Aseguramiento de Evidencia Digital con WinFE
Yair V.
Durante una investigación forense digital, me encontré con dos computadores marca HP ProDesk apagados y configurados con sistema operativo Windows 10. El aseguramiento de la evidencia digital implica obtener imágenes forenses manteniendo la integridad de esta. El plan inicial fue extraer los dispositivos de almacenamiento y usar bloqueadores de escritura de hardware, buscando obtener las imágenes forenses, garantizando la integridad de la información; sin embargo, tras varios intentos fallidos de remover los tornillos que sujetaban los discos de estado sólido (SSD) decidí usar un sistema operativo de arranque (SOA).
Normalmente, cuando no hay suficientes bloqueadores de escritura de hardware en campo o no es posible extraer los discos duros de un equipo de cómputo, mi primera opción es usar la suite forense PALADIN, un entorno Linux en vivo, desarrollado por Sumuri la cual puede usarse como bloqueador de escritura de software. Sin embargo, una vez que uno de los computadores arrancó con PALADIN y seleccioné el modo forense, la pantalla permaneció de color negro, aun después de varios intentos.
Mi siguiente opción fue el entorno forense de Windows WinFE, desarrollado inicialmente por Troy Larson y mejorado por Colin Ramsden y otros DFIR. WinFE es reconocido como una herramienta de protección contra escritura de software y puede configurarse en un dispositivo USB para arrancar o iniciar una computadora y adquirir imágenes forenses.
Imagen No. 1 Inicio de WinFE
Lo que más me gusta de WinFE es que pueden configurarse las herramientas requeridas para la adquisición de evidencia digital. Por ejemplo, FTK Imager, Encase, X-Ways, etc. WinFE es gratuito, pero tiene algunas restricciones para su uso en capacitación. Brett Shaver ha escrito una guía detallada sobre la construcción de WinFE y sus diferentes versiones, indicando cuándo es la mejor opción y en qué circunstancias la protección contra escritura se ve afectada según la opción seleccionada para los discos.
Imagen No. 2 Configuración WinFE con FTK Imager
La Consola de Administración de Discos de la Herramienta de Protección (Protect Tool Disk Management Console) es una de las funciones clave de WinFE. Presenta la lista de discos disponibles en el equipo de destino y su estado, como "Montado", "Solo lectura", "Lectura/Escritura" y además es posible obtener información acerca de los discos conectados.
Imagen No. 3 Consola de Administración de Discos de la Herramienta de Protección WinFE
Algo para tener en cuenta antes de iniciar un computador con cualquier SOA , es comprobar el orden de arranque establecido, y seleccionar el dispositivo configurado con WinFE, ya que cada fabricante utiliza teclas o combinaciones diferentes para su inicio.
Le presenté WinFE a un amigo abogado quien siempre tiene interrogantes sobre el funcionamiento de las herramientas de cómputo forense. Esta vez, su pregunta era si la de la capacidad de bloqueo de escritura de WinFE realmente funcionaba. Entonces, preparé un entorno de prueba para mostrarle el funcionamiento de esta.
Posteriormente, adquirí tres imágenes forenses, utilizando para cada una diferentes bloqueadores de escritura de software, protegiendo el dispositivo de almacenamiento contra modificaciones.
Tabla No. 1 Ambiente de Pruebas
El dispositivo de almacenamiento SSD se conectó al equipo portátil como dispositivo externo, mediante el adaptador Apricorn SATAWire 6G SCSI. La primera imagen se obtuvo utilizando un computador con sistema operativo Windows 10 y con el bloqueador de escritura de software SaFe Block. Las demás imágenes, se adquirieron boteando el equipo con WinFE y con PALADIN respectivamente.
Como resultado, todos los valores hash calculados y las sumas de verificación de las imágenes adquiridas coincidieron, como se muestra en la siguiente tabla e ilustraciones.
Tabla No. 2 Valores Hash y Sumas de Verificación
Resultados valores hash calculados y sumas de verificación:
Imagen No. 4 SaFe Block FTK imager
Imagen No. 5 WinFE FTK imager
Imagen No. 6 PALADIN
Sin embargo, Brett Shaver, al igual que Troy Larson han destacado algunas de las restricciones del uso de WinFE en discos que no poseen sistemas operativos Windows y cuando se pueden presentar modificaciones en estos dispositivos. Por lo tanto, debemos entender cuándo se pueden generar los "cambios" y cómo esto afectaría el proceso de adquisición Derick Eiri, validó la capacidad de protección contra escritura en discos con sistemas operativo Windows y Linux.
Lecciones aprendidas, WinFE puede configurarse con las herramientas necesarias para adquirir imágenes forenses. Debemos comprender las limitaciones de WinFE antes de usarlo en campo y considerar las opciones de arranque del equipo de cómputo antes de iniciarlo. WinFE debería incluirse en nuestro kit de herramientas para la adquisición de evidencia digital.
Referencias
https://mreerie.com/2023/07/29/disk-toggling-validating-winfe/