¿Es Beowulf el futuro de la informática forense?

Acabo de leer un interesante artículo sobre las limitaciones del software utilizado para la investigación de soportes de datos. Su autor, el neozelandés Daniel Ayers, propietario de Elementary Solutions Limited, es conocido por su postura crítica frente a estas herramientas, a raíz de haber descubierto errores en el procesamiento de fechas del programa EnCase Forensics, utilizado ampliamente por consultoras, agencias de seguridad y departamentos de policía de todo el mundo. Según Ayers, las herramientas forenses de primera generación, como él las llama, consistentes en suites gráficas de cómodo manejo y repletas de funcionalidades de todo tipo al estilo Office, desde calculadoras hexadecimales a trazadores de gráficos de tiempo, ya no resultan adecuados para los fines de la investigación moderna. Productos estrella como EnCase (Guidance Software Inc) y FTK (Access Data Corp) son muy eficaces a la hora de analizar ordenadores individuales o localizar evidencia digital contra un pederasta o un infractor tributario, pero difícilmente podrán estar a la altura de lo que nos espera en un futuro próximo: delincuencia informática organizada, redes distribuidas, cloud computing, aparatos móviles de gran potencia, casos complejos y ramificados y volúmenes de datos de un tamaño colosal.

Aunque las versiones más recientes de estos programas son capaces de trabajar en red con servidores de archivos, algunos inconvenientes comprometen su futuro a medio y a largo plazo: baja velocidad de procesamiento, inadecuada para el número y la capacidad de los soportes de datos (discos duros, pendrives, DVDs, etc.) que atestan las colas de trabajo de los laboratorios forenses; cuellos de botella I/O, errores de programación y exiguas posibilidades de auditoría (defectos típicos del código propietario), capacidad limitada en cuanto a planificación y control de tareas de análisis, automatización precaria que se limita a simples scripts y un concepto poco claro en cuanto a la abstracción de los datos (Lo que el investigador forense busca no son archivos ni cadenas de caracteres, sino evidencia).

Para paliar los defectos de rendimiento el autor propone la utilización de arquitecturas en paralelo del tipo Beowulf, un sistema compuesto por ordenadores de sobremesa convencionales unidos por interfaces Ethernet a través de switches, con software libre -variantes de Linux y BSD-. En su artículo menciona un prototipo Beowulf desarrollado para fines experimentales: DELV (Distributed Digital Forensics System), compuesto por ocho nodos Linux, un servidor de archivos y una estación de control. Con este montaje se ha logrado aumentar en 18 veces la velocidad de operaciones típicas en informática forense, como la búsqueda de cadenas de caracteres, y hasta en 90 veces la de procesamiento de expresiones regulares. Estos incrementos, no obstante, se deben en parte a que debido al modo de funcionar típico de un cluster Beowulf, la evidencia se mantiene en todo momento en RAM. Para operaciones que impliquen el acceso normal a un servidor de archivos e imágenes forenses, las mejoras en cuanto a rendimiento quedarían presumiblemente limitadas a un múltiplo equivalente al número de ordenadores que integran el cluster.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: