En este taller práctico voy a intentar explicar, con todo lujo de detalles, como clonar un disco duro con hash para obtener una cadena de custodia necesaria para cualquier pericial informática o telemática, y todo ello con el sistema operativo Caine Linux. Empezamos.
¿Qué es la cadena de custodia de una evidencia digital?
Es un procedimiento de trazabilidad controlada que se aplica a las evidencias digitales, a lo largo de su vida útil. La cadena de custodia tiene como fin preservar la integridad y autenticidad de las mismas, asegurando en todo este proceso que la información relevante no sea alterada. Si las evidencias digitales de un informe se guardan en un hardware que no se puede borrar ni modificar, y se realiza el posterior hash, esa evidencia estar cumpliendo una cadena de custodia digital.
¿Qué es y para que utilizamos el hash?
El hash consiste en un algoritmo matemático encargado de transformar cualquier bloque arbitrario contenedor de datos en una serie de caracteres o dígitos de longitud fija. Esta longitud de caracteres es invariable a pesar de que el archivo analizado tenga mayor o menor tamaño (GB, MB, KB, etc) o sea una extensión u otra (.iso, .doc, .jpg, .csv, png, etc).
La función hash de una evidencia digital se usa para la autentificación de elementos, es decir, garantizar la veracidad e inalteración de un documento o archivo.
Cuando modificamos o sobrescribimos un documento, estamos modificando su hash, pues no es el mismo fichero con el que estábamos trabajando desde el principio. Para identificar los archivos se utilizan normalmente 3 funciones de hash, SHA-0. Secure Hash Algorithm, el cual fue la primera versión que se implementó de esta función. Un par de años más tarde, se publicó su segunda versión, SHA-1. Posteriormente se publicó la siguiente versión, SHA-2, compuesto por varias funciones, entre las que se encuentran SHA-224, SHA-256, SHA-384, SHA-512.
Pondremos un ejemplo didáctico explicativo:
- Creamos un fichero «.txt» llamado prueba.txt, el cual tiene como hash SHA-1: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
- Modificamos el archivo escribiendo en el bloc de notas y comprobamos el resultado SHA-1 antes de la modificación: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 y SHA-1 después de la modificación: D96A61AC59F3C3DEF1A1E0596ED5A7D0EEF60D3B
Comprobamos cómo los hash han cambiado tras la modificación del fichero, pues su contenido es el mismo. Lo que implica que «no es el mismo archivo», aunque el nombre sea el mismo.
Mediante este tipo de comprobaciones, los peritos telemáticos e informáticos comprobamos que los ficheros que se manejan en los casos judiciales no han sufrido alteración o modificación alguna, garantizando la veracidad de los mismos.
¿Por qué debemos utilizar Caine Linux para este proceso de hash y cadena de custodia?
CAINE Linux, acrónimo de Computer Aided Investigative Environment, en español Entorno de Investigación Asistido Por Computadora, es una Distribución GNU/Linux creada como un Proyecto de Forense Digital o Informática Forense.
CAINE Ofrece un entorno Linux completo, integrando herramientas de software existentes y con una interfaz gráfica amigable. Los principales objetivos son:
- Un Entorno fácil que apoye las investigaciones digitales.
- Una Interfaz gráfica amigable.
- Herramientas amigables para el usuario.
Al conectar un disco a un PC, mediante un Dock USB o algún otro tipo de adaptador o conectándolo directamente al PC, corremos el riesgo de alterar el disco.
La mayoría de los sistemas operativos como Microsoft Windows y/o la mayoría de las distribuciones Linux, montan automáticamente el sistema de ficheros del disco al conectarlo (como cuando pinchamos un pendrive y se abre una ventana mostrando su contenido). En ese momento, ya hemos alterado el contenido del disco. El sistema operativo altera levemente el contenido del disco al dejar sus marcas temporales de acceso al sistema de ficheros. Si alteramos un solo bit del disco, el hash calculado será diferente y no podremos garantizar que las evidencias no hayan sido alteradas.
