En el análisis forense hay un concepto clave que es la cadena de custodia:
La cadena de custodia de la prueba se define como el procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene como fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones, contaminaciones o destrucciones.
Sin entrar en más detalles en este artículo quiero mostraros el caso concreto de cómo analizaríamos un Disco Duro sin que se rompa la cadena de custodia. Lo primero que debemos hacer es realizar dos copias del disco original ( es importante realizar dos copias porque normalmente no tendremos acceso al disco duro original más que la vez en la que realicemos las copias así que mejor hacer dos por si una de ellas falla).
- Clonado de discos: En este caso vamos a utilizar una clonadora de discos muy sencilla y que nos facilitará mucho la tarea de realizar las copias de los discos duros que necesitemos.
Como vemos en la imágen anterior en este caso nuestra clonadora dispone de un botón para selecciónar PC o CLONE y un botón START para comenzar el proceso de clonado. Dicho proceso es independiente al pc por lo que lo podemos realizar sin la necesidad de conectar la clonadora por usb al pc. Más tarde para analizar los discos bastará con seleccionar el botón PC y al conectar el cable usb al ordenador ya nos detectara los discos como si de unidades usb se tratasen.- Una vez tenemos los discos clonados lo primero que debemos hacer es comprobar que las copias son exactamente igual que el original, ya que ha podido producirse algún error al clonar o simplemente puede que el disco copia no estuviese borrado completamente y por lo tanto las copias serían distintas. Para comprobar que dichas copias son iguales debemos calcular el hash de los discos, para ello utilizaremos una distribución de ubuntu (normalmente suelo utilizar Kali Linux o Caine) con el comando md5sum:
Como podemos ver en los dos últimos comandos (los dos anteriores son de un ejemplo en el que las copias no estaban bien realizadas), nuestros discos se encontraban en /dev/sdc1 (DISCO ORIGINAL) y en /dev/sdd1 (DISCO CLONADO), y como podemos ver en la imagen el hash es el mismo por lo que podemos concluir que los discos duros son idénticos.
Estas tareas son muy importantes a lo hora de desarrollar el informe o dictamen pericial para que todas nuestras tareas estén muy respaldadas y no haya lugar a dudas a la hora de ratificarnos en nuestro informe.
Muy buen artículo, te quisiera preguntar si las distribuciones linux (Kali , Caine) que comentas, son Live CD o necesitan instalación en disco duro.
Un saludo y gracias
Muchas gracias tocayo 😉
Las dos distribuciones que comentas las puedes ejecutar en modo Live CD e incluso se pueden instalar en modo virtual con Virtual Box por ejemplo.
Un saludo y gracias por tus palabras.