Con la ayuda del 440 (Y no es Bachata)

Como no recordar aquellas canciones de Juan Luis Guerra y los 4-40 como «Me sube la Bilirrubina» o «Quisiera ser un pez».  Incluso hasta el día de hoy disfruto de quien realmente logró sacar la Bachata de República Dominicana.

El día de ayer inicié haciendo un concurso de un candado de USB a quien me diera la respuesta correcta de qué tenía en común Juan Luis Guerra y el Cómputo Forense… lamentablemente nadie pudo saber la respuesta correcta, es por ello que aquí les doy la respuesta.

Como un ex-músico (ya que estudié un tiempo en el Sindicato de Músicos de la Ciudad de México), aprendí acerca del 4-40; la afinación en la nota «La» (A) natural siendo de 440 ciclos por segundo.

Este tono es enigmático y realmente interesante, ya que es el mismo que era usado en las centrales telefónicas para poder indicar que uno podría realizar una llamada. Hoy en día ni siquiera levantamos el teléfono para escuchar si hay línea o no.

Es así, que recuerdo haber afinado más de una guitarra simplemente descolgando el teléfono de casa y rasgando la cuerda hasta igualar el sonido.

Pero la razón del post no es para hablar de música, ni de tonos, ni de telefonía; sino de temas forenses digitales.

Una parte primordial que siempre se encuentra en un disco duro con cualquier versión o sabor de Windows es el MBR (Master Boot Record) conocido por aquellos que alguna vez usamos dos sistemas operativos en el mismo equipo ya que pasamos tiempo peleando para que quedara bien o conocido (por lo menos al leer el error) por aquellos que han sufrido con un error cuasi-irreparable al iniciar su equipo.

Este código existe en el equipo desde el sector 0, siendo éste el primer archivo que se encuentra en el disco duro y tiene un tamaño de 512 bytes, normalmente terminando en el hexadecimal «55AA», un indicativo de que el MBR termina y está funcional. (Incluso algunos lo conocen como el «número mágico», pero nunca he entendido el chiste).

Es realmente este pedazo de código el que indica al equipo de cómputo cómo «bootear» o iniciar a cargar el sistema operativo.

Dentro del MBR es donde encontramos al offset 440 (el cual no tiene nada que ver con la Bachata!); sino que es donde encontramos 4 bytes relacionados con la Firma del Disco de Windows (Windows Disk Signature); el cual es un valor único para el disco y que nos permitiría correlacionar un disco duro con un sistema operativo.

Expliquemos un poco más. Este número de 4 bytes que se encuentra en el MBR, se relaciona en el registro de Windows de un equipo ya que cuando conectamos el disco, el sistema operativo toma registro del mismo y es entonces que puede ser vinculado entre sí.

Esta información se encuentra dentro de la llave «Mounted Devices» dentro del System Hive o llave de registro de Sistema en cada equipo.

Es por ello que si tenemos un disco duro o memoria de USB y 20 computadoras, podremos ubicar en cuáles el disco o dispositivo fue conectado aunque sea un minuto.

Hubo muchas respuestas vía twitter (aunque todas erróneas), pero muchas de ellas muy chistosas:

@marioafv: ha de ser por la cancion la bachata rosa // o por que son 4 en tu equipo y todos trabajan a 40 grados 😉
@GABOAVENDA: Pues bueno para empezar lo recomendaste en la sección musical del #podcastcrimendigital ep. 12 la cancion las avispas…

@krakenmex: que J L guerra se parece a andres velazquez

@rafaarias: que 4 de cada 40 guardan fotos de sus burbujas de amor?

@Ba_k: porque trabajan tanto los forenses que ojalá lloviera café? =P

@zzainss: a parte de que en un episodio de crimen digital colocaron juan luis guerra?

@caar2000: Acaso seran privilegios de solo lectura para el usuario y grupo | -r–r—– | chmod 440

@MgsnchzS: Que juan luis guerra creo su fundacion 440 en 1991 al igual que mattica fue creado en 1991

@robertz100: que si vas a guardar 1 gigabyte de besos mejor revisa que no tengan virus, jeje

@knaverit: la criptografía en «señales de humo», donde la chava en cuestión no puede descifrar el msg y «se pierde en el aire»

Gracias por sus comentarios y respuestas!

Seguiré tus pasos aunque tú no quieras… (El MFT)

Recuerdo una caricatura muy particular de mi niñez. Un inspector que seguía un maleante (todo de negro) y que le cantaba: «Seguiré tus pasos aunque tú no quieras».

En un proyector de películas caseras, junto con un clásico de Tom y Jerry donde el famoso gato era un director de una orquesta; mis padres ponían una y otra vez esa caricatura. La verdad, espero un día ir a buscar el proyector y volverla a ver.

Quién diría que muchos años después tuviera algo que ver dicha frase en lo que me dedico. Pero me sirvió de una buena forma para explicar el funcionamiento de una parte de un sistema.

Y es que existe en los sistemas un archivo -imperceptible para el usuario- para aquellos que usan NTFS.

Probablemente sea el archivo más importante de éste sistema de archivos, que permite desde una perspectiva forense encontrar información valiosa sobre el uso del sistema.

Y estoy hablando del MFT (Master File Table), archivo que no hay mejor forma que aprenderlo de Brian Carrier y su libro: File System Forensics Analysis.

Brian es también el creador de la herramienta de Open Source The Sleuth Kit, Autopsy y Mac-Robber, indispensables para aprender de cómputo forense desde la base.

Como comentaba, el MFT, explicado por el mismo Brian Carrier es:

El Master File Table (MFT) contiene entradas que describen todos los archivos de sistema, archivos del usuario y directorios. El MFT incluso contiene una entrada (#0) que se describe a sí misma, por medio de la cual determinamos su tamaño. Otros archivos de sistema en el MFT incluyen el Directorio Raíz (#5), descriptores de seguridad y el journal.

Cada entrada de MFT tiene un número (similar a los inodos en UNIX). Los archivos de usuario y directorios inician en el MFT #25. El MFT contiene toda una lista de atributos.. Por ejemplo «Standard Information» que almacena información como los MAC Times (fecha de creación, acceso y modificación), «File Name» que almacena el nombre del archivo o directorio, $DATA que almacena la información actual del archivo o el «Index Alloc» e «Index Root» que contiene los contenidos del directorio almacenados en un B-Tree.

Cada tipo de atributo tiene un valor numérico y más de una instancia de un tipo puede existir para el archivo.

Como se puede entender en el párrafo anterior, el MFT es una bitácora tan importante para el examinador forense que permite determinar la existencia de ciertos archivos, aunque éstos hayan sido eliminados.

Por ello, es que recuerdo tanto esa caricatura que decía: «Seguiré tus pasos aunque tú no quieras»…. ya que por mas que quieras ocultar algo, el NTFS junto con el MFT podrá delatarte.