Trabajando con imágenes forenses fragmentadas

Hola,

El objetivo de este artículo es comentar cómo podemos trabajar con imágenes forenses fragmentadas. Lo cual hace necesario que antes de ponernos manos a la obra, expliquemos un poco en qué consisten, y cuáles son los escenarios habituales donde podemos encontrarlas.

Imágenes forenses fragmentadas

Cuando se trabaja en la adquisición de medios de almacenamiento, existen dos maneras de operar: adquiriendo el medio completo, bien mediante una imagen o bien clonando el medio, o bien realizar una adquisición fragmentada. Veamos un ejemplo:

fragmented images

En la imagen anterior tenemos un medio de aproximadamente 4 GB y el resultado de fragmentar ese fichero en trozos de 650 MB, para simular una adquisición fragmentada. Esta simulación está hecha a propósito, ya que en el trabajo de campo es relativamente frecuente trabajar con imágenes fragmentadas, siendo los tamaños prototipo 650 MB, 2 GB y 4 GB, dependiendo de la tecnología de adquisición.

Aunque hoy en día la capacidad de almacenamiento y su coste hacen que fragmentar medios no sea algo estrictamente necesario, existen escenarios donde no cabe mas remedio que hacerlo. A bote pronto:

  1. La tecnología de adquisición opera con formatos fragmentados de imágenes brutas. Por ejemplo, el Talon de Logicube sólo soporta imágenes brutas de 650 MB, 2 GB y 4 GB.
  2. La adquisición se hace en vivo y sobre la red, por ejemplo, con una sesión netcat. En este caso puede interesar fragmentar para tener mejor control de la transmisión de la imagen.
  3. Los procedimientos de investigación que apliquen a la organización pueden forzar a escoger tamaños determinados a la hora de realizar adquisiciones. Este factor lo menciona Hal Pomeranz en el artículo Dealing with Split Raw Images in Digital Forensics, aunque yo personalmente nunca me he topado con esta situación.

Sea como fuere, salvo que sea estrictamente necesario, teniendo en cuenta el avance en las tecnologías de almacenamiento y procesado de información, creo que no existe razón para fragmentar los medios a la hora de realizar adquisiciones forenses. En este artículo veremos cómo se trabaja con medios fragmentados, caso de que tengamos que emplearlos en nuestra investigación. Examinaremos dos maneras de proceder: la primera mediante la utilización de librerías para el tratamiento de fragmentado, y la segunda, el empleo de herramientas que soporten el procesado de estos medios. Vamos allá.

Método 1. Uso de librerías para el manejo de medios fragmentados

Una de las enormes ventajas que tiene realizar investigación digital en Linux es la flexibilidad. La cantidad de herramientas disponibles, la constante actualización de las mismas a consecuencia del desarrollo comunitario y la disponibilidad del código, lo que puede ser útil para acreditar fiabilidad y conocimiento en un proceso judicial, hacen que Linux sea la plataforma estrella para el análisis forense a bajo nivel. Una de las muchas herramientas que todo analista forense debe tener instalada en su máquina son las herramientas y librerías AFFLIB.

Dentro de estas herramientas podemos encontrar affuse, una implementación FUSE que permite que los ficheros AFF aparezcan en los sistemas como imágenes brutas, lo que permite el análisis con herramientas que no son capaces de procesar el formato AFF. Una de las opciones más interesantes es el montaje, especialmente de los medios fragmentados. La utilización de affuse es extremadamente sencilla:

shernando@hpsergio-linux:~/split$ sudo affuse image.001 /mnt/sergio

El resultado del montaje es una imagen consolidada formada por las imágenes fragmentadas:

shernando@hpsergio-linux:~/split$ sudo ls /mnt/sergio -la
total 4
drwxr-xr-x 2 root root 0 1970-01-01 01:00 .
drwxr-xr-x 4 root root 4096 2010-11-21 11:13 ..
-r–r–r– 1 root root 3995074560 1970-01-01 01:00 image.001.raw

Esta imagen consolidada puede ser empleada por nuestras herramientas forenses habituales. Comparemos el particionado del medio original obtenido de la imagen original y de la imagen consolidada que acabamos de crear:

fragmented images

Resulta fácil comprobar que el particionado exhibido concuerda con el de la imagen no fragmentada.

Método 2. Uso de herramientas que soportan imágenes fragmentadas

En el ejemplo anterior hemos mostrado el particionado del medio que habíamos escogido enfrentando la salida de la aplicación mmls del sleuth kit tanto a la imagen original como a la imagen consolidada que hemos montado, a partir de los fragmentos, mediante affuse. Este ejemplo nos viene de perlas para ilustrar cómo emplear herramientas que soporten el fragmentado, ya que las herramientas sleuth kit lo soportan, generalmente incorporando el operador – i split, e indicando el patrón de la imagen. Veamos un ejemplo:

fragmented images

¿Sencillo, verdad? :)

Resumen

El uso de imágenes fragmentadas en el análisis forense de medios de almacenamiento es una posibilidad plausible, y que puede venir dada por elementos que no controlamos, como por ejemplo, los procedimientos de extracción, la tecnología que usemos o la necesidad de realizar adquisiciones no convencionales con el sistema en ejecución.

Siempre que se pueda, mi consejo es que no tiene sentido operar con imágenes fragmentadas, ya que sólo añadiremos complejidad al montaje. Si por alguna razón no nos queda más remedio, espero que estos ejemplos os ayuden a comprender mejor cómo podemos afrontar el análisis.

Ups, se me olvidaba …

Confieso que en cierta parte del artículo os he mentido. No lo he hecho con mala intención, creedme. Lo he hecho intencionadamente.

Si alguien detecta dónde está la incongruencia y la quiere comentar … es bienvenido. Si necesitáis pistas, decidlo :)

Un saludo,