Caine Linux es una distribución Linux forense que en ningún caso monta el sistema de ficheros de un disco, por lo que es la distribución perfecta para el hash de los discos duros.
Podéis descargar la última versión de la distribución Caine Linux desde aquí: https://www.caine-live.net/
Una vez sabemos lo que es el hash, la cadena de custodia y por qué utilizamos el Caine Linux, vamos a empezar el proceso en una práctica real.
La clonación de los discos duros se realizó en el despacho del perito ingeniero Javier Marqués Pons, situada en la calle Primero de Mayo, 12 de L’Alcúdia, provincia de Valencia. Procedemos a explicar un poco la clonación y su porque, y después mostramos lo realizado.
¿Por qué se tienen que clonar los discos duros?
En el clonado forense de discos duros se debe de efectuar con el fin de dar certificación y mantener una cadena de custodia de algunas evidencias digitales se mantienen contenidas dentro del dispositivo. Por esto mismo, es esencial que en cualquier proceso judicial se mantengan resguardas todas estar pruebas en una clonación de disco duro. De no hacerse, los elementos de prueba permanecerían totalmente invalidados.
El perito ingeniero está en total deber de certificar la cadena de custodia, esta parte se da para que todas las evidencias se mantengan sin tener algún tipo de alteración desde el instante en que son intervenidas, realizando así la certificación de su originalidad en cualquier instante posterior a una intervención.
¿En qué se radica el clonado forense de un disco duro?
En el clonado forense de discos duros radica en hacer una copia de absolutamente todo el contenido de un disco duro, a otro tipo de dispositivo de stock o fichero de imagen, así llegando a obtener una firma hash de los bits ya leídos durante este proceso. Con ello se puede obtener una copia muy exacta de bajo nivel con todo el contenido del disco duro, aparte de la certificación tiene dentro una firma hash.
¿De qué se trata la firma hash de un disco duro?
Esta firma se crea de una cadena de firmas en la base los bits ya leídos que están en el disco duro, claro, sin tomar en cuenta la cantidad de bits que se almacenarían dentro del algoritmo. La firma tiene un número de dependencia del contenido ya evaluado por lo que el algoritmo, que, si se llega a cambiar datos, el numero hash cambiara.
¿Qué se necesita para el proceso de clonado forense del disco duro?
Lo que se necesita para la clonación de disco duro es lo siguiente:
- Un ordenador donde poder realizar el hash con el sistema operativo Caine Linux.
- Se necesitará una base de conexión hardware de clonación.
- El disco duro original y una igual para su clonación.
Ya que he podido clonar mi disco duro ¿qué es lo que sigue?
Ya lista la clonación de disco duro, tendrás que sellar la unidad original y ejecutar el estudio pericial únicamente en el disco duro clonado. Desde de ese momento tendrás que intervenir todas esas evidencias digitales están contenidas en él disco duro y documentarlas.
¿De qué manera podemos identificar la unidad original y la que contiene los archivos clonados?
Tendremos que documentar cada disco como su marca, modelo y número de serie antes de conectarlos. Como lo lógica, el disco duro destinado de la que es la copia deberá tener una capacidad mayor o igual de almacenamiento que el disco duro que clonaremos. En este caso práctico, los discos duros magnéticos utilizados son exactamente mismo modelo y capacidad.
Conexión de los discos duros en modo solo lectura
Como hemos comentamos anteriormente, es de mucha vitalidad tener conectados los discos duros deteniendo la modificación que da el sistema operativo o una aplicación cualquiera. Este es uno de los principales errores que cometen peritos informáticos que son inexpertos. El sistema operativo forense Caine Linux permite conectar los discos duros sin modificación alguna, ya que se trata de una distribución Linux de un sistema operativo de informática forense.
