Como no recordar aquellas canciones de Juan Luis Guerra y los 4-40 como «Me sube la Bilirrubina» o «Quisiera ser un pez». Incluso hasta el día de hoy disfruto de quien realmente logró sacar la Bachata de República Dominicana.
El día de ayer inicié haciendo un concurso de un candado de USB a quien me diera la respuesta correcta de qué tenía en común Juan Luis Guerra y el Cómputo Forense… lamentablemente nadie pudo saber la respuesta correcta, es por ello que aquí les doy la respuesta.
Como un ex-músico (ya que estudié un tiempo en el Sindicato de Músicos de la Ciudad de México), aprendí acerca del 4-40; la afinación en la nota «La» (A) natural siendo de 440 ciclos por segundo.
Este tono es enigmático y realmente interesante, ya que es el mismo que era usado en las centrales telefónicas para poder indicar que uno podría realizar una llamada. Hoy en día ni siquiera levantamos el teléfono para escuchar si hay línea o no.
Es así, que recuerdo haber afinado más de una guitarra simplemente descolgando el teléfono de casa y rasgando la cuerda hasta igualar el sonido.
Pero la razón del post no es para hablar de música, ni de tonos, ni de telefonía; sino de temas forenses digitales.
Una parte primordial que siempre se encuentra en un disco duro con cualquier versión o sabor de Windows es el MBR (Master Boot Record) conocido por aquellos que alguna vez usamos dos sistemas operativos en el mismo equipo ya que pasamos tiempo peleando para que quedara bien o conocido (por lo menos al leer el error) por aquellos que han sufrido con un error cuasi-irreparable al iniciar su equipo.
Este código existe en el equipo desde el sector 0, siendo éste el primer archivo que se encuentra en el disco duro y tiene un tamaño de 512 bytes, normalmente terminando en el hexadecimal «55AA», un indicativo de que el MBR termina y está funcional. (Incluso algunos lo conocen como el «número mágico», pero nunca he entendido el chiste).
Es realmente este pedazo de código el que indica al equipo de cómputo cómo «bootear» o iniciar a cargar el sistema operativo.
Dentro del MBR es donde encontramos al offset 440 (el cual no tiene nada que ver con la Bachata!); sino que es donde encontramos 4 bytes relacionados con la Firma del Disco de Windows (Windows Disk Signature); el cual es un valor único para el disco y que nos permitiría correlacionar un disco duro con un sistema operativo.
Expliquemos un poco más. Este número de 4 bytes que se encuentra en el MBR, se relaciona en el registro de Windows de un equipo ya que cuando conectamos el disco, el sistema operativo toma registro del mismo y es entonces que puede ser vinculado entre sí.
Esta información se encuentra dentro de la llave «Mounted Devices» dentro del System Hive o llave de registro de Sistema en cada equipo.
Es por ello que si tenemos un disco duro o memoria de USB y 20 computadoras, podremos ubicar en cuáles el disco o dispositivo fue conectado aunque sea un minuto.
Hubo muchas respuestas vía twitter (aunque todas erróneas), pero muchas de ellas muy chistosas:
@marioafv: ha de ser por la cancion la bachata rosa // o por que son 4 en tu equipo y todos trabajan a 40 grados 😉
@GABOAVENDA: Pues bueno para empezar lo recomendaste en la sección musical del #podcastcrimendigital ep. 12 la cancion las avispas…
@krakenmex: que J L guerra se parece a andres velazquez
@rafaarias: que 4 de cada 40 guardan fotos de sus burbujas de amor?
@Ba_k: porque trabajan tanto los forenses que ojalá lloviera café? =P
@zzainss: a parte de que en un episodio de crimen digital colocaron juan luis guerra?
@caar2000: Acaso seran privilegios de solo lectura para el usuario y grupo | -r–r—– | chmod 440
@MgsnchzS: Que juan luis guerra creo su fundacion 440 en 1991 al igual que mattica fue creado en 1991
@robertz100: que si vas a guardar 1 gigabyte de besos mejor revisa que no tengan virus, jeje
@knaverit: la criptografía en «señales de humo», donde la chava en cuestión no puede descifrar el msg y «se pierde en el aire»
Gracias por sus comentarios y respuestas!
