¿Qué debo tener en cuenta para seleccionar un método de transferencia para datos forenses digitales?

6

Tengo una pregunta relacionada con el uso de tecnología forense para recopilar pruebas de dispositivos / estaciones de trabajo móviles / portátiles.

Intentaría explicar mejor este escenario, considerando un entorno de trabajo en el que nosotros (como equipo técnico de seguridad) recibe una llamada para investigar la ubicación de xyz para recopilar algún tipo de evidencia digital. En este momento, no tenemos los medios forenses para hacerlo, solo confiamos en los medios manuales básicos para recopilar los datos. Por ejemplo, en la búsqueda de archivos de historial, carpetas temporales.

Ahora, después de un mes de deliberación sobre los beneficios del uso de la tecnología forense, hemos ideado una estrategia en la que usaríamos duplicadores de disco duro para obtener datos de la estación de trabajo / computadora portátil remotas y escribir para escribir en el disco duro protegido. discos.

Ahora, donde estoy atascado en todo el proceso, es cómo optimizar la transferencia de datos desde las unidades al sistema de análisis. El sistema de análisis en este caso estaría usando el software EnCase. Quiero saber de la siguiente lista cuál sería la mejor manera de transferir pruebas a los sistemas de análisis.

  1. Estación de trabajo / computadora portátil conectada a un disco duro externo
  2. Estación de trabajo / computadora portátil conectada a la interfaz USB
  3. Estación de trabajo / computadora portátil conectada a un disco duro conectado a la red.
  4. También otros métodos no mencionados aquí.

Teniendo en cuenta que, en nuestro entorno, el volumen de unidades de disco se extrae a terabytes. Por ejemplo, una imagen de una unidad de terabyte cuando se copia al sistema de análisis a través de cualquier canal debería ser lo suficientemente rápida para que el software forense ejecute consultas complejas, por ejemplo, para encontrar archivos eliminados, o acceso a la computadora a través del terminal remoto.

Quiero saber del método mencionado anteriormente, que proporciona el análisis más rápido de la evidencia. Teniendo en cuenta, que no hay escasez de espacio para almacenar pruebas digitales en el sistema de análisis.

    
pregunta Saladin 14.02.2013 - 15:03
fuente

4 respuestas

4

Cuando las computadoras desean tener un acceso rápido a los discos duros, usan SATA. USB, Firewire ... están bien para discos externos , pero dada la opción (es decir, cuando estamos hablando del disco que va dentro de la computadora), las computadoras usan SATA. Por lo tanto, desea utilizar SATA.

Entonces, para su análisis, usted desea:

  1. Copie todo el disco para inspeccionarlo en un nuevo disco duro. duplicadores de disco duro usualmente usa SATA, por lo que querrá extraiga el disco de origen y conéctelo al duplicador, junto con el disco de destino. Los buenos discos duros mecánicos superan entre 100 y 150 MB / s, por lo que, para un disco de 1 TB, esto tomará por lo menos dos horas. Los SSD son más rápidos y hacen que SATA sea aún más importante.

  2. Enchufe la copia en la máquina que realizará el análisis (conexión interna, SATA nuevamente).

Yo recomendaría no iniciar la máquina para analizar, incluso en un CDROM o en una llave USB, ya que esto implica manipular la configuración del BIOS, por lo que "contamina" la escena del crimen. Además, esto limitaría sus opciones a USB, y las tapas USB-2.0 a 60 MB / s (límite teórico, rara vez alcanzado).

Para un análisis aún más rápido , convierta el disco de destino en un SSD (que tendrá que ser lo suficientemente grande para acomodar una copia completa del disco de origen, y el SSD de gran tamaño es caro, ¡pero tan rápido! ).

    
respondido por el Thomas Pornin 14.02.2013 - 15:55
fuente
1

Personalmente, soy un gran fanático del arranque a un LiveCD forense (elija su opción, EnCase funciona bien) y luego la imagen en una unidad externa. Es barato, rápido y fácil de entregar a un tercero (como, por ejemplo, la aplicación de la ley).

    
respondido por el AJ Henderson 14.02.2013 - 15:13
fuente
1

EnCase tiene una variedad de formas de Adquirir evidencia de unidades. Recomiendo encarecidamente obtener la Guía de estudio de EnCE que incluye un gran capítulo sobre los métodos de adquisición de datos.

Un par de consejos:

  • Si la computadora está encendida; déjalo puesto. Los volúmenes cifrados probablemente serán desbloqueados / abiertos. Apagar la computadora casi con seguridad los bloqueará, y es probable que obtenga la contraseña de alguien que es "culpable". Utilice una utilidad de volcado de memoria para enganchar el contenido de la memoria RAM. Haz tu mejor esfuerzo para no cambiar nada en la computadora.
  • Obtenga un adaptador USB HD (preferiblemente con SATA y PATA) con capacidades de bloqueo de escritura. Estos no son muy baratos, pero hacen que el examen inicial sea mucho más rápido y fácil en la mayoría de los casos. La duplicación de unidades de disco será necesaria en algunos casos, especialmente si la policía se involucra.
  • Bag-n-tag, toma fotos (incluso de las cosas más oscuras), documenta todo ampliamente.
respondido por el Chris S 14.02.2013 - 15:59
fuente
0

No puedo comentar ...

Para agregar a la respuesta de @ thomas-porn, debe considerar un duplicador de hardware / imager específico que pueda crear archivos de evidencia e01 / ex01. Este es el formato que utiliza EnCase y es compatible con la compresión, lo que aumentará la velocidad de análisis, independientemente de la interfaz que utilice. Reconoce los bloques con un patrón de relleno y los registra en los metadatos sin tener que escribir KiB's de datos en la unidad.

Sé que hay muchos duplicadores de hardware que admiten esto, pero solo estoy familiarizado con uno que está en la parte superior de mi cabeza. Tableau TD2 o TD3 .

    
respondido por el WMIF 29.08.2013 - 00:51
fuente

Lea otras preguntas en las etiquetas