Controlador de disco duro especializado para uso forense
Un bloqueador portátil de Tableau conectado a un disco duroEjemplo de un dispositivo portátil de imagen de discoUn bloqueador de escritura forense de TableauA Tableau forensic disk imagerUn controlador de disco forense o dispositivo de bloqueo de escritura de hardware es un tipo especializado de controlador de disco duro de computadora, diseñado para obtener acceso de solo lectura a los discos duros de computadora sin riesgo de dañar su contenido. Este dispositivo se denomina forense porque su aplicación más común es en investigaciones donde un disco duro de computadora puede contener evidencia. Históricamente, este controlador se ha fabricado en forma de un adaptador que se conecta entre una computadora y un disco duro IDE o SCSI, pero con la llegada de USB y SATA, los controladores de disco forense compatibles con estas nuevas tecnologías se han generalizado. Steve Bress y Mark Menz inventaron el bloqueo de escritura en discos duros (patente estadounidense 6,813,682).Un dispositivo que se instala entre el medio de almacenamiento investigado y la computadora del investigador se denomina "kit puente". Este kit tiene un conector para el medio de almacenamiento y otro para la computadora del investigador. Permite al investigador leer, pero no modificar, el dispositivo investigado.El Instituto Nacional de Justicia de los Estados Unidos opera un programa de Pruebas de Herramientas de Informática Forense (CFTT) que identifica formalmente los siguientes requisitos de herramientas de alto nivel:
Un bloque de escritura de hardware (HWB) no transmitirá un comando a un dispositivo de almacenamiento protegido que modifique los datos en el dispositivo de almacenamiento.
Un dispositivo HWB devolverá los datos solicitados por una operación de lectura.
Un dispositivo HWB devolverá sin modificación cualquier información de acceso significativo solicitada desde la unidad.
Cualquier condición de error reportada por el dispositivo de almacenamiento al dispositivo HWB será reportada al host.
Descripción
Los controladores de disco forenses interceptan los comandos de escritura del sistema operativo host, impidiendo que lleguen a la unidad. Siempre que la arquitectura del bus del host lo permita, el controlador informa que la unidad es de solo lectura. El controlador de disco puede denegar todas las escrituras en el disco y reportarlas como fallos, o usar la memoria interna para almacenar en caché las escrituras durante la sesión.Un controlador de disco que almacena en caché las escrituras en memoria presenta al sistema operativo la apariencia de que la unidad es escribible y utiliza la memoria para garantizar que el sistema operativo detecte los cambios en los sectores individuales del disco que intentó sobrescribir. Esto se logra recuperando sectores del disco si el sistema operativo no ha intentado modificarlos y recuperando la versión modificada de la memoria para los sectores que sí lo han sido.
Usos
Los controladores de disco forenses se asocian comúnmente con el proceso de creación o adquisición de imágenes de disco durante el análisis forense. Su uso es para evitar la modificación involuntaria de la evidencia.Usar hardware para proteger el disco duro contra escrituras es fundamental por varias razones. En primer lugar, muchos sistemas operativos, incluido Windows, pueden escribir en cualquier disco duro conectado. Como mínimo, Windows actualizará la hora de acceso de cualquier archivo al que se acceda y podría escribir datos en el disco inesperadamente, como crear carpetas ocultas para la papelera de reciclaje o la configuración de hardware guardada. Virus o malware en el sistema utilizado para el análisis podrían intentar infectar el disco inspeccionado. Además, el sistema de archivos NTFS podría intentar confirmar o revertir transacciones incompletas, o cambiar las marcas del volumen para marcarlo como "en uso". En el peor de los casos, archivos no deseados podrían asignar y sobrescribir el espacio eliminado en el disco duro, lo que podría destruir la evidencia de archivos previamente eliminados.Proteger una unidad de pruebas contra escrituras durante la investigación también es importante para contrarrestar posibles acusaciones de que su contenido fue alterado durante la investigación. Claro que esto puede alegarse de todos modos, pero ante la falta de tecnología para proteger una unidad contra escrituras, no hay forma de refutar dicha acusación.
Referencias
^"Protección integrada para dispositivos de memoria a largo plazo de computadora".
^"Los mejores resultados para Hardware Write Block Device: Tableau Forensic SATA/IDE Bridge T35u" (PDF). Departamento de Seguridad Nacional de los Estados Unidos. Octubre 2018. Retrieved 23 de febrero, 2021.
^Manual de pruebas de herramientas forenses de computadora (PDF). National Institute of Standards and Technology. 1 de febrero de 2012. pág. 88. Retrieved 15 de noviembre, 2022.
^Clarke, Nathan (2010). "Adquisición forense de datos". Forenses informáticos. Gobernanza de TI. pp. 26 –33. ISBN 9781849280396. JSTOR j.ctt5h5mg.8.