Te deje un mensaje en el post del video de la conferencia en campus party, checalo si tienes tiempo =)
Y reitero que tu trabajo es mas que admirable!
estimado andres velazque admiro su trabajo en latinoameria y extranjero, y el dia de hoy he decidido escribirle con el propoeito fundamental de preguntarle que software me recomienda para recueprar informacion de un disdo duro formateado por favor me urge su ayuda se la agradeceria un millon soy ingeniero en sistemas y me encuentro atorado en esta dificl situacion
No soy Andrés Velázquez ni mucho menos, soy cualquier mortal escribiendote su experiencia, a mi me paso con el HD de mi lap el cual me hicieron favor de formatear pero se les olvido hacer el respaldo de los datos en el modulo de sotorpe de la empresa para la que trabajo, tenia un respaldo de la semana anterior pero sin los datos del nuevo proyecto, no te hago el libro mas largo, lo que hice despues de esto, fue investigar y encontre «autopsy» el cual es un programa muy bueno (Segun mis consideraciones), este corre sobre linux, yo lo use en ubuntu, y con este pude recuperar los datos muy bien, pero no fue muy rapido segun mi experiencia. te dejo el link de la pagina http://www.sleuthkit.org/autopsy/ Espero te ayude.
Uhm. A mi no me quedó muy clara tu explicación al principio. Para empezar porque el MBR no es un código ni nada exclusivo del sistema operativo Windows (tal y como se pudiera llegar a inferir por como has redactado el post), si no un espacio físico en el inicio de cualquier dispositivo de almacenamiento digital, independientemente del sistema alojado en él.
Creo que hubiera sido mucho más simple explicar que en la posición sita entre los bytes 440-443 del MBR se encuentra la llamada Optional Disk Signature
y que correlacionando ésta con el registro de un sistema Windows podemos demostrar la eventual relación entre determinado dispositivo y ese sistema operativo concreto.
Por cierto que desde cualquier Unix podemos acceder al contenido de la «Optional Disk Signature» con un simple:
dd if=/dev/sdX bs=1 skip=440 count=4 2>/dev/null | hexdump -C
e incluso resetearla:
dd if=/dev/urandom of=/dev/sdX bs=1 seek=440 count=4
😉
Un saludo.
Buen día:
Pues estando un tema tan de moda con referencia a todo lo que esta sucediendo a nivel internacional, la pagina de wikileaks.
Me parece muy acertado poder tener un poco de información adicional desde el punto de vista profesional con todo lo que tiene que ver, desde diferentes puntos de vista a este tema.
Los programas que se han utilizado para ataques a las paginas, en venganza por hacer persecución al creador de la pagina, las fuentes de donde sa ha obtenido información para la pagina, el como se replica las pagina a otros lugares.
En fin me parece que es un tema con mucha tela para cortar.
Hola que tal Andres muy buenos tus aportes te y estoy muy interesado en si estoy terminando mi ing en TI y me gustaria seguir estudiando si ojala tu puedas aconsejarme y decirme de algunas escuelas. un saludo y espero que estes bien
se despide Eric
Le dicen número mágico porque así se designan a los que indican un formato, por ejemplo en unix el comando «file» hace uso de /etc/magic, por ejemplo los ejecutables de ELF tienen constantes los primeros 4 bytes ese es su magic number que JAMÁS cambiará
Le llaman así por tradicion al código de UNIX original en el cual indicaban formatos de ejecutables y headers de paginación a través de su número mágico segun los programadores originales.
así le pusieron ellos porque permitía identificar algo sin tener que procesarlo.
Hay un hacker que suplanto la identidad de una perosna en facebook y la chantajea con fotografias inapropiadas.
Facebook y su administración no responden correctamente a los llamados y la persona sigue desprestigiando a la víctima desde su perfil.
Tiene también uno de sus correos electrónicos y la amenaza con chntajes de su perosna. Es una violencia psicológica y moral muy fuerte la que tiene, y está haciedo una campaña con sus familiares, padres y los contatos de trabajo de ella y su padre.
Usa para sus registros y envío de mails una cuenta de AOL que no permite ver desde qué ciudad o localidad está haciendo sus envíos.
que puede hacer?
Que recomendación me puedes dar?
Hola! Supongo que te preguntan esto muy seguido, pero… es posible saber de que dirección tuitea una persona??? Habría forma de determinar si dos cuentas de Tw son manejadas por la misma persona? Un saludo, gracias
Hola, pronto me graduare como ingeniero en software, y me encantaria especializarme y entrar en el computo forense, como puedo empezar?