Archive for julio, 2010

22/07/2010

¿Es Beowulf el futuro de la informática forense?

Acabo de leer un interesante artículo sobre las limitaciones del software utilizado para la investigación de soportes de datos. Su autor, el neozelandés Daniel Ayers, propietario de Elementary Solutions Limited, es conocido por su postura crítica frente a estas herramientas, a raíz de haber descubierto errores en el procesamiento de fechas del programa EnCase Forensics, utilizado ampliamente por consultoras, agencias de seguridad y departamentos de policía de todo el mundo. Según Ayers, las herramientas forenses de primera generación, como él las llama, consistentes en suites gráficas de cómodo manejo y repletas de funcionalidades de todo tipo al estilo Office, desde calculadoras hexadecimales a trazadores de gráficos de tiempo, ya no resultan adecuados para los fines de la investigación moderna. Productos estrella como EnCase (Guidance Software Inc) y FTK (Access Data Corp) son muy eficaces a la hora de analizar ordenadores individuales o localizar evidencia digital contra un pederasta o un infractor tributario, pero difícilmente podrán estar a la altura de lo que nos espera en un futuro próximo: delincuencia informática organizada, redes distribuidas, cloud computing, aparatos móviles de gran potencia, casos complejos y ramificados y volúmenes de datos de un tamaño colosal.

Aunque las versiones más recientes de estos programas son capaces de trabajar en red con servidores de archivos, algunos inconvenientes comprometen su futuro a medio y a largo plazo: baja velocidad de procesamiento, inadecuada para el número y la capacidad de los soportes de datos (discos duros, pendrives, DVDs, etc.) que atestan las colas de trabajo de los laboratorios forenses; cuellos de botella I/O, errores de programación y exiguas posibilidades de auditoría (defectos típicos del código propietario), capacidad limitada en cuanto a planificación y control de tareas de análisis, automatización precaria que se limita a simples scripts y un concepto poco claro en cuanto a la abstracción de los datos (Lo que el investigador forense busca no son archivos ni cadenas de caracteres, sino evidencia).

Para paliar los defectos de rendimiento el autor propone la utilización de arquitecturas en paralelo del tipo Beowulf, un sistema compuesto por ordenadores de sobremesa convencionales unidos por interfaces Ethernet a través de switches, con software libre -variantes de Linux y BSD-. En su artículo menciona un prototipo Beowulf desarrollado para fines experimentales: DELV (Distributed Digital Forensics System), compuesto por ocho nodos Linux, un servidor de archivos y una estación de control. Con este montaje se ha logrado aumentar en 18 veces la velocidad de operaciones típicas en informática forense, como la búsqueda de cadenas de caracteres, y hasta en 90 veces la de procesamiento de expresiones regulares. Estos incrementos, no obstante, se deben en parte a que debido al modo de funcionar típico de un cluster Beowulf, la evidencia se mantiene en todo momento en RAM. Para operaciones que impliquen el acceso normal a un servidor de archivos e imágenes forenses, las mejoras en cuanto a rendimiento quedarían presumiblemente limitadas a un múltiplo equivalente al número de ordenadores que integran el cluster.

Anuncios
18/07/2010

Seguridad Informática: factores bajo control

Para entender la naturaleza peculiar de los problemas de seguridad planteados por las Tecnologías de la Información es preciso un poco de perspectiva. Retrocedamos a la prehistoria de la Informática en el año 1979. Entonces solo había mainframes y miniordenadores de diversas marcas -casi todas desaparecidas en la actualidad- y cierta variedad de sistemas operativos con funcionalidades de mínimos. El ordenador de sobremesa estaba a punto de aparecer. Ni siquiera existía el MS-DOS. Los interfaces gráficos eran solo un proyecto exótico en los laboratorios de Xerox. En aquella época muy poca gente sabía manejarse con el hardware y el software existente. Había muy pocas herramientas de administración disponibles y los únicos que las conocían y podían utilizarlas eran los gurús de UNIX y VAX. El nivel de conocimientos necesario para perpetrar un delito informático o poner en riesgo la seguridad de un sistema era muy elevado.

En el año 2010 todos estos parámetros han evolucionado al extremo opuesto de la gráfica: el ordenador personal y los dispositivos móviles han desplazado al mainframe. Existen grandes monocultivos de sistemas operativos complejos y enormemente funcionales (Windows, Apple OS X y, en menor medida, Linux). Millones de personas utilizan el ordenador en el trabajo y en el hogar. No solo ha aumentado el número de usuarios sino el de expertos en todo tipo de especialidades informáticas: aplicaciones empresariales, programación, administración de sistemas, etc. Tanto el profesional como el usuario de a pie disponen de gran cantidad de herramientas de todo tipo -desde sencillos scripts para tareas administrativas hasta analizadores de tráfico y suites automatizadas para detectar vulnerabilidades en sistemas-. El nivel de conocimientos necesario para delinquir en la red ha descendido drásticamente.

Añádanse como dimensiones cualitativas Internet, las redes sociales y otras novedades y tendremos un cuadro de la denominada revolución de las T.I.C., más bien burdo, pero lo suficientemente claro como para excluir toda perspectiva de optimismo en cuanto a seguridad. En otras palabras: hoy día cualquiera puede ser un hacker. Y muchos lo serán, movidos por el impulso criminal y las posibilidades ilícitas de beneficio derivadas del espionaje industrial, las suplantaciones de personalidad, el fraude online o el spam.

Los factores expuestos tienen carácter estructural, podríamos decir macroeconómico. Dada la ausencia de una autoridad central que regule Internet y las Tecnologías de la Información, las posibilidades de influir sobre ellas son prácticamente nulas. Sin embargo existen otras variables, de tipo microeconómico si se permite insistir en este pequeño abuso conceptual, que actúan en el plano individual y sobre las que sí tenemos cierta posibilidad de influir: la ignorancia, la negligencia y el comportamiento doloso.

La mayor parte de los usuarios maneja sus ordenadores sin saber lo que tiene delante y sin ser conscientes de la responsabilidad que ello implica, en una época en que toda la estructura administrativa y empresarial del mundo depende de las Tecnologías de la Información. Otros sí lo saben, pero les da igual dejar las contraseñas pegadas al monitor en un post-it. Finalmente está el problema de los empleados desleales, que roban información o sabotean a sus patronos por deseo de venganza o de lucro.

Inevitablemente es en estos factores controlables -pero hasta cierto punto: no vayan a menospreciar la tenacidad del ser humano en cuanto a malos hábitos de conducta- donde han de concentrar esfuerzos los expertos, las autoridades públicas y las fuerzas del orden. Formación, campañas de concienciación y un trabajo impecable y bien coordinado de todos aquellos que se dedican a prevenir y combatir el delito informático -administradores de sistemas, investigadores forenses, jueces- resulta imprescindible. Esto es asi en la actualidad y lo seguirá siendo en el futuro.