Una de las tareas a las que ha de enfrentarse un forense informático es la de clonar el disco duro de un iMac. Estos equipos «todo en uno» se caracterizan por no tener tornillos externos que quitar que nos dejen acceder al interior de la máquina. El único método que tenemos para poder verlas consiste en «despegar» la pantalla del chasis; una operación que requiere mucho tacto y una gran dosis de valentía. Luego es fácil, pero la primera vez no deja de ser bastante «acongojante». Si estás pensando en desmontar la pantalla para poder acceder al disco duro, quizá deberías pensar también en algún seguro de responsabilidad civil, por si la cosa no sale bien. En cualquier caso, en internet hay multitud de vídeos que te explicarán cómo se desmontan estos equipos, con una simple tarjeta de crédito y un destornillador Torx.

     En el artículo de hoy vamos a explicar cómo se puede un clonado del disco duro de un iMac, sin tener que desmontar nada; lo haremos a través del puerto USB, para posteriormente estudiar su contenido. La forense -como en todos los casos-, consistirá en clonar el disco, lo primero, y examinar después su contenido, con la herramienta forense que prefiramos. O de forma manual, si tenemos tiempo y ganas. La copia del disco duro de destino ha de ser idéntica a la existente en el instalado dentro del iMac, por lo que debemos asegurarnos de que el programa que usemos no altere la información del disco original; sobre todo si el objeto de nuestro trabajo va encaminado a algún litigio. Podemos encontrar programas muy buenos para Mac, como Carbon Copy, o SuperDuper, entre otros. Nosotros vamos a usar una herramienta muy ligera, pero muy potente -y además gratuita-, llamada OsfClone, de OsForensics.

     Esta utilidad puede instalarse tanto en Cd o Dvd, como en dispositivos USB. Como los iMac no suelen llevar ya lectores de Dvd, nosotros lo instalaremos en un Pendrive de 4 Gb, pues la instalación (con el arranque linux incluido), ocupa unos 2 Gb. Para instalarlo basta con descargarse el fichero concreto para USB y ejecutarlo, indicando la letra asignada por el sistema operativo, al pendrive. Una vez creado el sistema en el pendrive, lo introduciremos en un puerto USB del iMac y encenderemos el equipo, pero con la tecla «opción», pulsada. Esto nos permitirá elegir el dispositivo con el que queremos que la máquina arranque. Todo hay que decirlo, esto es posible gracias a que la última versión de esta utilidad permite arrancar en las BIOS/UEFI de los nuevos iMAC.

      Una vez encendida la máquina, aparecerán las distintas opciones de arranque. Nosotros elegiremos la opción «EFI Boot», que corresponde a nuestro pendrive. El sistema arrancará y, al poco, aparecerá el menú principal, con varias opciones. Este es el paso más delicado, pues hay que tener cuidado a la hora de seleccionar el disco «fuente» (el instalado dentro del iMac, y el «destino», el conectado a otro de los puertos USB del equipo. Ni que decir tiene, que todo lo que exista en el destino (que no debería existir nada), será eliminado con la clonación. Este artículo no pretende convertirse en un tutorial de OsfClone pero, al menos, haremos un muy breve resumen. En la pantalla principal podremos elegir entre «clonar» el disco, o crear una imagen (un fichero), con todo el contenido, que podrá ser montada posteriormente, mediante programas concretos. En este caso, nosotros elegimos la opción «Clone complete drive», para hacer un duplicado exacto del disco del iMAC. Pulsada esta opción, se abre otro menú, en el que hay tres apartados importantes: el de selección del disco fuente, el de selección del disco destino y el de «cambio de opciones», donde podremos seleccionar el algoritmo de cálculo HASH deseado. Por defecto es MD5. La velocidad de copia -a pesar de ser a través de puerto USB-, es bastante elevada, copiando un disco de 500Gb (el usado en nuestro experimento), en cerca de 1:40 horas, con una media de transferencia de 80 M/s.

     Finalizada la copia, la utilidad OsfClone nos reportará si ha habido algún fallo en el duplicado, además de mostrarnos la cadena HASH obtenida tras éste. Esta cadena será la única garantía de inalterabilidad de la prueba tras la copia, de tal forma que, si en algún momento cambia, significará que también ha cambiado el contenido del disco, cosa que podría poner en peligro la validez de la prueba. Nosotros recomendamos que, en vez de calcular con el alforitmo MD5, se cambie en «opciones», por al menos el algoritmo SHA1. Esto tendrá como consecuencia el que la copia sea algo más lenta, pero nadie podrá poner en duda el resultado, acogiéndose a la famosa teoría de la «colisión MD5».

     Una vez terminado nuestro clonado por USB deberemos -siempre-, hacer una nueva copia (como mínimo), ya por hardware -si disponemos máquina clonadora-, y volver a calcular los Hashes de este nuevo clonado, para asegurarnos de que es idéntico. La razón de hacer una nueva copia no es otra que, de encontrar evidencias útiles, será preciso presentar una «copia original», que garantice los principios de mismidad y salvaguardia de la cadena de custodia de la prueba. Como ya hemos dicho anteriormente, este artículo va sobre clonado de discos duros en iMac’s, no de análisis forense de los mismos. En cualquier caso existen multitud de herramientas en el mercado que permiten hacer forense a este tipo de discos, ya sean «OpenSource», o comerciales. Unas u otras empezarán a arrojar resultados al poco de empezar nuestra forense.

Como siempre ocurre en informática, todo es infinitamente diferente, dependiendo de si es cero, o es uno.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Tïtulo Propio «Derecho Tecnológico e Informática Forense», impartido por la UnEx dtif.unex.es

Profesor en el «Máster de Abogacía Digital», impartido por la USAL

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected]