Bloqueadores de escritura: una introducción

Posted on by Rudeus Greyrat

La evidencia digital es nuestro principal tema de preocupación en la investigación forense. Los investigadores forenses necesitan asegurarse absolutamente de que los datos que obtienen como evidencia digital no se alteran durante la captura, análisis y control. En la sala del tribunal, todos, incluidos los abogados, los jueces y los miembros del jurado, deben sentirse seguros de que la evidencia digital no ha sido manipulada y es legítima. ¿Cómo puede estar seguro de que la evidencia digital no ha sido alterada?

Según el NIST-Instituto Nacional de Estándares y Tecnología , el investigador sigue un determinado conjunto de reglas y procedimientos para evitar la ejecución de cualquier programa que pueda modificar el contenido del disco. Algunos de estos procedimientos son:

  • Utilice un sistema operativo y otro software en el que se confíe para no escribir nada en el disco sin ninguna instrucción explícita.
  • Utilice las herramientas de bloqueo de escritura del disco duro para evitar escrituras en el disco duro.
  • Siempre que sea posible, configure un puente de hardware para que el disco sea de solo lectura.

En este artículo discutiremos las siguientes áreas clave:

  1. ¿Qué son los bloqueadores de escritura?
  2. ¿Cuáles son los tipos de bloqueadores de escritura?
  3. ¿Qué buscar en un bloqueador de escritura?

¿Qué son los bloqueadores de escritura?

Write Blocker es una herramienta diseñada para evitar cualquier acceso de escritura al disco duro, lo que permite el acceso de solo lectura a los dispositivos de almacenamiento de datos sin comprometer la integridad de los datos. Un bloqueo de escritura, si se usa correctamente, puede garantizar la protección de la string de custodia. NIST ha emitido un conjunto de pautas generales para los requisitos de bloqueo de escritura:

  1. La herramienta de bloqueo de escritura no permitirá que se cambie una unidad protegida.
  2. La herramienta de bloqueo de escritura no impedirá ninguna operación en una unidad que no esté protegida.
  3. La herramienta de bloqueo de escritura no impedirá la obtención de información de o sobre cualquier unidad.

¿Cuáles son los diferentes tipos de bloqueadores de escritura?

Los bloqueadores de escritura son básicamente de 2 tipos: bloqueador de escritura de hardware y bloqueador de escritura de software. Ambos tipos de bloqueadores de escritura tienen el mismo propósito, que es evitar cualquier escritura en los dispositivos de almacenamiento. Analicemos cada tipo de bloqueador de escritura en detalle.

Bloqueador de escritura de hardware:

Los bloqueadores de escritura de hardware se utilizan para interceptar y bloquear cualquier comando de modificación para que no llegue al dispositivo de almacenamiento. Algunas de sus características incluyen:

  • Ofrecen monitoreo y filtrado de cualquier actividad que se transmita o reciba entre sus conexiones de interfaz a la computadora y el dispositivo de almacenamiento.
  • Proporcionan interfaces integradas a una serie de dispositivos de almacenamiento.
  • Los bloqueadores de escritura de hardware pueden conectarse a otros tipos de almacenamiento con adaptadores.
  • Los dispositivos de hardware que escriben en bloque también brindan una indicación visual de la función a través de LED e interruptores. Esto los hace fáciles de usar y hace que la funcionalidad sea clara para los usuarios.

Desafíos de usar bloqueadores de escritura basados ​​en hardware:
Analicemos algunos de los desafíos de usar bloqueadores de escritura basados ​​en hardware.

  • Los dispositivos de bloqueo de escritura de hardware son muy caros.
  • Son incómodos de usar ya que requieren una conexión física y un conector diferente para cada tipo de interfaz para IDE, SCSI, USB, etc.
  • Los bloqueadores de escritura de hardware son comparativamente más lentos, ya que necesitan realizar conversiones de protocolo.

Bloqueador de escritura de software:

Los bloqueadores de escritura de software están instalados en una estación de trabajo forense. De acuerdo con la especificación del NIST sobre el bloqueador de escritura de software, una herramienta de bloqueo de escritura de software opera al monitorear y filtrar los comandos de E/S de la unidad enviados desde una aplicación o sistema operativo a través de una interfaz de acceso dada. Brindan la capacidad de bloquear simultáneamente tantos dispositivos de disco como estén conectados a una computadora sin la necesidad de múltiples dispositivos costosos de bloqueo de escritura de hardware. Algunas de las características que proporcionan las diferentes herramientas de bloqueo de escritura son:

  • El usuario puede controlar políticas automáticas de bloqueo de escritura para discos fijos y/o extraíbles.
  • El usuario puede hacer que la herramienta de bloqueo de escritura recuerde el estado bloqueado o desbloqueado de cada dispositivo fijo para facilitar su uso en medios utilizados repetidamente en una estación de trabajo/computadora portátil.
  • Algunas de las herramientas de bloqueo de escritura proporcionan una interfaz GUI que permite al usuario bloquear y desbloquear cualquier disco o dispositivo de almacenamiento flash.

Beneficios de usar bloqueadores de escritura de software:
existen algunos beneficios al usar bloqueadores de escritura de software en lugar de bloqueadores de escritura de hardware.

  • Ofrecen imágenes más rápidas que el uso de bloqueadores de escritura basados ​​en hardware.
  • Los bloqueadores de escritura de software son más asequibles que los de hardware, ya que no necesitan un conector físico separado para conectarse al dispositivo para bloquear la escritura.

¿Qué buscar en un bloqueador de escritura?

Al comprar un bloqueador de escritura, las características requeridas dependen de sus necesidades específicas. Sin embargo, hay algunos puntos generales a tener en cuenta que recomendamos a los clientes:

  • Se recomienda utilizar bloqueadores de escritura de hardware en lugar de bloqueadores de escritura de software, aunque los bloqueadores de escritura de hardware son caros y lentos. Esto se debe al hecho de que los bloqueadores de escritura de hardware funcionan independientemente de su sistema informático. Por otro lado, las herramientas de bloqueo de escritura de software pueden verse afectadas por las actualizaciones del sistema operativo y muchas otras variables.
  • Los bloqueadores de escritura de hardware o los bloqueadores de escritura externos tienen más indicadores visuales como luces rojas/verdes y una pantalla de texto para verificar que sus datos están protegidos.
  • Asegúrese de que el bloqueador de escritura sea compatible con las unidades de formato avanzado. Tenga en cuenta que elegir un bloqueador de escritura es compatible con el tipo de formato avanzado más común de 512e (512 bytes emulados).
  • Algunos bloqueadores de escritura le permiten cambiar entre los modos de solo lectura y lectura/escritura. Elija un bloqueador de escritura que permita el cambio por conveniencia en los casos en que necesite conectarse a unidades SATA o IDE.

Referencias:https://en.wikipedia.org/wiki/Forensic_disk_controller

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *