¿Se pueden alterar los datos después de que un experto clone una unidad?

Navega tus respuestas
1

Introduction

3 computadoras fueron selladas y sacadas de un departamento de personas. Los investigadores lo invitaron a abrir las PC, estaban intactos y comenzaron el proceso de clonación, sin embargo, los hashes fueron fotografiados por un experto sin ponerlos en un documento y dárselo al que está siendo investigado, diciendo que lo invitarán Al día siguiente para terminar el papeleo, pero después de 4 días, todavía no ha sido invitado, lo que significa que todos los dispositivos han permanecido sin sellar todos estos días.

Todos los discos duros fueron clonados usando un dispositivo de bloqueo de escritura, se parece a este .

El software que se usó en las investigaciones es FTK si no me equivoco.

Pregunta

¿Cómo pueden los investigadores probar que los datos de todos los discos duros no se modificaron durante estos 4 días, cuando los dispositivos se abrieron y tuvieron acceso total a ellos sin el consentimiento de la persona que está siendo investigada?

    
pregunta rmagnum2002 30.07.2015 - 08:50
fuente

1 respuesta

2

en todos los aspectos prácticos, producir la fotografía del hash de adquisición y mostrar la nueva y antigua coincidencia de hashes satisfará a todos los que el disco no haya sido manipulado.

Sin embargo ...

La respuesta más precisa es que, dependiendo de los algoritmos hash que usaron los investigadores, es posible que no puedan probar que los datos no han cambiado. Si el hash calculado solo era MD5, un atacante (los investigadores en este caso) podría alterar teóricamente la unidad para hacer que los nuevos datos resulten en una colisión de hash con los datos antiguos.

Para aclarar, si un investigador quisiera alterar el contenido de la unidad, podría realizar dos cambios: el cambio malicioso previsto, así como un segundo conjunto de cambios especialmente diseñados en otra parte de la imagen (es decir, espacio no asignado) , dando como resultado el hash de la "nueva" unidad que coincide con el hash antiguo. Esta es una debilidad conocida en el algoritmo MD5.

Ver enlace

Si los hashes utilizados eran de la familia SHA2, esta vulnerabilidad solo es teóricamente posible.

Debo tener en cuenta que asumo que el clon se está escribiendo en un nuevo HDD directamente o en un archivo de imagen DD. Una imagen E01 sería prácticamente imposible de alterar de esta manera.

    
respondido por el pezzonovante 30.07.2015 - 22:14
fuente

Lea otras preguntas en las etiquetas

Contramedidas de reconocimiento Confundido acerca del RFC 4492: diferencia entre "clave pública con capacidad ECDH" y "clave pública con capacidad ECDSA"