10. Dificultades del Investigador Forense Dificultad para conseguir las herramientas necesarias para guardar, preservar y presentar los datos como evidencia. Averías y sabotajes en los soportes de almacenamiento. Técnicas anti forenses, ocultación de datos, claves y encriptación. Avalancha de soportes para analizar en una redada. Burocracia: Dificultades para una realización ágil de informes. Dificultades para presentar y explicar los informes ante el órgano competente.
24. Investigación en caliente Debido a que las evidencias en un disco sospechoso no se pueden alterar, la investigación y el análisis de los datos se realiza habitualmente en un laboratorio especializado. Shadow es una herramienta de investigación diseñada para habilitar la investigación del disco duro en la máquina sospechosa. Permite utilizar el ordenador sospechoso para analizar el contenido del Disco Duro utilizando cualquier herramienta de software ya instalada en el ordenador o instalando software de análisis y recuperación de datos.
25.
26.
27. Investigación en caliente Los cambios son escritos en un HD que se encuentra en el interior de la unidad Shadow. No quedan restos en el Disco Duro sospechoso. Si se considera conveniente, después de ver la evidencia de primera mano, siempre se puede decidir embalar y etiquetar para mandarlo a un laboratorio, las pruebas no habrán sido contaminadas.
28.
29. Los investigadores deben revisar que sus copias sean exactas a las del disco sospechoso.
30. Para esto sirve la comprobación de la integridad criptográfica mediante funciones hash. Adquisición de Datos: Clonado
31.
32. Función Hash: Hace posible obtener un hash (resumen de mensaje) de un dato, creando una serie corta de caracteres que representan al dato al cual se le aplica esta función hash.
34. Clonado por Software Dependemos de la velocidad del PC y de sus características y estabilidad para la velocidad del clonado. La mayoría de las herramientas por software dejan marca en el disco al arrancarlo, con lo cual se produce una contaminación. Esto provoca que haya que utilizar herramientas write-blockers que ralentizan aun más el proceso e clonado. Cuelgues. Sobretodo en zonas de sectores defectuosos. Necesitamos llevar un ordenador para hacerlo in-situ.
35.
36. Más velocidad. (Hasta 6 veces más rápido que el PC más veloz)
37. No es necesario el uso de write-blockers, no marca el disco sospechoso.
39. No dependemos del hardware del PC y de su buen funcionamiento.Clonado: HardCopy II
40.
41. Realiza imágenes de tipo raw que pueden ser analizadas con EnCase.
42. Verifica la integridad criptográfica de la imagen mediante un hash MD5 y lo escribe en un archivo de cabecera asociado con la imagen.. Notifica las disparidades si las hay.
43. Se recupera de errores de lectura en sectores defectuosos del disco sospechoso.
44. Con sectores defectuosos recálcula o aborta el hashing.
45. Rellena el sector que falla con un valor especificado y sigue al hash con estos valores de reemplazo insertados.
46. Permite realizar un borrado seguro de los discos cuando sea necesario “esterilizar” el material del laboratorioClonado: HardCopy II
47.
48. Pero no debemos desestimar ningún dispositivo que pueda contener información relevante por estar defectuoso.
56. Platos magnéticos contaminados.Todas esta averías necesitan de la apertura del soporte en cámara limpia en un laboratorio especializado Averías Mecánicas
57.
58. CortocircuitosEstas averías se reparan sustituyendo los componentes dañados. Pueden llevar asociados problemas en el Firmware Averías Electrónicas
59. En los platos hay una zona llamada System Area que el microprocesador de la placa del disco utiliza para operar en la unidad. En ella se almacena el Firmware, la información SMART, las tablas de sectores defectuosos, las tablas de configuración del disco, el password, etc. Si un disco tiene daños en la System Area queda inutilizado. Estas averías se solucionan reprogramando el firmware del disco con herramientas que se comunican con el HD a bajo nivel. Averías en el Firmware
67. Soportes FormateadosEstas averías se solucionan mediante herramientas software de recuperación de datos Averías Lógicas
68. Actualmente conviven en el mercado un sinfín de herramientas de recuperación de datos, tanto de carácter general como especifico. Estas herramientas aprovechan la geometría del disco para recuperar la información. Averías Lógicas
89. ¿Y si presentamos las pruebas “en caliente”? Shadow puede ser un medio eficaz para presentar las pruebas de forma visual al tiempo que el investigador las explica. Todos estamos familiarizados con el entorno gráfico de un sistema operativo. Jueces, jurados o defensa ven qué ha ocurrido directamente sobre el ordenador sospechoso sin alterar ninguna evidencia. Presentación de Resultados
90. Esterilización del Material Una vez terminada la investigación es necesario esterilizar el material utilizado para no dejar restos en los discos que utilizaremos en siguientes investigaciones. Hardcopy II Permite realizar un borrado seguro y rápido de los discos cuando sea necesario “esterilizar” el material del laboratorio
91. Hasta aquí ha llegado nuestro proceso de análisis forense. Muchas gracias por su atención y buena suerte en el futuro