El cómputo forense es una disciplina que aunque se considera como de reciente creación, al igual que la tecnología, avanza a pasos agigantados.
Una muestra es precisamente cómo el mercado de las computadoras poco a poco ha permitido el uso de las Mac dentro de los hogares y no sólo dentro de los despachos de diseño gráfico.
Yo incluso, hace algunos meses tuve la fortuna de comprar una MacBook (desde la cual normalmente escribo estos posts durante las noches) y he disfrutado mucho de ella.
He podido instalarle BootCamp, VMWare Fusion, he realizado muchas pruebas de conceptos forenses e incluso tuve que llevarla conmigo a dos de los cursos forenses sobre plataformas Mac en Estados Unidos; donde incluso al sólo tener esta laptop, tuve que trabajar con ella durante mi viaje.
Uno de los puntos que me llamó la atención de los dispositivos creados por la firma Apple, son el AppleTV, Time Capsule y el Airport Express; todos ellos que de alguna u otra forma he tenido acceso en los ultimos meses.
No me centraré en definir cada uno de ellos (para eso está el Wikipedia) pero me llama la atención que todos ellos cuentan con bitácoras, cosa que no sucede en muchos de los otros dispositivos de red con los que contamos.
El examinador forense digital, muchas de las veces requiere de bitácoras de elementos de red para poder extraerlas y que sean herramientas para poder determinar parte del incidente.
Como vemos en la siguiente imagen, en el caso de el Time Capsule, es posible configurar un syslog para enviar las bitácoras; es decir, como lo he externado en otras ocasiones, el poder realizar una preparación que antecede al incidente para poder prepararnos para lo inevitable.
Sin embargo, también es posible ver la información almacenada en el dispositivo, que si bien normalmente es de un tamaño reducido, nos podría brindar información interesante.
Es claro que dependiendo del entorno y los dispositivos que se tengan a la mano, es cómo se realiza un análisis.
Ahora bien, estoy haciendo pruebas con mi Airport Express, donde estoy ampliando mi red actual y usándolo para broadcastear música entre los cuartos. Quedará acaso algún registro en los dispositivos? Ya les platicaré…