Posts tagged ‘informática forense’

20/12/2012

Delegado de A.N.T.P.J.I. en Bizkaia

antpjiLa Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (A.N.T.P.J.I.), a la cual pertenezco, acaba de nombrarme delegado en la provincia de Bizkaia. Constituída por expertos con formación en diversas especialidades digitales, A.N.T.P.J.I. promueve la profesionalidad y las buenas prácticas en el campo de la investigación forense, el asesoramiento y la realización de informes judiciales para empresas, organismos públicos y particulares. He aquí una muestra de la actividad formativa reciente y en curso de nuestra organización.

Anuncios
26/09/2011

El 20-N y los ordenadores portátiles de sus señorías

Dentro de poco habrá un cambio de gobierno en España, con todos los trastornos organizativos que ello comporta. Gran número de diputados y senadores tendrán que dejar sus actas para que se hagan cargo de ellas otros tantos candidatos pertenecientes a las listas vencedoras. El ejecutivo cesará, y con él un concurrido séquito de asesores, cargos públicos, personal auxiliar y otros parásitos. Una pregunta que nadie ha tenido tiempo de plantearse, pero que inevitablemente ha de surgir a última hora, es la siguiente: ¿qué se va a hacer con respecto a los ordenadores portátiles, las agendas electrónicas, smartphones y teléfonos móviles de alta gama cedidos por la administración a sus actuales titulares para facilitar el desempeño tanto de sus cometidos oficiales como de actividades particulares condicionadas al ejercicio de una actividad representativa en las instituciones del Gobierno Central?

Antes de explicar por qué esto constituye un problema, tenemos un avance en la polémica generada a raíz del reciente cambio político en la Comunidad Autónoma de Castilla La Mancha. Por más que la Presidenta Cospedal insiste, los miembros salientes del gobierno de José Barreda y sus adláteres se niegan a devolver 113 teléfonos de gama alta –principalmente iPhones y Blackberries- valorados en aproximadamente 70.000 euros. La prensa conservadora presenta estos hechos como un capítulo más en el historial de despilfarro paranoico y pésima gestión del ex Presidente Barreda. Los socialistas se protegen con acusaciones de acoso y de mala fe, y los usuarios de Internet están divididos en dos bandos, los que saturan el Twitter con entradillas insidiosas sobre la cara dura de la clase política y aquellos que prefieren tomárselo con cínica ironía: si te ponen en la mano uno de esos chismes tan virgueros, es normal que si luego te lo tienen que quitar sea por encima de tu cadáver.

read more »

31/08/2011

Destrucción de datos informáticos en la Junta de Castilla La Mancha

Una noticia que acaba de saltar recientemente a los medios nos recuerda la importancia cada vez mayor que tiene la investigación sobre soportes digitales. Según informan fuentes de la Junta de Castilla La Mancha, el anterior gobierno socialista de esa cervantina y endeudada Comunidad Autónoma habría procedido a la eliminación de gran cantidad de datos relacionados con la gestión de programas administrativos vitales (cuando decidmos vitales nos referimos, naturalmente, a rubros bien provistos de dotaciones presupuestarias, como los que tienen que ver, por ejemplo, con las subvenciones). Ante la sospecha de manipulación masiva en las bases de datos de varias Consejerías, el gobierno de la Presidenta María Dolores de Cospedal ha encargado a los servicios informáticos de la Junta que se ocupen cargo del caso y elaboren los informes oportunos. Nuevamente nos encontramos ante una situación que supone un desafío no solo para la investigación tradicional y los juristas, sino que también requiere del apoyo de personal especializado en cometidos de Informática Forense. Habiendo resuelto seguir con atención el curso futuro de estos acontecimientos, dado el interés que un servidor de ustedes tiene por estos temas, considero que es el momento de plantear algunas reflexiones acerca de la manera de proceder en estos casos. Partimos del hecho presuntamente delictivo y su consecuencia material: los discos duros de los ordenadores supuestamente manipulados por los auxiliares del titular anterior de la Presidencia de la Junta, el Exmo Sr. D. José María Barreda. Si la Presidenta Cospedal desea llevar adelante una investigación seria y fundada, como por otra parte consituye su obligación, debería tener en cuenta algunas cosas de gran importancia.

read more »

01/08/2010

Soluciones Apple para la investigación forense

Al margen de consideraciones relativas al diseño y al precio, es sabido que los productos Apple se caracterizan por un concepto de ingeniería familiar y unitario que les proporciona un funcionamiento robusto y un alto grado de seguridad. No es de extrañar que un Mac con OSX 10 vaya mejor que cualquier PC con la última versión de Windows o incluso Linux. Su sistema operativo, con unas características funcionales pulidas a lo largo de años de trabajo de uno de los mejores equipos de desarrolladores del mundo, interfaces atractivas para el usuario y un software de alta calidad, con pocas aplicaciones (¡configuración de mínimos!) que no se estorban entre sí, hacen del molón y carismático Mac la plataforma ideal para gran número de cometidos profesionales. También para la investigación forense.

