Hash De Disco Duro
Continuando con el artículo en el que hablábamos sobre cómo bloquear los puertos USB en Windows para poder conectar dispositivos externos, sin miedo a que se pueda modificar su información, hoy hablaremos de una recomendación muy útil, cuando de calcular el Hash de un Disco Duro se trata. Por regla general será preciso calcular el Hash correspondiente al disco duro original -tomaremos como referencia el cálculo de hashes de tipo SHA1-, en las dependencias de un fedatario público, así pues las velocidades de cálculo serán fundamentales.
Por defecto suelen calcularse hashes de ficheros, o de carpetas comprimidas, pero calcular un hash de disco duro –indispensable para acreditar la invariabilidad de la prueba incluida en éste-, es una tarea bastante lenta debido a la gran capacidad de almacenamiento de estos dispositivos, por lo que habrá que echarle una buena dosis de paciencia. Si disponemos de máquinas clonadoras capaces de calcular el hash “sobre la marcha”, de tal forma que nos lo indiquen al terminar la clonación, estaremos de suerte y nos habremos quitado un gran peso de encima, aunque normalmente esas herramientas autónomas –como igualmente dijimos en el post anterior-, suelen ser bastante caras. Por tanto, y si no disponemos de suficientes recursos económicos, o si es preciso transportar gran cantidad de material al lugar donde hay que hacer la clonación, tendremos que echar mano de nuestros portátiles y de una buena dosis de imaginación para encontrar soluciones a este problema.
Sirva como ejemplo el cálculo de un HASH sobre un disco duro SSD de 100 Gb. En el caso de que hayamos conectado el disco a un puerto USB 2.0, una aplicación tardará una media de entre 100 y 120 minutos, mientras que en un USB 3.0 puede oscilar bastante, dependiendo de la controladora que tengamos instalada. Si es una controladora USB 3.0 estándar, el cálculo del Hash de esos mismos 100Gb puede llegar a demorarse hasta los 80 minutos. Un mundo.
Es por eso que es muy recomendable disponer de al menos un puerto USB 3.0 de alta transferencia instalado en nuestros equipos. Como norma general, los puertos USB 3.0 instalados en los equipos suelen tener conectores de color azul, contra los conectores negros que suelen caracterizar a los dispositivos USB 2.0. En caso de no disponer de uno, lo mejor será adquirir una tarjeta Express Usb 3.0 Card, con tasas de transferencia que pueden superar con amplitud los 5 Gbps. Esto supone que podríamos calcular el Hash de ese mismo volumen de 100 Gb, en menos de 30 minutos. Estas tarjetas (ya sean Express Card, para portátiles, o PciXpress, para PC’s), pueden adquirirse en cualquier tienda de informática, a costes bastante asequibles, que rondarán entre los 10 y 20 euros. Como es lógico las hay más caras, que no mejores. Algo que debemos tener igualmente en cuenta es la tasa de transferencia que permite el bus Express Card del portátil, que suele ser de 2,5 Gbps, inferior en cualquier caso a las capacidades de la tarjeta de ampliación. Queda claro que, ante ese coste, no merece la pena estar esperando ¡horas!, a que se calcule el hash de un disco de 500 Gb o, como es ya muy común, de 1Tb.
Las clonadoras autónomas (las que no necesitan conectarse a un equipo para hacer una imagen especular de un disco sobre otro), hacen copias “idénticas” de los dispositivos, por lo que –para uso particular, o cuando no es preciso aportarlas como pruebas judiciales-, no es necesario calcular el Hash del volumen original y, posteriormente, cotejarlo con su duplicado. Los forenses sabemos que la imagen es idéntica. Pero cuando esta prueba ha de llegar al juzgado tendremos que prestar especial atención en estos detalles. Un buen abogado nos echará por tierra toda la prueba, en el momento en que consiga poner en duda la fiabilidad del clonado. Como digo, nosotros sabemos que la copia es idéntica, pero eso no basta: hay que demostrar a los demás que así lo es. Y eso solo se consigue con el cálculo del hash.
En conclusión: si como informáticos hemos de clonar un disco duro con vistas a que las pruebas existentes en este medio puedan ser utilizadas en un proceso judicial, tendremos obligatoriamente que calcular el hash del disco duro y si, como letrados, queremos garantizar la indubitabilidad del clonado, hemos de exigir al informático forense que calcule los hashes tanto del disco duro de origen, como del de destino. Es un trabajo laborioso y lento, pero es la única garantía que certifica «que lo que se está presentando ante Su Señoría, es lo mismo que había en el original».
Como siempre ocurre en informática, todo es infinitamente diferente, dependiendo de si es cero, o es uno.
José Aurelio García
Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense
Co-Director del Curso de «Experto Profesional en Derecho Tecnológico e Informática Forense«, editado por la Universidad de Extremadura y ANCITE
Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE
Informático Forense – El Blog de Auditores y Peritos Informáticos
No hay comentarios