE MAYO DE 2021.

 

INTRODUCCIÓN. La regla básica para el análisis forense es que sus analistas jamás utilizan el disco al que se le efectúa el proceso de clonado para ejecutar un análisis, ya que el análisis siempre debe ser realizado sobre una copia exacta del disco. En Chile, lamentablem lamen tablemente, ente, esto no es obligator obligatorio, io, pero las buenas prácticas prácticas conmina conminan n que las pruebas originales no debiesen ser conservadas por los analistas, si no que deben ser  entregadas a un juez, fiscal o notario, bajo las siguientes medidas: Con la seguridad necesaria para evitar contaminación por el medio ambiente, es decir, la evi evidenc dencia ia deb debe e est estar ar lejos lejos de cua cualqu lquier ier red, a la que pudie pudiera ra ser con conect ectada ada por  error , ojala esperando dentro de una caja o bolsa de Faraday, objeto evitar que se actitive ac ve cu cual alqu quie ierr te tecn cnol ologí ogía a an antiti-f -fore orens nse e o simp simple leme ment nte e la ev evid iden enci cia a pud pudie iera ra se ser  r  contaminada. El objet etiivo de la Con onttro roll Sem ema ana 4 “PR “PROC OCES ESOS OS DE ADQU ADQUIS ISIC ICIÓ IÓN N DE LA ahon onda darr sobr sobre e el sist sistem ema a de ap apag agad ado, o, los los tipo tiposs de EVIDENCIA. EVIDE NCIA. PARTE II.” , es ah clon clonad ados os y cual cuales es son son actu actual alme ment nte e los los form format atos os de inte integr grid idad ad vige vigent ntes es pa para ra la ejecución de un análisis forense digital.

 

DESARROLLO: Lea atentamente las siguientes situaciones, analice la información de acuerdo a los contenidos revisados en la semana y conteste las preguntas que se presentan a continuación:

1. Imagine que usted ha ingresado a un un laboratorio forense forense como contraparte en un  juicio sobre robo de información. En la mesa de trabajo trabajo usted detecta que se está realizando un clonado de un disco idéntico a otro. ¿Qué tipo de clonado es el que se est estáá rea reali lizand zando? o? Fundam Fundament entee su res respue puesta sta de acu acuerd erdo o a los con conten tenido idoss revisados en la semana. Según IACC (2020)[1 (2020)[1]  ] (Pág. ág.

08)

y  Cova Covarrubi rrubias, as, R. (n.d.)[3] (n.d.)[3],,  la Re Regl gla a 1 de dent ntro ro de la

recolección de evidencia como lo es la información de un Disco Duro, es tratar de evitar  manipula su original, siendo esta la primera y más importante regla. El original debe copiarse, quedar a resguardo y protección y utilizar su copia para analisis, Si los dato da tos s se modi modifi fica can n o se corr corrom ompe pen n dura durant nte e el pr proc oces eso o de ext extra racc cció ión n o recopilación de pruebas, los datos originales siempre se pueden utilizar para  probar una nueva copia para trabajar, siendo también una excelent excelente e forma de trabajo en equipo, porque se pueden producir tantos originales como sea posible de acuerdo con los requisitos de los expertos.[3] 

La clonación no únicamente se puede ejecutar en un ordenador, esta también se puede proceder sobre un disco duro, un pendrive u otro elemento. El clonado para que sea eficaz debe ser “bit a bit”, considerando registrar incluso los errores que este incluya, y a pesar que esto se aconseja siempre efectuarlo con el sistema apagado, también se puede hacer con el sistema encendido. [1]  Debemo Deb emoss con consid siderar erar dos titipos pos de clon clonado, ado, y ent entre re los que la mat materi eria a sem semanal anal nos indica esta el Clonado disco a disco , este alude a la clonación que se realiza de un disco a otro de idéntico tamaño y geometría, por lo que nos encontramos en presencia de un Clonado disco a disco.[1] (Pág. (Pág. 08)

 

2. En el caso mencionado mencionado en la pregu pregunta nta anteri anterior or se detecta que se está realiza realizando ndo un clonado en bruto. ¿Qué clase de formato se está realizando? Realice un cuadro comparativo de los formatos de clonado disco a disco e imagen. Esta clase de clonado se denomina RAW, este corresponde a un clonado en dicho formato que contiene los datos en bruto, y se le asimila como datos en bruto ya que la propia interpretació interpretación n de la palab palabra ra “ raw” proviene del inglés al español es “crudo”, motivo por el cual al mencionar del formato RAW nos referimos a aquellos datos en un formato que es mínimamente manipulado.[1] (Pág. (Pág. 09)

Cuadro comparativo de formatos de Clonado Clonado de Disco a Disco

Clonado a Imagen

Este se refiere a la clonación que se realiza de un disco a otro disco físico de idéntico tamaño y geometría.