Los modernos ordenadores Apple resultan interesantes por varias razones: sus sistemas operativos (OSX 10.4 “Tiger” y OSX 10.5 “Leopard”), basados en Unix (FreeBSD) proporcionan no solo un entorno fiable y seguro para la investigación forense, sino que ponen a disposición del usuario todos los comandos necesarios -como ‘dd’, ‘grep’, ‘find’, etc.-, para realizar imágenes en bitstream, búsquedas de caracteres, exploración de soportes y otras operaciones a bajo nivel que marcan la diferencia entre un simple turista de la GUI y el auténtico profesional.

Apple Macintosh es la única plataforma capaz de virtualizar y analizar la práctica totalidad de los sistemas operativos y sistemas de archivos con que nos topamos en el transcurso de una investigación forense. También ejecuta aplicaciones forenses tanto Windows (EnCase) y Linux (SMART) como del propio entorno Mac (Macintosh Forensic Suite, MacForensicsLab). Dispone de conexiones integradas USB y Firewire para análisis de unidades externas, acoplamiento de write blockers, etc. Es capaz de funcionar con servidores potentes, dispositivos de almacenamiento de gran capacidad y montajes RAID, y ofrece un entorno sanitario seguro para explorar la funcionalidad de malware Windows sin riesgo de contagio al sistema operativo anfitrión. Y, por supuesto, también es la mejor plataforma para extraer y analizar evidencia desde objetos de hardware Apple incautados en una investigación.

Sin embargo, donde Apple puede rendir sus mejores servicios no es en el apartado de la excelencia técnica, sino en el de la economía y la productividad. Durante los últimos años el incremento de los casos de delito informático han hecho que los laboratorios forenses se vean desbordados por soportes de datos (discos duros, pendrives, tarjetas de memoria, CDs y DVDs, iPods, teléfonos móviles, cámaras digitales, etc.) a la espera de ser analizados. La cola de trabajo de estos laboratorios constituye un cuello de botella que retrasa la resolución de numerosos casos en perjuicio de las partes afectadas y con ventajas obvias para los infractores de la ley. Mediante estaciones Mac equipadas con sotware forense, parte de este trabajo podría derivarse hacia centros locales o incluso las propias comisarías, donde un experto al servicio de la policía o incluso agentes con el requerido grado de cualificación se encargarían de realizar análisis sencillos y obtener evidencia con suficientes garantías jurídicas para ser utilizada en un tribunal.

22/07/2010

¿Es Beowulf el futuro de la informática forense?

Acabo de leer un interesante artículo sobre las limitaciones del software utilizado para la investigación de soportes de datos. Su autor, el neozelandés Daniel Ayers, propietario de Elementary Solutions Limited, es conocido por su postura crítica frente a estas herramientas, a raíz de haber descubierto errores en el procesamiento de fechas del programa EnCase Forensics, utilizado ampliamente por consultoras, agencias de seguridad y departamentos de policía de todo el mundo. Según Ayers, las herramientas forenses de primera generación, como él las llama, consistentes en suites gráficas de cómodo manejo y repletas de funcionalidades de todo tipo al estilo Office, desde calculadoras hexadecimales a trazadores de gráficos de tiempo, ya no resultan adecuados para los fines de la investigación moderna. Productos estrella como EnCase (Guidance Software Inc) y FTK (Access Data Corp) son muy eficaces a la hora de analizar ordenadores individuales o localizar evidencia digital contra un pederasta o un infractor tributario, pero difícilmente podrán estar a la altura de lo que nos espera en un futuro próximo: delincuencia informática organizada, redes distribuidas, cloud computing, aparatos móviles de gran potencia, casos complejos y ramificados y volúmenes de datos de un tamaño colosal.

Aunque las versiones más recientes de estos programas son capaces de trabajar en red con servidores de archivos, algunos inconvenientes comprometen su futuro a medio y a largo plazo: baja velocidad de procesamiento, inadecuada para el número y la capacidad de los soportes de datos (discos duros, pendrives, DVDs, etc.) que atestan las colas de trabajo de los laboratorios forenses; cuellos de botella I/O, errores de programación y exiguas posibilidades de auditoría (defectos típicos del código propietario), capacidad limitada en cuanto a planificación y control de tareas de análisis, automatización precaria que se limita a simples scripts y un concepto poco claro en cuanto a la abstracción de los datos (Lo que el investigador forense busca no son archivos ni cadenas de caracteres, sino evidencia).

