Tema 3
Tema 3
Tema 3
Introducción
En esta unidad, mostraremos los distintos tipos de copia forense que se utilizan dentro
de la informática forense. Distinguiremos los principales y que, por ser los que mejor se
han adaptado a lo que las normas de la informática forense indican, hoy en día son los
más usados tanto por los investigadores como por los distintos softwares de informática
forense que hay en el mercado. También mostraremos un ejemplo en forma gráfica de
cómo puede confeccionarse una imagen forense de un disco rígido de computadora, con
el software FTK Imager, que no es muy distinto de la creación de imágenes con otros
softwares, como Magnet ACQUIRE o OSFClone, por citar otros dos.
1. Imagen tipo Raw: Son archivos planos que conservan el mismo tamaño que el disco
al cual se le está practicando la imagen forense. Es decir, si practicamos la imagen
forense a un dispositivo de 1 TB (terabyte), el archivo de imagen resultante será de 1
TB. Generalmente, la extensión de los archivos es .dd, ya que el nombre proviene del
uso del programa nativo de Unix: DD, reconocido como el primer software capaz de
realizar copias bit a bit y, por lo tanto, copia o imagen forense.
En la Figura 1, se muestra una imagen forense que se efectuó sobre un pendrive marca
Kingston de 1 GB (gigabyte) de capacidad.
Figura 1: Imagen forense Raw efectuada sobre pendrive marca Kingston de 1 GB
Además del archivo de imagen, encontramos un archivo extensión .txt, que es el archivo
de auditoría de la creación de la imagen forense, donde figuran datos como el número
de serie del disco, la fecha de creación de la imagen y otros datos que veremos más
adelante. La fecha de la creación de la imagen forense es relevante porque, para el
análisis de los metadatos de fechas, es fundamental que los archivos que son parte del
sistema no superen esa fecha. De hecho, todas las fechas serán anteriores a esa,
debido a que es imposible que nos encontremos con fechas posteriores a las de la
creación de la imagen forense.
¿Por qué lo anterior adquiere una gran relevancia? Supongamos que, desde que se
efectuó el secuestro de la computadora hasta que se creó la imagen forense, pasó un
lapso de tiempo determinado. Dijimos que todas las fechas de los archivos que estén
dentro de esa imagen tienen que ser indefectiblemente anteriores a la creación de la
imagen. Tampoco pueden ser posteriores a la fecha del secuestro del elemento, porque
se supone que la computadora se embaló y trasladó al laboratorio, de modo que debe
permanecer apagada y, salvo contadas excepciones, nunca más ser encendida. Si
aparecen archivos con fechas que se encuentren entre el secuestro de la PC y la fecha
de creación de la imagen forense, y si esos archivos denotan que la PC se encendió en
ese tiempo, quiere decir que fue realizado por personal no autorizado. Por lo tanto, la
cadena de custodia por este efecto estará rota. Veamos este hecho en una línea de
tiempo:
2. Imagen tipo EWF: Se trata de archivos que poseen una estructura definida cuya
capacidad —al igual que sucede con el tipo de archivo anterior— es la de contener de
manera íntegra los bits del disco al cual se le practica la imagen forense. Posee una
particularidad respecto del formato anterior: efectúa compresión de la información, por lo
cual los tamaños de las imágenes forenses resultantes pueden ser mucho menores que
los de los originales. Este formato utiliza algoritmos de compresión de la información que
no afectan la integridad de la imagen conformada. Es un estándar originalmente
diseñado por Guidance para su producto Encase Forensic. Luego el estándar EWF fue
liberado hacia el mundo GPL (librerías open source), lo que permitió el desarrollo de
librerías LibEWF, y así el uso libre de este estándar en plataforma Linux y otros
softwares open source (Library of Congress, s. f.; Metz y ztravis, 2020).
Observemos qué ocurre con la creación de la imagen forense del mismo pendrive
Kingston de 1 GB, pero con formato EWF, y veamos el tamaño que obtenemos:
Podemos ver que el tamaño es de aproximadamente 500 GB y que los datos que están
en su interior son una copia fiel bit a bit del disco original. Este estándar fue aprobado
desde principios de los 2000 por entidades que se dedican a efectuar testings de
programas y metodologías para la informática forense, como el National Institute of
Standards and Technology (NIST, s. f.).
Obviamente, las ventajas de uno u otro estándar están a la vista. El estándar EWF es el
más usado y generalizado dentro de todos los productos más utilizados. Además,
permite una gran ventaja a la hora de planear recursos: el ahorro de espacio en los
discos que serán los contenedores de las imágenes forenses resultantes.
Figura 4: Cómo crear una imagen forense EWF con FTK Imager. Inicio del proceso
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 5: Cómo crear una imagen forense EWF con FTK Imager. Elección del disco
al cual se le practica la imagen forense
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 6: Cómo crear una imagen forense EWF con FTK Imager. Elección del
formato de archivo de la imagen forense resultante
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 7: Cómo crear una imagen forense EWF con FTK Imager. Inserción de
detalles atinentes a la creación de la imagen forense, como número de causa y
nombre del investigador
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 8: Cómo crear una imagen forense EWF con FTK Imager. Elección del
directorio de destino en el disco contenedor y el nombre de archivo que tendrá la
imagen forense
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Figura 9: Cómo crear una imagen forense EWF con FTK Imager. Resultado final de
la creación y el archivo final resultante
Fuente: elaboración propia a base del software FTK Imager (Access Data, 2020).
Referencias
Access Data. (2020). FTK Imager [Software de computación] (Versión 4.3.1.1).
Recuperado de https://accessdata.com/product-download/ftk-imager-version-4-3-1-1
Library of Congress. (s. f.). Expert Witness Disk Image Format (EWF) Family.
Recuperado de https://www.loc.gov/preservation/digital/formats/fdd/fdd000406.shtml