Investigaciones Forenses: Sistema de Archivos de Resiliencia (ReFS) en Windows

En otoño del 2012, Microsoft decidió hacer que el Servidor Windows 2012 quede prácticamente disponible con una funcionalidad sobriamente anunciada: Sistema de Archivos de Resiliencia o Resilient File System (ReFS).  Lógicamente, Microsoft no lanza nuevos sistemas de almacenamiento por casualidad, y cuando lo hace, los efectos y las repercusiones no se sienten mucho. NTFS ha estado generalmente disponible desde Windows NT 3.1, lanzado en 1993. Si uno ejecuta un centro de datos de cualquier tamaño y hace un trueque en el sistema subyacente de datos críticos y valiosos, no es una decisión que se toma a la ligera. En gran parte, esto justifica una complacencia general en nuestro campo de herramientas digitales forenses cuando se estudia cómo encarar un nuevo sistema de almacenamiento. Hoy, ReFS es un bicho raro: Los investigadores no lo experimentan muy seguido. Creemos que esto cambiará en el transcurso de este año.



Por el momento, ReFS está solo disponible en Servidor Windows 2012. Sin embargo, a partir de Windows 8.1, que saldrá a la luz en Octubre de 2013, se prevé que ReFS será parte de la punta de lanza del Sistema Operativo Windows Escritorio. Las versiones de pre-lanzamiento confirman esta innovación.

¿Qué significa esto para los investigadores digitales? Simplemente poner, a menos que disfrutes el acto de introspección del sistema de archivos, tus herramientas forenses digitales para que realicen la labor de analizar dispositivos con formato ReFS. EnCase® Versión 7.08 brinda soporte para el proceso,  navegación y análisis de dispositivos con formato ReFS. ¿Quieres saber más? Sigue leyendo…

Antes de proseguir, quiero compartir un poco la historia de ReFS. ReFS está diseñado para albergar datos y en gran cantidad. También está planeado para escalar a 262,000 exabytes por volumen, conteniendo 18 quintillones de archivos por volumen. Contrastemos esto con el NTFS, el cual está diseñado para operar solo 16 Exabytes, ya puedes comenzar a ver la intención y la audiencia para el sistema de almacenamiento: Organizaciones y personas que tienen toneladas de datos. Si tienes mucha información, ¿Cuál es tu principal prioridad después de guardarla? Preservarla. Se debe mantener la integridad. Windows ReFS no solo está hecho para almacenar, sino también para facilitar la preservación de la integridad de datos valiosos.

Hay información algo escasa disponible al público sobre la constitución de ReFS. Pero, lo que está disponible, está disperso a través de diferentes fuentes. A continuación alguna de ellas que te darán un panorama de lo que estamos hablando:

• Crear la siguiente generación de sistema de almacenamiento para Windows, directo del equipo Windows 8, el conjunto más referenciado de información básico sobre ReFS disponible
• Mejorar la Flexibilidad de Datos del Servidor de Archivos con ReFS en el Servidor Windows 2012, Microsoft TechNet
• Windows Server 2012: ¿ReFS reemplaza a NTFS? ¿Cuándo se debería usar?, Microsoft TechNet
• Resilient file system, referencia MSDN

Ahora que conocemos un poco los antecedentes, es bastante sencillo explicar cómo la Versión 7.08 de EnCase® compatibiliza con ReFS. La Versión 7.08 de EnCase te permite:

• Agregar evidencia a tu caso en formato ReFS
• Ver permisos, límites y descripciones de archivo
• Aplicar cualquier método de análisis de EnCase®:

1. Navegación en sistema de archivos
2. Búsqueda bruta de palabras clave
3. Transcripción
4. Indexación
5. Hallar e-mails
6. Expandir archivos compuestos
7. Identificar Archivos Parciales (File Carver)
8. Y más…

Quizás todo esto no suena tan espectacular ya que es más de lo mismo para cualquier investigador avanzado. Pero, desde nuestra perspectiva, son grandes novedades. ReFS está en sus inicios hoy en día  pero va a estar disponible como una tecnología de consumo, quizás este año. Algunos de los casos más difíciles son aquellos que abarcan la mayoría de los datos, por ejemplo: Servidores de archivo corporativo, distribuidores productores de explotación infantil. Las herramientas de investigación digital necesitan reducir el esfuerzo y el tiempo empleado por los investigadores. El Soporte para sistemas de archivos es un manera fundamental en que EnCase® ofrece valor a los investigadores.

Los investigadores no pueden darse el lujo de dictar lo que los dispositivos deben investigar. Para cuando una imagen ReFS llegue al escritorio de un investigador, si las herramientas no aceptan ReFS, será quizás demasiado tarde. No queremos que esto suceda y que nuestros esfuerzos para adoptar desarrollos ReFS nos permitan evitar poner investigadores en ese dilema.

Ya estamos deseosos de lanzar la Versión 7.08 de EnCase® y me gustaría escuchar las experiencias o comentarios al respecto de ReFS o cualquier otro aporte sobre otros sistemas de almacenamiento que sea pertinente. Si los sistemas de almacenamiento construyen el camino para los investigadores ¿En qué están actualmente fallando tus herramientas para ofrecerte la plataforma adecuada?  Por favor agregar tu experiencias en los comentarios.

Ken Mizota, Gerente de Producto de Soluciones Forenses
Traducido del original en ingles, Windows Resilient File System Forensics 


RELACIONADOS

Que Papel Juegan Los Metadatos Dentro De Una Evidencia?

Como Obtener Evidencia En Arreglos De Discos

El Reto Forense En Discos De Estado Sólido (SSD)

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase