Uno de los mayores retos para cualquier organización está en revivir nuestros datos perdidos. ¿Qué sucede cuando sobrescriben nuestra data o eliminan nuestras bitacoras?. Francisco Pecorella en su colaboración exclusiva para Enfoque Seguro nos habla en esta majestuosa primera parte de algunas de las técnicas sofisticadas de computación forense.
Es curioso y a la vez gracioso encontrar a supuestos expertos del área forense indicar que pueden recuperar datos de discos duros o dispositivos de almacenamiento cuando inclusive hayan sido sobrescritos, esto no es broma, y ocurrió en un evento llamado “The Computer Forensics Show”.
Las técnicas de reuperación de datos o data recovery, como algunos lo conocen, comprenden recuperaciones desde la óptica física, como desde la óptica lógica. Muchas veces, nos hemos encontrado con discos duros magnéticos de platos con sonidos extraños, y sin embargo, los seguimos utilizando sin hacer un respaldo de los datos allí contenidos y es cuando el mismo ya no es reconocido que decimos “¿por qué no hice un respaldo?”. Sin embargo, no todo está perdido, hay muchas formas y posibilidades de que nuestros datos vuelvan a cobrar vida a pesar de que nuestro disco duro no sea reconocido por nuestro sistema operativo.
Lo ideal en este momento es contar con algún conjunto de dispositivos a los que podamos conectar nuestro disco y nos indique un diagnóstico de por qué nuestro disco no está respondiendo, algunos de estos dispositivos son los DeepSpar, este conjunto de herramientas examinan el disco, e inclusive reparan algunas fallas de firmware, e inclusive algunos fallos electrónicos de casi cualquier disco duro.
Si no contamos con un dispositivo como el PC-3000 de DeepSpar, tendremos que confiar en nuestro instinto e ir haciendo pruebas de ensayo y error, o utilizar la utilidad MHDD que es una utilidad gratuita para diagnósticos de discos duros a bajo nivel. Antes de aperturar un disco duro físicamente, intentemos por todos los medios lógicos de recuperar los datos. Para ello, lo primero que podemos hacer es intentar conectar el disco duro en diferentes sistemas operativos, Windows y Linux básicamente, luego intentar crear una imagen lógica del mismo, que no es más que una copia bit a bit del dispositivo –hay que tomar en cuenta que un disco de X GB producirá una imagen de X GB-, la herramienta universal para hacer esto es dd o su evolución dcfldd, aunque hay muchas otras que también pueden servir, como es el caso de FTK Imager, entre otras. Si esto tampoco funciona podemos intentar hacer una imagen de forma inversa, con Media Tools Pro, por ejemplo.
Si esta recuperación lógica no surte efecto, podemos presumir que algún componente de hardware del disco duro se haya dañado. En este caso, debemos identificar cuál es y posiblemente aplicar un “transplante”. Por ejemplo, si identificamos que un disco duro tiene su placa de circuitos visible y vemos algún componente quemado pudiéramos intentar reemplazar este componente utilizando Chip Quick por ejemplo, o simplemente reemplazando la placa completa. En este punto, hay que tener suma precaución porque es posible que dos discos duros del mismo fabricante, modelo, e inclusive de la misma capacidad tengan placas diferentes, esto producto de la globalización de la manufactura, ya que un fabricante puede tener plantas de producción en varios países, por ejemplo.
Si no hay visualmente un componente afectado, procederemos a aperturar el disco con sumo cuidado y procurando tomar fotografías periódicamente de nuestro procedimiento a fin de no perder detalles al respecto para poder luego ensamblar el mismo con detenimiento. Más detalles de qué hacer una vez que tenemos el disco abierto en una próxima entrega.
Por: Francisco Pecorella
Enfoque Seguro
