El “imaging” (obtención de imágenes forenses de datos) es un proceso mediante el cual se realiza una copia exacta del disco duro de un equipo electrónico o de un soporte de almacenamiento digital. El procedimiento de obtención de imágenes forenses en el contexto de la informática forense es muy diferente del que utiliza normalmente cualquier usuario informático para realizar copias electrónicas de un archivo. En primer lugar, hay una diferencia metodológica. Para la obtención de imágenes forenses de datos es necesario un programa forense específico y que éste sea utilizado por personas con conocimientos de informática forense. No se debe iniciar (encender) el ordenador. Cuando un usuario hace una copia de un archivo sí necesita encender el ordenador. Independientemente del sistema operativo que se utilice, al encender el ordenador se producen modificaciones de ciertos datos del disco duro. Aunque puedan ser invisibles e irrelevantes para el usuario, estas operaciones del sistema son importantes para los expertos forenses, porque ellos no sólo analizan los archivos de usuario, tales como los documentos de texto y los archivos de imagen y sonido, sino también los datos ocultos y la información contenida en los archivos de sistema, por ejemplo la información que el ordenador genera “automáticamente” cuando trata la información. En segundo lugar, la naturaleza de la copia es diferente. Con el proceso de “imaging” se obtiene una copia exacta del disco duro: una copia imagen forense es una copia exacta y a tamaño natural de todos los contenidos y de la estructura de un soporte o un dispositivo de almacenamiento, como un disco duro, una llave USB, un CD o un DVD. Normalmente se genera un archivo con la copia imagen que está basada en los sectores del soporte (copia de la secuencia de bits), sin tener en cuenta su sistema de archivos. Como tal, la copia imagen contiene toda la información necesaria para reproducir exactamente la estructura y todos los contenidos de un dispositivo de almacenamiento. Para la obtención de imágenes forenses de datos es necesario tomar unas precauciones específicas, para lo que se utilizan write blockers, con objeto de garantizar que durante ese proceso no se produzca ninguna modificación en la prueba instrumental original. La tercera diferencia es que la obtención de imágenes forenses lleva asociado un proceso de validación para determinar si la imagen es o no completamente idéntica a la original. Para ello se comparan los valores de hash. Un valor de hash es una secuencia de números y caracteres generada al utilizar un algoritmo concreto. El valor se genera en función de los datos que figuran en el ordenador y es absolutamente único para cada dispositivo de almacenamiento. Al comparar los valores de hash generados desde el original con los generados desde la copia, los analistas forenses pueden determinar si la copia está bien hecha. Si ambos valores coinciden, la copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso.
Fuentes y Recursos:
informe de intelpol, caso Farc
wikipedia.org
No hay comentarios.:
Publicar un comentario