Forense

En diversas ocasiones hemos discutido en Kriptópolis sobre un dispositivo tan curioso como el disco duro, muy sensible quizás ante pequeñas (aunque continuadas) agresiones pero sorprendentemente resistente frente a impactos demoledores que a la fuerza deberían suponerse destructivos. Casi como la mente humana...

Hoy disponemos de la prueba definitiva acerca de lo difícil que puede resultar en ocasiones deshacerse de los datos. Supongamos que subimos nuestro disco a bordo de un transbordador espacial, que la nave sufre una brutal reentrada en la atmósfera y cae a la tierra convertida en bolas de fuego. ¿Sobrevivirían a ese desastre los datos de nuestro disco?

Pues contra todo pronóstico ha sido posible recuperar el 90% de los datos contenidos en una unidad Seagate de 400 MB transportada por el transbordador Columbia, que resultó destruido en 2003 a los 90 segundos de su lanzamiento, pereciendo todos sus ocupantes...

El único requisito para que Microsoft te invite a COFEE es que pertenezcas a un cuerpo policial de un país amigo.

COFEE (Computer Online Forensic Evidence Extractor) es un dispositivo USB que dispone de 150 comandos que facilitan la obtención de pruebas desde una máquina sospechosa de haber intervenido en un delito. Permite descifrar contraseñas, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello sin necesidad de incautarse de la máquina, ya que el análisis puede realizarse in situ.

Más de 2.000 policías de quince países disponen ya de este dispositivo, que Microsoft proporciona de forma gratuita.

Con tan pocos detalles resulta imposible determinar la utilidad práctica del dispositivo, puesto que disponiendo de acceso local a una máquina no tiene demasiado mérito acceder a ese tipo de datos. Supongo que lo único que hace es sistematizar y facilitar el acceso a individuos poco especializados...

Pese a que el trabajo original ni siquiera nombraba producto alguno de PGP Corporation, esta empresa ha considerado conveniente publicar una nota informativa conteniendo algunas consideraciones orientadas a mitigar un posible ataque a su producto para cifrado de disco PGP Whole Disk Encryption (WDE).

Básicamente, PGP Corporation recomienda dos tipos de medidas preventivas. En primer lugar, desmontar las unidades cifradas cuando no se utilicen y configurar PGP WDE para que desmonte las unidades cifradas cuando el portátil entre en suspensión. Además, y en la medida de lo posible, evitar la suspensión en favor de la hibernación, que sí borra las claves en la DRAM.

A algunos de nuestros lectores les parecía -y con razón- un tanto retorcido lo de andar con el depósito de nitrógeno líquido a cuestas para poder "congelar" la RAM...

Quizás por eso, a estos "genios" de las universidades australianas de Western Sidney y Newcastle se les ha ocurrido la solución perfecta: pedir que los sistemas operativos sean modificados para que guarden copias de la RAM, todo por supuesto con el loable fin de siempre: facilitar la investigación de los delitos informáticos.

Se trata de imitar lo que ocurre en los cajeros, que al parecer guardan una copia de la RAM en disco.

El trabajo está pendiente de publicación.

Tenía pendiente leerme el reciente trabajo sobre persistencia de memoria residual en la RAM de equipos apagados y ya he hecho mis deberes. Expondré a continuación algunas de mis conclusiones, en la esperanza de que contribuyan a despejar algunas dudas que los lectores han expuesto en sus comentarios o, en el peor de los casos, que al menos mis palabras fomenten el debate sobre algunos aspectos colaterales.

Comenzaré por mis conclusiones. Si eres un émulo de Jack Bauer, seguro que la agencia para la que trabajas es plenamente consciente de este riesgo y hace tiempo que te habrá provisto de un sofisticado (y caro) portátil, equipado con refuerzos mecánicos dirigidos a impedir una rápida extracción de tus módulos de memoria o incluso con algún módulo soldado firmemente a la placa. No obstante, eso no te libera de la necesidad de controlar en todo momento tu portátil, sobre todo cuando lo tienes encendido, suspendido o hibernando. Una vez lo apagues del todo, bastará con que lo tengas controlado durante un minuto más para que ni un atacante equipado con nitrógeno líquido (que en tu "negocio" puede haberlos) pueda extraer tus claves de la memoria.

¿Y los usuarios comunes? Pues básicamente lo mismo: tu portátil corre peligro si te lo "levantan" mientras tiene algún tipo de vida eléctrica, y si está recién apagado aún puede extraerse algo de la RAM, pero dudo que tu atacante sepa cómo hacerlo, o que tenga el tiempo, la habilidad y el interés necesarios para rociar tus DIMM con un spray invertido ;)

Sin embargo, que no se me entienda mal, porque mis afirmaciones anteriores no pretenden quitar ningún mérito ni interés a un excelente trabajo que aunque sólo fuera por su poder desmitificador ya valdría su peso en oro. Pero es que además -como dije al principio- nos va a permitir hacer algunas reflexiones sobre algunos aspectos interesantes...