Posts tagged ‘evidencia digital’

11/01/2013

¿Realmente contribuye la industria vasca al programa nuclear de Irán?

valvulaLas alarmas saltaron en noviembre del año pasado: una empresa de Durango estaba siendo investigada por la policía y la Agencia Tributaria por tomar parte en un presunto delito de violación del embargo decretado por Naciones Unidas contra el programa nuclear de Irán. Concretamente se acusaba a dicho productor de bienes de equipo -concretamente Ona Electroerosión– de enviar maquinaria y suministros industriales a través de una tapadera con domicilio social en Estambul, desde donde el género se remitía a Teherán después de los convenientes manejos de logística de almacenes y contabilidad. Todos los datos habían sido facilitados por el Ministerio del Interior en una nota de prensa que desde entonces medios informativos y páginas web repiten de modo literal y con la acostumbrada insistencia.

read more »

Anuncios
01/08/2010

Soluciones Apple para la investigación forense

Al margen de consideraciones relativas al diseño y al precio, es sabido que los productos Apple se caracterizan por un concepto de ingeniería familiar y unitario que les proporciona un funcionamiento robusto y un alto grado de seguridad. No es de extrañar que un Mac con OSX 10 vaya mejor que cualquier PC con la última versión de Windows o incluso Linux. Su sistema operativo, con unas características funcionales pulidas a lo largo de años de trabajo de uno de los mejores equipos de desarrolladores del mundo, interfaces atractivas para el usuario y un software de alta calidad, con pocas aplicaciones (¡configuración de mínimos!) que no se estorban entre sí, hacen del molón y carismático Mac la plataforma ideal para gran número de cometidos profesionales. También para la investigación forense.

Los modernos ordenadores Apple resultan interesantes por varias razones: sus sistemas operativos (OSX 10.4 “Tiger” y OSX 10.5 “Leopard”), basados en Unix (FreeBSD) proporcionan no solo un entorno fiable y seguro para la investigación forense, sino que ponen a disposición del usuario todos los comandos necesarios -como ‘dd’, ‘grep’, ‘find’, etc.-, para realizar imágenes en bitstream, búsquedas de caracteres, exploración de soportes y otras operaciones a bajo nivel que marcan la diferencia entre un simple turista de la GUI y el auténtico profesional.

Apple Macintosh es la única plataforma capaz de virtualizar y analizar la práctica totalidad de los sistemas operativos y sistemas de archivos con que nos topamos en el transcurso de una investigación forense. También ejecuta aplicaciones forenses tanto Windows (EnCase) y Linux (SMART) como del propio entorno Mac (Macintosh Forensic Suite, MacForensicsLab). Dispone de conexiones integradas USB y Firewire para análisis de unidades externas, acoplamiento de write blockers, etc. Es capaz de funcionar con servidores potentes, dispositivos de almacenamiento de gran capacidad y montajes RAID, y ofrece un entorno sanitario seguro para explorar la funcionalidad de malware Windows sin riesgo de contagio al sistema operativo anfitrión. Y, por supuesto, también es la mejor plataforma para extraer y analizar evidencia desde objetos de hardware Apple incautados en una investigación.

Sin embargo, donde Apple puede rendir sus mejores servicios no es en el apartado de la excelencia técnica, sino en el de la economía y la productividad. Durante los últimos años el incremento de los casos de delito informático han hecho que los laboratorios forenses se vean desbordados por soportes de datos (discos duros, pendrives, tarjetas de memoria, CDs y DVDs, iPods, teléfonos móviles, cámaras digitales, etc.) a la espera de ser analizados. La cola de trabajo de estos laboratorios constituye un cuello de botella que retrasa la resolución de numerosos casos en perjuicio de las partes afectadas y con ventajas obvias para los infractores de la ley. Mediante estaciones Mac equipadas con sotware forense, parte de este trabajo podría derivarse hacia centros locales o incluso las propias comisarías, donde un experto al servicio de la policía o incluso agentes con el requerido grado de cualificación se encargarían de realizar análisis sencillos y obtener evidencia con suficientes garantías jurídicas para ser utilizada en un tribunal.

22/07/2010

¿Es Beowulf el futuro de la informática forense?

Acabo de leer un interesante artículo sobre las limitaciones del software utilizado para la investigación de soportes de datos. Su autor, el neozelandés Daniel Ayers, propietario de Elementary Solutions Limited, es conocido por su postura crítica frente a estas herramientas, a raíz de haber descubierto errores en el procesamiento de fechas del programa EnCase Forensics, utilizado ampliamente por consultoras, agencias de seguridad y departamentos de policía de todo el mundo. Según Ayers, las herramientas forenses de primera generación, como él las llama, consistentes en suites gráficas de cómodo manejo y repletas de funcionalidades de todo tipo al estilo Office, desde calculadoras hexadecimales a trazadores de gráficos de tiempo, ya no resultan adecuados para los fines de la investigación moderna. Productos estrella como EnCase (Guidance Software Inc) y FTK (Access Data Corp) son muy eficaces a la hora de analizar ordenadores individuales o localizar evidencia digital contra un pederasta o un infractor tributario, pero difícilmente podrán estar a la altura de lo que nos espera en un futuro próximo: delincuencia informática organizada, redes distribuidas, cloud computing, aparatos móviles de gran potencia, casos complejos y ramificados y volúmenes de datos de un tamaño colosal.

