Preparar una unidad forense: formateado y uso de Write Blocker

Acompáñame en este pequeño tutorial en el que aprenderemos a preparar una unidad forense desde cero, para poder recoger las evidencias con garantías.

La informática forense está enmarcada dentro de un concepto mayor -que es la ciencia forense- y conforma una ciencia por sí misma dentro de la seguridad informática. Dado que se aplica al estudio y probación de actividades delictivas -y por tanto se recogen evidencias para presentarlas ante un jurado/juez- en el ámbito forense la metodología es de suma importancia.

Pasos para preparar un disco de evidencia forense

Una de las máximas, la norma número 1 que debemos recordar, es realizar duplicados del soporte original y nunca trabajar sobre originales. Es recomendable realizar al menos 2 duplicados.

En el laboratorio de hoy vamos a suponer que tenemos una tarjeta SD que contiene la evidencia que interesa al técnico forense. Eliminaremos todo rastro de información anterior, confirmaremos este punto y finalmente protegeremos la tarjeta SD original de cualquier modificación al conectarla a nuestro equipo.

1. Encase Imager (para realizar el borrado seguro)
2. FTK Imager (para verificar el borrado)
3. USB Write Blocker for all Windows v1.3 (un bloqueador de escritura por software)

Seguro que algunos conocéis alternativas -y buenas- a estos 3 programas. Los he utilizado por ser gratuitos, fiables y de uso común. Además, para los protectores de escritura tenemos opciones tanto de software como de hardware. Podéis dejar vuestras sugerencias en los comentarios.

Formatear unidad forense con Encase Imager

Para nuestro primer paso -eliminar cualquier tipo de dato existente en la unidad forense- vamos a utilizar Encase Imager. El motivo para usar esta aplicación (aparte de para hablaros de ella) es que FTK Imager no nos permite realizar el formateo. Esta herramienta como hemos dicho es gratuita y nos servirá a nuestro propósito actual.

• Navegaremos por Tools > Wipe Drive

• Ahora seleccionaremos cuidadosamente nuestra unidad de disco forense de entre la lista de dispositivos reconocidos.

• Escogeremos además en «wipe character» los caracteres con los que deseamos sobreescribir la información del disco: todo ceros, todo unos, unos y ceros, etcétera. Dejaremos marcada la casilla superior de verificación de sectores.

• Escribiremos la palabra Yes y comenzará el borrado.

Ahora, en la esquina inferior derecha, veremos el tiempo estimado para completar el formateo de la unidad.

Para una unidad forense de 8 GB con interfaz USB 2 el proceso ha tomado 36 minutos. Esto dependerá del tipo de bus empleado y la capacidad total del dispositivo.

Ahora, tan importante como el hecho de formatear la unidad es el asegurarnos de que el proceso se ha completado con éxito.

• Accederemos a la consola de Encase Imager haciendo clic en View > Console.

Veremos las estadísticas del proceso. Es vital hacer captura y guardar este tipo de datos para agregarlos a nuestro informe del caso.

Este procedimiento es sencillo pero debe documentarse bien. Cualquier indicio de que la unidad pueda haber sido contaminada terminará con nuestras posibilidades de defender la evidencia.

Suponiendo que estamos utilizando Windows (aunque en otros sistemas sería similar) veremos que la unidad USB ha quedado en formato RAW (sin filesystem, sin particionar) como muestra la imagen inferior.

• Daremos un formato rápido a nuestra unidad Flash para poder usarla.

Recomiendo siempre escoger un sistema de archivos FAT o exFAT (mejor) para garantizar la máxima compatibilidad con otros sistemas, cuando tengamos que recoger las pruebas.

Verificar la unidad forense con FTK Imager

Vamos a comprobar que nuestra operación sobreescribir la unidad con ceros- ha sido satisfactoria antes de realizar el siguiente paso en la investigación.

• Abriremos la aplicación FTK Imager y pulsaremos sobre Add Evidence Item (añadir evidencia)

• Ahora seleccionaremos la unidad de origen, en nuestro caso una unidad flash USB externa de 8 GB.

• Una vez terminemos aparecerán los contenidos del disco. La siguiente imagen demuestra que la superficie ha sido totalmente sustituida con ceros.

No obstante, es posible que os llame la atención encontrar algunos datos al comienzo del mismo.

En el primer sector del disco (y quizá algunos sucesivos) siempre encontraremos cierta información (en esta captura, aparece el tipo de sistema de archivos) dado que el sistema operativo escribe algunos datos en el disco por defecto: creación de un archivo de indizado, readyboost, etcétera.

Protegiendo la evidencia con un Write Blocker

Antes de continuar debemos tener claro cuando usar el write blocker. El momento será cuando, teniendo nuestra unidad forense preparada, nos dispongamos a conectar en nuestro equipo el disco original que contiene la evidencia del caso.

• Abriremos la aplicación Start USB_Write_Blocker_ALL_Windows_v1.3.bat

• Escribiremos 1 seguido de INTRO para habilitar el write blocker

• Esperaremos a que aparezca un mensaje de confirmación en la zona superior. Ahora podemos salir de la aplicación si lo deseamos, pulsando 3 + INTRO.

Con los pasos anteriores realizados, ya podemos conectar la unidad (disco, tarjeta, etcétera) sin temor a contaminarla con datos, dado que habremos denegado el permiso de escritura.

No os recomiendo hacer este tipo de prueba en situaciones reales, pero si se trata de un laboratorio como es mi caso, podemos verificar que el protector contra escritura funciona, intentando copiar un archivo dentro de la unidad con las evidencias.

Con estos pasos correctamente llevados a cabo, estamos preparados para realizar la recolección de evidencias en nuestra unidad de disco forense. Lo veremos en el próximo capítulo.

Los mismos pasos realizados aquí se pueden dar con la suite OsForensics de una forma más sencilla al ser un todo en uno. Revisa este post para más información.