Para paliar los defectos de rendimiento el autor propone la utilización de arquitecturas en paralelo del tipo Beowulf, un sistema compuesto por ordenadores de sobremesa convencionales unidos por interfaces Ethernet a través de switches, con software libre -variantes de Linux y BSD-. En su artículo menciona un prototipo Beowulf desarrollado para fines experimentales: DELV (Distributed Digital Forensics System), compuesto por ocho nodos Linux, un servidor de archivos y una estación de control. Con este montaje se ha logrado aumentar en 18 veces la velocidad de operaciones típicas en informática forense, como la búsqueda de cadenas de caracteres, y hasta en 90 veces la de procesamiento de expresiones regulares. Estos incrementos, no obstante, se deben en parte a que debido al modo de funcionar típico de un cluster Beowulf, la evidencia se mantiene en todo momento en RAM. Para operaciones que impliquen el acceso normal a un servidor de archivos e imágenes forenses, las mejoras en cuanto a rendimiento quedarían presumiblemente limitadas a un múltiplo equivalente al número de ordenadores que integran el cluster.

18/07/2010

Seguridad Informática: factores bajo control

Para entender la naturaleza peculiar de los problemas de seguridad planteados por las Tecnologías de la Información es preciso un poco de perspectiva. Retrocedamos a la prehistoria de la Informática en el año 1979. Entonces solo había mainframes y miniordenadores de diversas marcas -casi todas desaparecidas en la actualidad- y cierta variedad de sistemas operativos con funcionalidades de mínimos. El ordenador de sobremesa estaba a punto de aparecer. Ni siquiera existía el MS-DOS. Los interfaces gráficos eran solo un proyecto exótico en los laboratorios de Xerox. En aquella época muy poca gente sabía manejarse con el hardware y el software existente. Había muy pocas herramientas de administración disponibles y los únicos que las conocían y podían utilizarlas eran los gurús de UNIX y VAX. El nivel de conocimientos necesario para perpetrar un delito informático o poner en riesgo la seguridad de un sistema era muy elevado.

En el año 2010 todos estos parámetros han evolucionado al extremo opuesto de la gráfica: el ordenador personal y los dispositivos móviles han desplazado al mainframe. Existen grandes monocultivos de sistemas operativos complejos y enormemente funcionales (Windows, Apple OS X y, en menor medida, Linux). Millones de personas utilizan el ordenador en el trabajo y en el hogar. No solo ha aumentado el número de usuarios sino el de expertos en todo tipo de especialidades informáticas: aplicaciones empresariales, programación, administración de sistemas, etc. Tanto el profesional como el usuario de a pie disponen de gran cantidad de herramientas de todo tipo -desde sencillos scripts para tareas administrativas hasta analizadores de tráfico y suites automatizadas para detectar vulnerabilidades en sistemas-. El nivel de conocimientos necesario para delinquir en la red ha descendido drásticamente.

Añádanse como dimensiones cualitativas Internet, las redes sociales y otras novedades y tendremos un cuadro de la denominada revolución de las T.I.C., más bien burdo, pero lo suficientemente claro como para excluir toda perspectiva de optimismo en cuanto a seguridad. En otras palabras: hoy día cualquiera puede ser un hacker. Y muchos lo serán, movidos por el impulso criminal y las posibilidades ilícitas de beneficio derivadas del espionaje industrial, las suplantaciones de personalidad, el fraude online o el spam.

Los factores expuestos tienen carácter estructural, podríamos decir macroeconómico. Dada la ausencia de una autoridad central que regule Internet y las Tecnologías de la Información, las posibilidades de influir sobre ellas son prácticamente nulas. Sin embargo existen otras variables, de tipo microeconómico si se permite insistir en este pequeño abuso conceptual, que actúan en el plano individual y sobre las que sí tenemos cierta posibilidad de influir: la ignorancia, la negligencia y el comportamiento doloso.

La mayor parte de los usuarios maneja sus ordenadores sin saber lo que tiene delante y sin ser conscientes de la responsabilidad que ello implica, en una época en que toda la estructura administrativa y empresarial del mundo depende de las Tecnologías de la Información. Otros sí lo saben, pero les da igual dejar las contraseñas pegadas al monitor en un post-it. Finalmente está el problema de los empleados desleales, que roban información o sabotean a sus patronos por deseo de venganza o de lucro.

Inevitablemente es en estos factores controlables -pero hasta cierto punto: no vayan a menospreciar la tenacidad del ser humano en cuanto a malos hábitos de conducta- donde han de concentrar esfuerzos los expertos, las autoridades públicas y las fuerzas del orden. Formación, campañas de concienciación y un trabajo impecable y bien coordinado de todos aquellos que se dedican a prevenir y combatir el delito informático -administradores de sistemas, investigadores forenses, jueces- resulta imprescindible. Esto es asi en la actualidad y lo seguirá siendo en el futuro.

21/09/2009

Tu peor enemigo: el PDA

pdaAlguien me acaba de preguntar por qué las agendas electrónicas y los PDAs son objetos de interés forense. La respuesta es simple: se trata del único dispositivo que un sospechoso lleva consigo todo el tiempo, por razones de tamaño, comodidad y posibilidades de acceso inmediato al hallarse siempre en funcionamiento y no tener que realizar un ciclo de carga del sistema. Además son los aparatos que guardan nuestras pequeñas miserias, documentadas con fotos a todo color y mensajes de texto de lo más descriptivo. Por tanto, constituyen una fuente inapreciable de evidencia para el investigador. El PDA no solo persigue al criminal, sino también a las personas normales. Si usted ha metido en su agenda electrónica algo de lo que pudiera llegar a avergonzarse, o informaciones sujetas a cláusulas de confidencialidad de su empresa, piénselo dos veces antes de pasárselo a un familiar o a un amigo. Piénselo tres antes de subastarlo on line, porque entonces es mayor la probabilidad de que llegue a poder de alguien con experiencia en recuperación de datos.

Gracias a que el usuario siempre quiere estar a la última y comprarse el dispositivo último modelo, gran cantidad de PDAs cambian todos los días de manos en eBay. Compre algunos y se dará cuenta de que en la mayor parte de los casos siguen llevando los datos personales del vendedor. Dentro de estas máquinas podrá encontrar listas de direcciones y contactos, mensajes de correo electrónico relacionados con el trabajo, anotaciones e incluso fotografías tomadas en los momentos más personales. Si se molesta en llamar al antiguo propietario, este casi siempre le dirá que no tenía ni idea de que esa información hubiera podido quedar retenida en el dispositivo.

Pequeños y sucios secretos, listos para ser cosechados por un investigador forense: esto es lo que hace que los dispositivos móviles sean portadores de una evidencia en ocasiones crucial. La huella digital dejada en una agenda electrónica, un PDA, blackberry o teléfono móvil, por no hablar de un ordenador ultraportátil, es mucho más profunda e indeleble de lo uno cree. Del iPod como amenaza para la seguridad corporativa ya hablaremos, porque el tema da para largo y tendido.

Para saber más: Rick Ayers y Wayne Jensen: “PDA Forensics Tools: Overview and Analysis”.

10/09/2009

Todos éramos informáticos forenses

norton

En serio. Sucedió en los primeros tiempos del PC, cuando todo aquello era nuevo bajo el sol, MS-DOS el no va plus ultra y Bill Gates sentenciaba que nadie llegaría a necesitar más de 640 kilobytes de memoria. La frase es apócrifa, pero de todos modos hizo bien en callarse lo que pudiera haber opinado sobre discos duros o frecuencia de la CPU. En aquellos días el usuario de a pie, desde el momento en que aprendía a teclear ‘dir’ y ‘Control+Alt+Supr’, tenía un privilegio que luego perdió: acceso directo al hardware. Y gracias a esto muchos recibieron sus primeras lecciones de forénsica digital, aun sin darse cuenta. Les sucedió igual que al célebre personaje de Molière, Monsieur Jourdain, que hablaba en prosa sin saberlo.

No me creen, ¿verdad? Y sin embargo, ustedes también utilizaron un minúsculo programa llamado Undelete para recuperar archivos borrados, cambiando el signo de interrogación inicial por un carácter cualquiera y volviendo a la vida algo que parecía definitivamente perdido. Sus amigas abrían la boca de admiración cuando le veían cazar a mano el virus de la pelotita o el temido Viernes Trece rastreando sus delatoras firmas con el Norton Disk Editor. Y no intente negarlo: usted mismo, en la intimidad de su cuarto, se sirvió de este mismo editor hexadecimal para aumentar su cifra inicial de fondos en SimCity y algún que otro simulador con el que se entretenía los fines de semana antes del despegue de Internet.

