Laboratorio forense para clonar discos duros 1


Como perito informático, hoy voy a comentarles cómo montar un laboratorio forense para clonar discos duros potente y relativamente barato.

Laboratorio forense para clonar discos duros

Por qué un laboratorio forense para clonar discos duros

La cadena de custodia de la prueba es el procedimiento controlado que se aplica a las evidencias digitales relacionadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático colegiado encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad.

Por ello, y para preservar la cadena de custodia, cuando vayamos a examinar pericialmente un ordenador, el primer paso es clonar discos duros. La operación de clonado supone la copia, bit a bit, desde el disco duro original a otro disco duro receptor.

El segundo paso es obtener las firmas hash del disco origen y copia y comprobar que son coincidentes. Como ya saben por este blog, la firma hash crea una cadena de firma en base al contenido de un grupo de bits, de tamaño uniforme (dependiendo del algoritmo utilizado), sin tomar en cuenta la cantidad de bits sobre la que se aplica el algoritmo.

Las clonadoras de discos duros

Existen unos dispositivos, denominados clonadoras, que mediante hardware y software embebido realizan la operación de clonado de disco origen a disco destino. Para que la operación sea judicialmente válida, la clonadora debe poder obtener la firma hash de la operación a su conclusión, lo que encarece, y mucho, el dispositivo. Las clonadoras más baratas rondan los 2000€. Además, los modelos mas básicos permiten únicamente el clonado de un sólo disco cada vez a velocidades bastante bajas, llegando a tardar hasta 12 horas en clonar un disco duro de 1TB.

Montar nuestro propio laboratorio de clonado

A continuación les aporto una alternativa más barata a las clonadoras y, además, mucho más potente, montando nuestro propio laboratorio forense para clonar discos duros que, además, nos podrá servir para realizar más operaciones periciales.

1. Adquisición de una minitorre

ordenador acer revo

La minitorre debe contar con, al menos, 2 puertos USB 3.0 a los que conectar los discos, 4GB de memoria RAM y un procesador normalito. Para este experimento hemos contado con un PC ACER Revo One RL 85, pensado originalmente como centro multimedia, con procesador Intel Core i3 4005, 4GB de RAM y 2 puertos USB 3.0. El dispositivo tiene un coste aproximado de 270€.

Este modelo de minitorre es ideal ya que por su tamaño (1 Kg y cabe en la palma de la mano) se puede trasladar fácilmente, añadiendo movilidad a nuestro laboratorio. Además se le pueden añadir en caliente otros dos discos duros conectados al interior de su carcasa.

2. Adquisición de base de conexión para discos duros

base conexion startech

Para poder realizar el clonado de varios discos duros simultáneamente a altas velocidades nos hemos decantado por una base de conexión Startech SDOCK K4U33, USB3.0 con 4 bahías SATA alcanzando hasta 6GB por segundo de velocidad de transmisión. El coste aproximado del dispositivo es de 200€ y podremos contar con una base de este tipo conectada a cada puerto USB 3.0 de nuestra minitorre para aumentar la capacidad simultánea de clonado.

3. Adquisición de periféricos de entrada/salida

pantalla tactil lilliput

Como periféricos para manejar la minitorre nos hemos decantado por una pantalla táctil de 10″ Lilliput, con un coste aproximado de 200€. De forma auxiliar a la pantalla, hemos optado por un teclado bluetooth ultrafino que incorpora touchpad, por un coste aproximado de 15€.

teclado bluetooth

4. Instalación de Caine: Distribución linux forense

Finalmente incorporaremos el software para poder realizar la operación de clonado. Para ello deberéis instalar Caine en vuestra minitorre. Recomiendo que lo hagáis en multiarranque con el Windows que os vendrá instalado ya que algunas herramientas forenses para estudiar sistemas operativos Microsoft sólo funcionan en entorno Windows.

Clonar un disco en nuestro nuevo laboratorio

Para clonar un disco duro será bien sencillo. Deberéis conectar vuestra base de conexión de discos a uno de los puertos USB 3.0, arrancar vuestro Caine y usar la aplicación “GUYMAGER”, la cual os generará un fichero con toda la información del disco duro origen, de la operación de clonado, y, lo que es fundamental, de la firma hash tanto del disco duro original como de la copia obtenida.

En conclusión

Frente al elevado coste de una clonadora de discos, podréis contar con un laboratorio forense móvil y relativamente potente por algo más de 600€. Ya no hay excusa válida para no realizar las operaciones de clonado de discos de forma adecuada durante una intervención forense. Recuerden, sin clonado de disco y firma hash, no existirá una cadena de custodia efectiva sobre las evidencias digitales extraídas del dispositivo.

Publicación realizada bajo licencia Creative Commons

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.


Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

19 − 7 =

Una idea sobre “Laboratorio forense para clonar discos duros