Se trata de clonar todo el disco y de generar un fichero  con todo el contenido en una imagen, lo que es semejante a copiar toda la unidad a un archivo .zip considerable en tamaño.

Pueden real Pueden realizar izar cop copias ias de seg seguri uridad dad de un solo disco a la vez, o al menos cada copia requiere de un disco duro de de iguales características y tamaño lo que en espacio de custodia puede ser poco eficiente, pero permite guardar la totalidad de sus datos ya que la copia es bit a bit incluyendo todos sus errores dentro.

Se puede efectuar copias de seguridad de más de una imagen, lo que permite guardar la totalidad de la unidad varias vecces y en dist ve istint intos pu punt ntos os en el tiempo tiem po y recolec recolectar tar localmente localmente dentro de una partición asignado a copias de segu se guri rida dad d o de dent ntro ro de un una a un uniidad dad independiente.

La ventaja es que el clonado de disco a disco funcional para trabajar al instante con su copia no requiriendo de programas específicos para poner en marcha .

La desventaja es que la imagen no es al in inst stant ante e fu func ncio iona nall y req requi uiere ere de programas de extracción, pero es muy apro rovvech echab ablle pa parra llevar a cab abo o investigaciones, ya que es más complicado de corromper.

 

3. Siguiendo Siguiendo con la misma situació situación, n, un testigo indic indicaa que en la etiqueta del disco duro está escrito de manera encriptada utilizando el algoritmo MD5 el nombre del dueño del disco. Usando la información entregada más a continuación, indique cuál es el nombre del dueño del disco. • Dato encontrado en el disco: f04adc6d9df146260ff530e9a01fcf43 • Link para desencriptar datos en format formato o MD5: https://md5hashing.net/hash/md5 https://md5hashing.net/hash/md5

Según la el algoritmo MD5 f04adc6d9df146260ff530e9a01fcf43, el nombre del dueño etiquetado en el disco duro corresponde a “juan perez soto” que seria la frase escrita de manera encriptada.

 

CONCLUSIÓN.  Al usar evidencia, incluso si el dispositivo está apagado, sus medidas de seguridad deben ser las mismas que cuando el dispositivo está encendido, es decir, siempre debe ser ser trat tratar arlo lo como como si el disp dispos osititiv ivo o estu estuvi vier era a en ence cend ndid ido, o, po porr la exis existe tenc ncia ia de innumerables tecnologías anti-forense, incluida las batería de respaldo dentro de un dispositivo, las conexiones a cualquier oportuna red local que pudiera ser utilizada, etc. Porr lo tant Po tanto, o, pa para ra quie quiene ness tr trab abaj ajan an en el camp campo o de la info inform rmát átic ica a fore forens nse, e, es fundamental iniciar el análisis de este tipo de situaciones lo antes posible, porque la evid eviden enci cia a digi digita tall es fund fundam amen enta tall pa para ra esta establ blec ecer er he hech chos os y de demo most stra rarr que que sus sus incidentes son cada vez más comunes y frecuentes. Term Te rmin inad ado o nu nuest estro ro Co Cont ntrol rol Se Sema mana na 4 po pode demo moss apr aprec ecia iarr cua cuale less so son n lo loss titipo poss de clonado clo nadoss que exi existe sten n en la act actual ualida idad, d, asem asemeja ejamos mos los dis distin tintos tos tipos tipos de for format matos os aprovechados en la actualidad para el clonado de datos y por ultimo, ejecutamos un hash dentro de los procedimientos de análisis forense.

 

BIBLIOGRAFÍA: [1].-

IACC (2020). Análisis Forense Digital Semana 4, Proceso de adquisición de la evidencia Parte II.

[2].-

md5h md 5has ashi hing ng.. (202 (2021, 1, Ma Mayy 10 10). ). Ulti Ultima mate te Ha Hash shin ing g an and d An Anon onym ymitityy tool toolki kit. t. MD5Hashing.Net. https://md5hashing.net/hash/md5/f04adc6d9df146260ff530e9a01fcf43

[3].-

Cova Co varr rrub ubia ias, s, R. (n.d (n.d.) .).. Un en enfo foqu que e bá bási sico co sobr sobre e Info Inform rmát átic ica a Fo Fore rens nse. e.  Academia.Edu.

Retrieved

May

10,

2021,

from

https://www.academia.edu/11236450/Un_enfoque_b%C3%A1sico_sobre_Inform %C3%A1tica_Forense