La edad de los pioneros y del usuario experimentado -que aprendía a fuerza de horas ante la línea de comando- llegó a su fin. Después vino la era Windows, con sus interfaces gráficos y un kernel que se hizo con el control. Las Utilidades Norton quedaron reducidas a una insípida suite de herramientas tontas y conformistas, y jamás volvieron a alcanzar su primitivo ratio de cobertura entre lo que el usuario esperaba de ellas y lo que realmente obtenía.

El círculo se cierra hacia el cambio de milenio con las primeras distribuciones Linux. El usuario volvió a tener acceso al hardware -si bien indirecto y limitado-. bash le ayudó a recuperar la línea de comandos, donde ahora puede ejecutar software procedente del mundo Unix, con una potencia y una versatilidad desconocidas en la informática de consumo. Con un entorno hardware que dicho sea de paso, hoy se encuentra a años luz no ya del existente en los tiempos del primer PC, sino incluso a comienzos de los noventa: microprocesadores varios miles de veces más potentes, discos duros con una capacidad diez mil veces superior, y los míticos 640 K de Bill Gates multiplicados por más de seis mil.

01/07/2009

¿Cómo podía saberlo Skynet?

terminator-4Los aficionados a la mitología Terminator se sienten decepcionados por culpa de un gravísimo defecto en el guión de la última secuela. La película comienza con una jauría de armatostes cibernéticos persiguiendo al protagonista principal, por figurar en una lista negra de la red informática Skynet. Pero esto es del todo inverosímil. Aunque las máquinas hubiesen podido intuir que John Connor, gracias al exitoso historial de acciones militares de su batallón, estaba destinado a convertirse en el líder mundial de la resistencia humana, Skynet no tenía ninguna manera de averiguar que Kyle Reese era su padre, ya que la acción del filme transcurre en 2018, cuando aun faltan diez o doce años para inventar la máquina del tiempo y enviar al primer T-800 con la intención de eliminar a la madre del protagonista antes de que este llegue a ser concebido. Mientras algunos incondicionales se devanan los sesos intentando hallar una explicación al problema, otros juran que no volverán a ver más películas de una serie cuyos guionistas han demostrado tener tan bajo concepto de la inteligencia del espectador.

Las películas del Terminator, con Schwarzenegger o sin él, son cultura popular en estado puro. El reflejo de la realidad social del momento en que fueron rodadas es tan nítido que algunos críticos las comparan con El Mago de Oz, legendario relato de L. Frank Baum que por debajo de su nivel interpretativo infantil oculta una parodia del conflicto económico librado entre partidarios del patrón oro y defensores del bimetalismo hacia el año 1900. En el futuro, quien quiera estudiar la historia de Estados Unidos a finales del siglo XX no puede dejar de ver Terminator 2 – El Día del Juicio Final. En esta película no hay ni una sola escena que no contenga una alegoría de los principales hechos económicos y sociales de su tiempo: el papel económico de la alta tecnología, la crisis de las industrias tradicionales, la liberación de la mujer, la lucha por los derechos civiles, la amenaza de la competencia japonesa y el N.A.F.T.A.

Consolémonos de esta charranada espacio-temporal con la intervención estelar de un joven intérprete (Sam Worthington) recién llegado a Hollywood, pero prometedor. A diferencia de la tercera y harto penosa secuela de la serie, intitulada La Rebelión de las Máquinas -cuyo significado político era más que evidente en el año 2003, época de guerras preventivas y capitalismo financiero desbocado-, T-4 Salvation prefiere apostar por una simbología más trascendente y con notas líricas, presentándonos al primer terminator existencialista y trágico (Marcus Wright), perteneciente al mismo linaje de ficción que la criatura de Frankenstein y Eduardo Manostijeras.

Volviendo a la inexplicable omnisciencia de Skynet, quizá el informático forense pueda acudir en auxilio del atribulado forofo de la serie Terminator explicando lo que pudo suceder. Entre las ruinas de un hospital psiquiátrico las máquinas debieron hallar un disco duro perteneciente al Dr. Silberman, reputado psicólogo criminalista incapaz de creer en cyborgs asesinos aunque los vea destrozando comisarías de policía, apaleando enfermeras o pegando tiros en un camposanto. Dicho soporte magnético contenía todos los informes correspondientes al caso Sarah Connor. Tras desencriptar y leer los archivos, Skynet se da cuenta de que allí puede haber algo más que simples desvaríos de una perturbada mental, y es entonces cuando decide montar su anacrónica operación de búsqueda y captura.

13/06/2009

Borrado de datos seguro al 100%

Esta es la mejor forma de garantizar la privacidad de la información al dar de baja un ordenador. Estoy pensando en comprarme algo asi para la oficina…