En la fotografía siguiente vemos el disco duro original ya desconectado de la torre antes de su clonación, con las siguientes características más relevantes:
- WD 1.0TB SATA / 64MB Cache WD10EZEX
- S/N WMC6Y0HA95LP
En la fotografía de abajo vemos el disco duro que utilizaremos para el clonado, con las siguientes características más relevantes:
- WD 1.0TB SATA / 64MB Cache WD10EZEX
- S/N WCC6Y4XSZ614
Observamos en la fotografía siguiente el hardware que hemos utilizado para la realización de la clonación, también llamado base de clonación, en el momento que estaba realizado el clonado, con los dos discos duros conectados.
Una vez clonado el disco duro, procedemos a realizar el hash tanto del disco duro original como del disco duro clonado. Evidentemente debe dar la misma información. Como ya hemos comentado, utilizamos el sistema operativo forense Caine Linux, que nos permite realizar el hash de discos duros sin modificación de ningún bit de dichos discos duros.
Procedemos a explicar ahora el proceso entero de cómo se han sacado los hash de los dos discos duros, con el sistema operativo Caine Linux. En la siguiente captura de pantalla vemos la interfaz cuando el sistema operativo Caine Linux se enciende.
En la captura de abajo utilizamos en comando ls /dev para observar los discos duros conectados antes de conectar el disco duro del que sacar el hash, siendo sda y sdb.
Ahora pasamos a conectar el disco duro clonado, y volvemos a realizar ls /dev para ver la misma información que antes, y vemos que el disco duro conectado es el sdc, ya que el sda y sdb ya estaban anteriormente. Este sdc es el disco duro clonado.
Realizamos ahora el hash con el comando sudo sha1sum /dev/sdc
Tarda bastante ya que es un disco duro de 1Tb.
La información que nos devuelve para el disco duro con número de serie WCC6Y4XSZ614, como vemos en la captura siguiente es:
- root@caine:/# sudo sha1sum /dev/sdc
- adf62bbcdde96380de247b8b6ffc2caa73b825eb /dev/sdc
Volvemos a realizar exactamente los mismos pasos con el disco duro original. Vemos a captura de abajo sin conectar el disco duro.
En la siguiente captura vemos que, al conectar el disco duro original, nos muestra que es el sdc
Realizamos ahora el hash con el comando sudo sha1sum /dev/sdc
Tarda también bastante ya que es un disco duro de 1Tb.
La información que nos devuelve para el disco duro original con el número de serie WMC6Y0HA95LP, como vemos en la siguiente captura es:
- root@caine:/# sudo sha1sum /dev/sdc
- adf62bbcdde96380de247b8b6ffc2caa73b825eb /dev/sdc
El hash, como se puede comprobar es exactamente el mismo, por lo que es el valor que nos permite saber si la cadena de custodia es integra en los dos discos duros, tanto el original como el clonado. Este valor no puede ser diferente, porque de lo contrario significa que se ha perdido la cadena de custodia de estas evidencias digitales. Solo con conectar este disco duro a un sistema operativo no forense ya variaría ese valor.
Como conclusión, tenemos los hashes y las características del disco duro original y del disco duro clonado:
Características más relevantes y hash del disco duro original:
- WD 1.0TB SATA / 64MB Cache WD10EZEX
- S/N WMC6Y0HA95LP
- Hash sha1sum adf62bbcdde96380de247b8b6ffc2caa73b825eb
Características más relevantes y hash del disco duro clonado:
- WD 1.0TB SATA / 64MB Cache WD10EZEX
- S/N WCC6Y4XSZ614
- Hash sha1sum adf62bbcdde96380de247b8b6ffc2caa73b825eb
El hash de los dos discos duros, como hemos comprobado, es exactamente el mismo, por lo que es el valor que nos permite saber que la cadena de custodia es integra en los dos discos duros, tanto el original como el clonado. Este valor no puede ser diferente, porque de lo contrario significa que se ha perdido la cadena de custodia de estas evidencias digitales.
Finalizo el taller como si fuera el final de una pericial informática; Este es el parecer a juicio del que suscribe, que da por finalizado el presente informe, para que conste y surta los efectos oportunos ante quien corresponda, firma el presente en l’Alcúdia a 15 de febrero de 2025
Javier Marqués Pons