Aunque las versiones más recientes de estos programas son capaces de trabajar en red con servidores de archivos, algunos inconvenientes comprometen su futuro a medio y a largo plazo: baja velocidad de procesamiento, inadecuada para el número y la capacidad de los soportes de datos (discos duros, pendrives, DVDs, etc.) que atestan las colas de trabajo de los laboratorios forenses; cuellos de botella I/O, errores de programación y exiguas posibilidades de auditoría (defectos típicos del código propietario), capacidad limitada en cuanto a planificación y control de tareas de análisis, automatización precaria que se limita a simples scripts y un concepto poco claro en cuanto a la abstracción de los datos (Lo que el investigador forense busca no son archivos ni cadenas de caracteres, sino evidencia).

Para paliar los defectos de rendimiento el autor propone la utilización de arquitecturas en paralelo del tipo Beowulf, un sistema compuesto por ordenadores de sobremesa convencionales unidos por interfaces Ethernet a través de switches, con software libre -variantes de Linux y BSD-. En su artículo menciona un prototipo Beowulf desarrollado para fines experimentales: DELV (Distributed Digital Forensics System), compuesto por ocho nodos Linux, un servidor de archivos y una estación de control. Con este montaje se ha logrado aumentar en 18 veces la velocidad de operaciones típicas en informática forense, como la búsqueda de cadenas de caracteres, y hasta en 90 veces la de procesamiento de expresiones regulares. Estos incrementos, no obstante, se deben en parte a que debido al modo de funcionar típico de un cluster Beowulf, la evidencia se mantiene en todo momento en RAM. Para operaciones que impliquen el acceso normal a un servidor de archivos e imágenes forenses, las mejoras en cuanto a rendimiento quedarían presumiblemente limitadas a un múltiplo equivalente al número de ordenadores que integran el cluster.

25/03/2010

Por Dios, ¿Qué están haciendo con las pruebas?

Un dirigente de la Izquierda Abertzale me dijo una vez, en los tiempos de mayor rigor de la Ley de Partidos, que el Juez Garzón se había convertido en una minipímer, y que al paso que iba terminaría procesándose a sí mismo. Siendo justos y admitiendo que las condiciones en las que el polémico magistrado de la Audicencia Nacional se ve obligado a instruir sus sumarios no son las más adecuadas para un tratamiento impecable de los casos, el descuido y la falta de tacto de Baltasar Garzón tienen fama ya de muchos años a esta parte. Las escuchas telefónicas a los imputados del caso Gürtel son la gota que colma el vaso en un sainete donde los diferentes poderes del estado pugnan por ponerse la pierna encima unos a otros y terminan por tropezar patosamente con la cabina del apuntador. ¿Qué estado de derecho es aquel donde la defensa legal del acusado, al comparecer en el juicio, se entera de que su estrategia ya es conocida no solo por el Ministerio Fiscal, sino también por los círculos políticos y la prensa? El proceso jurídico se desvirtúa y pierde eficacia. Numerosas pruebas quedan invalidadas y los trámites se alargan considerablemente. Por no hablar de la vulneración de derechos fundamentales.

¿Y qué me dicen de las filtraciones? Imaginen a un parlamentario regional exhibiendo delante de ustedes un informe policial procedente de un sumario en fase de instrucción, y por lo tanto secreto. No podemos culpar al Sr. Angel Luna por su zafio gesto -siendo del PSOE se da por hecho que tiene licencia para cosas como esta-. ¿Ilegal? ¿Qué me dice usted? De ningún modo, ya que dispone de una coartada tan inatacable como bajuna fue la maniobra. Yo no lo he robado, me lo dejó un desconocido en el buzón. Sin embargo, aquí no se trata tanto de errores personales como de un fallo del sistema. O mejor tendríamos que hablar de un nivel deficiente de cultura legal en España. Resulta a veces inevitable que la ley se utilice con fines partidistas. Pero las pruebas son sagradas: no se las debe emplear como armas arrojadizas en la lucha de guerrillas para la conquista de una comunidad autónoma.

En fín, quedémonos con una lectura más pragmática:  ese informe policial exhibido triunfalmente por el Sr. Angel Luna procede de un pendrive USB incautado a los sospechosos de la trama Gürtel. Esto habla de la creciente importancia de la evidencia digital en la investigación, y de la necesidad de métodos, estándares y tecnologías para un correcto tratamiento de la misma. El sistema jurídico español no ha dedicado hasta la fecha suficiente atención a estos temas. Esperemos que en el futuro se lleven a cabo esfuerzos decisivos en este sentido.