Análisis de la unidad de duplicación forense portátil Tableau TD1

Buenas,

DISCLAIMER: No me une relación contractual ni de cualquier otro tipo con ninguno de los productos y fabricantes mencionados en este artículo. El texto es una mera impresión personal de un producto determinado, basada únicamente en mi propia experiencia.

Aquellos que habéis escuchado ya el podcast que grabé con Dabo (el enlace a su post lo teneís aquí) recordaréis que en la parte final hablamos de respuesta ante incidentes y cómo se desarrolla el trabajo de campo del examinador forense. Por cierto, gracias a todos por la acogida, casi 1.500 descargas, nada más y nada menos :)

En el podcast se habla de un maletín, y dado que este material no es algo que salga a la luz con frecuencia, he creído conveniente hablaros de él para ilustrar un poco mejor el tema, sobre todo teniendo en cuenta que recientemente ha caído en mis manos un Tableau TD1 :)

El maletín

El maletín en sí, tanto en el caso de la unidad Tableau como en la amplia mayoría de productos comerciales de estas características, suele ser un contenedor acorazado que tiene como principal objetivo proteger los contenidos del mismo, principalmente la unidad de duplicación, los discos y otros componentes sensibles que podamos llevar dentro, facilitando a la par el transporte del equipo.

tableau forensic duplicator

(Aquí en un tamaño más grande)

El maletín en sí lo fabrica PELI, y la unidad de duplicación y sus accesorios se suministran en un modelo 1450 dentro de su serie de maletines con relleno. A simple vista puede parecer un maletín cualquiera, pero es mucho más que eso: es impermeable, está fabricado para resistir ambientes pulverulentos y es resistente al aplastamiento. Es ligero y cuenta en el frontal con una válvula de ecualización de presión, y dispone de orificios en acero inoxidable para poder emplear candados de cierre. El interior está compartimentado con un relleno de espuma que le confiere al material un grado de protección adecuado.

La regla que hay debajo de la foto tiene 30 centímetros de longitud, para que podáis haceros una idea del tamaño. Si lo comparamos a otros maletines, como el PFL de Logicube, tiene un tamaño y peso considerablemente menores, pero esto también tiene su faceta negativa: el PELI 1450 tiene un espacio limitado para guardar dentro lo que solemos utilizar para el trabajo de campo: destornilladores, linterna, llaves, formularios, un portátil, discos para la adquisición, los adaptadores necesarios, bolsas de plástico alveolar y bolsas anti manipulación para la conservación de evidencias, entre otros.

El interior

El interior contiene la unidad Tableau TD-1, el adaptador de corriente con clavija intercambiable europea/americana, y una serie de accesorios necesarios para el trabajo de campo: dos juegos completos de cables IDE y SATA, con sus respectivos alimentadores de corriente, y una serie de conectores.

tableau forensic duplicator

(Aquí en un tamaño más grande)

Grata sorpresa, en la parte superior izquierda, la presencia de una bolsita con un adaptador Zero Insertion Force (ZIF) que nos vendrá de perlas en la adquisición de ciertos discos en ordenadores portátiles.

Los cables suministrados son de buena calidad, y se agradece tener cables IDE cortos y largos en el equipo. El maletín, además del cableado IDE/SATA y el conector ZIF, viene con un adaptador Micro SATA, un adaptador IDE de 1.8 pulgadas y otro IDE de 2.5 pulgadas, con lo que se cubre la casi totalidad de adaptadores usuales en medios de almacenamiento modernos. Echo en falta adaptadores SCSI, con lo que convendrá asegurarse que tenemos alguno en el juego.

La unidad de duplicación forense

Sorprendentemente ligera, al menos comparada con el Talon de Logicube, es sencilla de operar y muy intuitiva en cuanto a funcionalidad. Aunque esté construida en plástico, es compacta y resistente. Los controles son sencillos y los conectores, situados en los laterales, son accesibles sin dificultades.

tableau forensic duplicator

(Aquí en un tamaño más grande)

Es posible conectar una unidad origen y una destino para la duplicación, y se permiten IDE y SATA, indicando el panel luminoso qué modelo está en uso en cada caso, y existiendo un indicador de actividad y otro de alerta. En la siguiente imagen podemos ver un montaje prototipo, con un disco IDE como origen a la izquierda y un disco SATA como destino a la derecha.

tableau forensic duplicator

(Aquí en un tamaño más grande)

Además de la clonación forense disco a disco es posible realizar imágenes disco a fichero tanto en formato bruto (DD) como en formato comprimido E01, siendo posible la verificación en todos los casos. La unidad permite además formatear discos, verificar la superficie de los medios, realizar borrado seguro de los discos y la obtención de hashes de los discos tanto en MD5 como SHA-1.

Como valor añadido, la unidad posibilita la conservación, gestión y visualización de logs de las operaciones, y tiene una funcionalidad que yo al menos agradezco en extremo: posibilidad de detectar y eliminar los mecanismos de ocultación usuales en discos, como HPA (Host Protected Area) y DCO (Device Configuration Overlay)

tableau forensic duplicator

(Aquí en un tamaño más grande)

El display de la unidad es sencillo de leer e interpretar y ofrece información en tiempo real sobre el tiempo consumido en la tarea y el tiempo esperado para la finalización, lo que nos puede venir muy bien cuando estamos respondiendo un incidente y necesitamos dedicar el tiempo a otros menesteres. A tal efecto, la unidad permite la programación de una alarma (sonora y visual) de aviso de finalización de las operaciones en curso, lo que nos ayudará a no tener que estar permanentemente consultando el display para ver cómo va el proceso.

Resumen: Algunas ventajas

  • Es probablemente el clonador forense con mejor relación calidad precio del mercado
  • Tamaño y peso adecuados para el transporte aéreo en equipaje de mano y suficientemente robusto para ser facturado
  • El maletín es cómodo y cuenta con orificios para sellado y colocación de candados
  • La unidad de duplicación es sencilla e intuitiva
  • Buenos tiempos de respuesta a la hora de ejecutar operaciones
  • El display es sencillo de leer e interpretar
  • Las funcionalidades son numerosas y cubren prácticamente todos los escenarios habituales
  • Es posible conectar la unidad al equipo del investigador mediante USB y FireWire
  • Permite detectar y eliminar mecanismos HPA/DCO
  • La compresión E01 en operaciones disco a fichero es rápida y no provoca retrasos significativos al proceso

... y algunos inconvenientes

  • El maletín puede resultar demasiado pequeño si se pretende conservar en él el resto del equipo, como herramientas, linterna, portátil y otros accesorios, lo que probablemente nos obligará a llevar una bolsa auxiliar con estos elementos.
  • El maletín no es un laboratorio portátil como por ejemplo, el PFL de Logicube, con lo que no se suministran los accesorios usuales más allá de la unidad de duplicación y los conectores
  • El display es pequeño, lo que requiere la navegación con scroll en determinadas pantallas
  • El mecanismo de introducción de los datos del investigador y del caso en la unidad de duplicación es rudimentario, al carecer la unidad de teclado o de una pantalla táctil con el alfabeto completo
  • La cara interior de la tapa está desnuda, desaprovechando espacio para almacenar formularios, plásticos de protección y bolsas para la conservación de evidencias
  • Las operaciones de duplicación disco a fichero están limitadas a DD, E01 y DMG, no siendo posible emplear otros formatos interesantes como AFF
  • Las operaciones con medios SAS, SCSI y USB requiren la adquisición de expansiones (Tableau Protocol Modules)

Un saludo,

Page 1 of 3 | Next page