¿Cómo podemos validar que lo que tenemos como evidencia o prueba digital es exactamente igual a la imagen forense que acabamos de crear?

Un hash es un algoritmo matemático que permite generar a partir de una cadena de longitud variable, una cadena de longitud fija.

Es como sacarle una huella digital a un archivo (sólo en su contenido) o a un disco duro (en su totalidad); y por lo tanto nos permite validar la integridad entre el medio original y la imagen forense.

Este proceso es uno de los principales que se realizan dentro del paso de Preservación dentro del Cómputo Forense que se realiza en conjunto con la generación de la imagen forense. (Copia exacta del medio de almacenamiento que se va a analizar).

Dentro del cómputo forense las mejores prácticas nos indican que es el algoritmo MD5 el que puede ser usado, aunque también son aceptados el SHA-1 y SHA-256.

Un valor hash (resultante del algoritmo hash, también llamado digest) es generado a partir de una cadena de entrada; sin embargo, no es posible llegar a calcular esa cadena de entrada a partir del hash. Por lo que es un algoritmo de una sola vía.

Si tenemos un archivo y calculamos su hash, nos dará el valor hash, que por ejemplo puede ser:

  • MD5:  9bb6826905965c13be1c84cc0ff83f42
  • SHA-1: ae7734e7a54353ab13ecba780ed62344332fbc6f

 

En un caso de que modificáramos el contenido del archivo -OJO: el hash de un archivo se calcula únicamente de su contenido, no de su fecha de acceso, modificación o creación ni en el nombre; datos que se encuentran en el sistema de archivos– entonces el hash cambiaría por completo. La mínima expresión de cambio (1 bit) haría que el valor hash cambiara completamente.

En el cómputo forense, los hashes se usan para poder validar la integridad independiente del:

– Disco o medio a analizar (teléfono, memoria, etc) al hacer la imagen forense

– Todos y cada uno de los archivos contenidos en el medio, para poder validar que siguen siendo los mismos cuando los exportamos, analizamos independientemente, etc.

¿Qué pasa si la evidencia digital o prueba digital no coincide en su hash al momento de compararlas?

Han sucedido situaciones en las cuales por una razón fuera del alcance del ser humano, un disco duro después de un tiempo almacenado, presenta una falla en algunos sectores dañados debido a la humedad, posición de las cabezas de lectura del disco u otras circunstancias.

Es el momento donde los valores hash de cada uno de los archivos contenidos, y principalmente los de importancia para la investigación tienen un papel primordial; ya que si comparamos los hashes es posible llegar a validar su existencia e integridad.

Es posible llegar a validar que los archivos y el sistema de archivos no ha sido modificado intencionalmente, y por lo tanto si realizamos una modificación intencional en una copia de la imagen forense (OJO: una copia de la imagen forense es igual a la original) y se dañan intencionalmente los sectores detectados; el hash del disco duro será exactamente igual a la de la imagen dañada intencionalmente para validar este procedimiento.

Esto se ha realizado pocas veces, ya que como lo comenté es algo que rara vez sucede pero puede llegar a suceder en algún caso.

Muchas de las herramientas forenses tanto de software como de hardware tienen integrado el realizar el hash de ambos medios durante su proceso de generación de imagen forense.