En el último post sobre Informática Forense que os dejamos desde Computer Actual, comentamos un poco por encima cuales eran las distintias etapas de una investigación forense a modo de pequeña introducción. Pues bien, a partir de este post iremos desgranando las distintas etapas dentro de la investigación forense, hoy comenzaremos por la etapa de Adquisición (imaging). Denominamos Adquisición al procesimiento que permite obtener los medios digitales que han de ser sometidos posteriormente a análisis. Como ya os comentábamos en el último post en Informática Forense no se trabaja sobre el soporte original, sino que se realiza una copia del mismo. Dicha copia puede estar realizada en un soporte físico duplicado, o simplemente consistir en un archivo de ordenador. Este archivo no es solo un backup sino una imagen completa del medio de almacenamiento de datos, incluyendo toda la estructura del dispositivo o medio de almacenamiento, es decir, espacio no asignado por los sistemas de archivos, los archivos borrados incluyendo datos que pudieran haber existido antes de que el soporte fuese formateado. La imagén completa de un soporte incluye todas las particiones, los espacios de disco duro sin utilizar entre las mismas, la tabla de particiones, el sector de arranque e incluso zonas reservadas como la HPA (Host Protected Area) y la DCO (Data Configuration Overlay), generalmene inaccesibles al sistema y utilizadas por el fabricante para incluir información especial o reducir la capacidad de almacenamiento de un dispositivo, generalmente por razones tecnologías o de marketing. Para poder obtener la imagen del medio de almacenamiento a bajo nivel, es necesario conectar el soporte de datos a una estación de trabajo, que solo permita el acceso en modo lectura, claro esta, dicha estación de trabajo, dispondrá de las herramientas necesarias para realizar dicho trabajo. Las herramientas de softaware utilizadas para la adquisición forense (EnCase, FTK,dd, etc) deben ser capaces de funcionar independientemente de las estructuras de datos del sistema de archivos. El procedimiento que acabamos de describir, suele ser el mismo para todos los medios: discos duros (internos, portátiles o estado sólido ), dispositivos usb, tarjetas de memorias, CD, etc. Independientemente de los soportes de datos de que se trate deberán realizarse una suma de verificación de datos a través de funciones hash aplicando algoritmos estándar (MD5 o SHA). Este tipo de funciones se emplean en criptografia por sus propiedades de cifrado asimétrico. Esto se traduce en la generación de un código hexadecimal obtenida a partir de unos datos digitales de entrada que corresponden a la imagen del medio sobre es que se esta realizando el estudio de su contenido. Una vez realizado dicho procedimiento hash y a partir del código que proporciona, no podremos recuperar los datos originales; tanto si se trata de un archivo, una contraseña, o el contenido del disco duro. De esta forma, el modo hash se calcula al vuelo, mientras la imagen del soporte de datos está siendo copiada, actuando así como certificado digital para la validación de los elementos de evidencia adquiridos por el investigador forense.

#informáticaforense