Un controlador de disco forense o un dispositivo de bloqueo de escritura de hardware es un tipo especializado de controlador de disco duro de computadora creado con el propósito de obtener acceso de solo lectura a los discos duros de la computadora sin el riesgo de dañar el contenido de la unidad. El dispositivo se denomina forense porque su aplicación más común se utiliza en investigaciones en las que el disco duro de una computadora puede contener pruebas. Históricamente, un controlador de este tipo se ha fabricado en forma de un dongle que encaja entre una computadora y un disco duro IDE o SCSI , pero con la llegada de USB y SATA, los controladores de disco forenses que soportan estas nuevas tecnologías se han generalizado. Steve Bress y Mark Menz inventaron el bloqueo de escritura del disco duro (patente de EE. UU. 6,813,682). [1]
Un dispositivo que se instala entre un medio de almacenamiento bajo investigación y la computadora de un investigador se denomina " kit puente ". El kit puente tiene un conector para el medio de almacenamiento y otro conector para la computadora del investigador. Permite al investigador leer, pero no alterar, el dispositivo bajo investigación. [2]
El Instituto Nacional de Justicia de los Estados Unidos opera un programa de Prueba de Herramientas de Computación Forense (CFTT) que identifica formalmente [3] los siguientes requisitos de herramientas de alto nivel:
- Un dispositivo de bloque de escritura de hardware (HWB) no debe transmitir un comando a un dispositivo de almacenamiento protegido que modifique los datos en el dispositivo de almacenamiento.
- Un dispositivo HWB devolverá los datos solicitados por una operación de lectura.
- Un dispositivo HWB devolverá sin modificación cualquier información de acceso significativo solicitada al convertidor.
- Cualquier condición de error informada por el dispositivo de almacenamiento al dispositivo HWB se informará al host.
Descripción
Los controladores de disco forenses interceptan los comandos de escritura del sistema operativo host , evitando que lleguen a la unidad. Siempre que la arquitectura del bus de host lo admita, el controlador informa que la unidad es de solo lectura. El controlador de disco puede denegar todas las escrituras en el disco e informarlas como fallas, o usar la memoria integrada para almacenar en caché las escrituras durante la sesión.
Un controlador de disco que almacena en caché las escrituras en la memoria presenta al sistema operativo la apariencia de que la unidad es grabable y utiliza la memoria para garantizar que el sistema operativo vea cambios en los sectores individuales del disco que intentó sobrescribir. Para ello, recupera sectores del disco si el sistema operativo no ha intentado cambiarlos y recupera la versión modificada de la memoria para los sectores que se han modificado.
Usos
Los controladores de disco forenses se asocian más comúnmente con el proceso de creación de una imagen de disco , o adquisición, durante el análisis forense . Su uso es para evitar modificaciones involuntarias de pruebas.
El uso de hardware para proteger el disco duro de escrituras es muy importante por varias razones. Primero, muchos sistemas operativos , incluido Windows , pueden escribir en cualquier disco duro que esté conectado al sistema. Como mínimo, Windows actualizará el tiempo de acceso para cualquier archivo al que se acceda y puede escribir cosas en el disco de forma inesperada, como crear carpetas ocultas para la papelera de reciclaje o la configuración de hardware guardada. Las infecciones de virus o malware en el sistema utilizado para el análisis pueden intentar infectar el disco que se está inspeccionando. Además, el sistema de archivos NTFS puede intentar confirmar o revertir transacciones inacabadas y / o cambiar indicadores en el volumen para marcarlo como "en uso". En el peor de los casos, los archivos no deseados pueden asignar y sobrescribir el espacio eliminado en el disco duro, lo que potencialmente puede destruir la evidencia en forma de archivos eliminados previamente.
Proteger una unidad de pruebas de los escritos durante la investigación también es importante para contrarrestar las posibles acusaciones de que el contenido de la unidad se alteró durante la investigación. [4] Por supuesto, esto se puede alegar de todos modos, pero en ausencia de tecnología para proteger un disco de las escrituras, no hay forma de refutar tal alegación.
Referencias
- ^ https://patents.google.com/patent/US6813682B2/en
- ^ "Resultados de la prueba para el dispositivo de bloque de escritura de hardware: Tableau Forensic SATA / IDE Bridge T35u" (PDF) . Departamento de Seguridad Nacional de los Estados Unidos . Octubre de 2018 . Consultado el 23 de febrero de 2021 .
- ^ http://www.cftt.nist.gov/HWB-ATP-19.pdf
- ^ Clarke, Nathan (2010). "Adquisición forense de datos" . Informática forense . Gobierno de TI. págs. 26–33. ISBN 9781849280396. JSTOR j.ctt5hh5mg.8 .