Conceptos de informática forense

5 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, de los delitos y de las pruebas digitales. Algo muy importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo, es que son muy independientes de las tecnologías y resistentes al paso de tiempo por lo que son la base para enfrentarse a la continua renovación tecnológica en la que la sociedad está inmersa.

[Usuario; Figura enu]: Evolución del número de usuarios en las 5 generaciones de la tecnología de la información.

La actividad informática es una parte cada vez más habitual de la vida diaria de las empresas y de las personas:

  • Antes de la década de los 60 sólo organismos gubernamentales y de investigación y grandes multinacionales podían contar con sistemas informáticos.
  • En la década de los 60 y de los 70, los mainframes ya eran comunes en las grandes empresas y se estima que había 1 millón de usuarios en todo el mundo, en su mayoría técnicos.
  • Los minicomputadores aparecieron en la década de los 80, estaban al alcance de muchas más empresas y centros universitarios, dando paso a muchos nuevos usuarios que alcanzábamos los 10 millones.
  • En la década de los 90, los computadores personales, de la década anterior, llegaron masivamente a las pequeñas empresas y a los hogares, alcanzándose los 100 millones de usuarios.
  • En la 1ª década del tercer milenio, los computadores portátiles e internet permitieron alcanzar una cifra estimada de 1.400 millones de usuarios, una cifra que representa del orden de un 20% de la población mundial.
  • Durante esta 2ª década, gracias a los dispositivos móviles con acceso a internet, lo que se está denominando internet móvil las previsiones de [Morgan Stanley; 2009] son alcanzar los 5.000 millones de usuarios.

Combinando la evolución tecnológica con el crecimiento del volumen de usuarios, incluso en los escenarios de previsión más conservadores, el análisis de pruebas digitales será cada vez más habitual para encontrar explicaciones a incidentes en las empresas, en los litigios, frente a la propia Administración Pública obligada a ser electrónica y, por supuesto, a los delitos. Frente a ello, objetivo primordial de un informático forense o de un perito es determinar la naturaleza, sucesos y autores relacionados con un incidente o con delito:

  • conociendo los conceptos fundamentales de su profesión, que es el objetivo de este módulo, y
  • siguiendo siempre un procedimiento de investigación estructurado y metodológico, que es el objetivo del siguiente módulo.

Honeynet Project: Organización internacional de investigación en seguridad que de forma continua investiga los últimos ataques y desarrolla herramientas de seguridad de código abierto para la seguridad en Internet. Fundada en 1999, es una organización sin ánimo de lucro formada por voluntarios. A partir de ataques reales, ofrece una serie de retos para difundir el conocimiento obtenido de su análisis. | Url: * http://www.honeynet.org/about * http://www.honeynet.org/challenges * http://honeynet.org.es

Investigación metodológica

14 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar una gama de posibles metodologías para la investigación en informática forense y pericial. Cada una de estas metodologías tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense de una metodología formalizada es la base para:

  • la realización de una investigación completa y rigurosa,
  • asegurando el correcto manejo de las pruebas digitales,
  • reduciendo la posibilidad de errores,
  • evitando la utilización de teorías preconcebidas y
  • ayudando a soportar la presión del tiempo.
[Metodología; Figura ms4]: Esquema metodológico creado mediante la síntesis de las fases fundamentales de las metodologías presentadas en este módulo.

A continuación se presenta un breve resumen de las metodologías seleccionadas para, posteriormente, dentro de este módulo, entrar en su estudio más detallado. Las metodologías ordenadas por su año de publicación son las siguientes:

  • [Casey, E; 2000]: Es una metodología básica y general, que puede aplicarse a computadores aislados y a entornos en red. Su utilidad se basa justo en su simplicidad, que la puede hacer eficiente frente a casos no muy complejos. Su defecto es que le falta una especificación las fases o momentos de autorización y de generación del informe final o dictamen pericial.
  • [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001]: Es realmente un enfoque metodológico clásico en investigación forense sobre pruebas físicas, pero que ya en su año de publicación contempla la aparición y la necesidad del análisis de las pruebas digitales. Esta metodología se estudiará fundamentalmente desde la perspectiva de la prueba digital y en su descripción se incluye una reflexión propia, no contemplada originalmente en [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001] de cómo algunos patrones de búsqueda de pruebas físicas tienen su aplicación en la localización de las pruebas digitales.
  • [Ashcroft, J.; 2001] y [Mukasey, M.B.; Sedgwick, J.L.; Hagy, D.W.; 2008]: Son dos ediciones de la metodología propuesta por el Departamento de Justicia de los Estados Unidos. Esta metodología se centra en las fases iniciales de actuación en la escena del delito, ya que está concebida como una guía para los informáticos forenses que dan una respuesta inmediata a delitos informáticos. Esta metodología proporciona criterios para la identificación de los diversos dispositivos digitales y para la selección de las pruebas digitales más adecuadas según las diferentes clases de delitos.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Reith, M.; Carr, C.; Gunsch, G.; 2002]: Puede considerarse como una especificación de la anterior metodología de [Palmer, G.; 2001] donde ya se describen las fases, se añaden nuevas fases y se contemplan ciclos de realimentación. [Ciardhuáin, S.Ó.; 2004] la destaca por su alto nivel de abstracción y por ser aplicable a cualquier tipo de tecnología y clase de delito informático.
  • [Carrier, B.; Spafford, E.H.; 2003b]: Es una metodología muy detallada que se estructura en 5 fases con 17 tareas. Se diferencia de otras metodologías porque intenta integrar la investigación de las pruebas físicas con la de las pruebas digitales, supeditando, en cierta forma, estas últimas a las primeras. Si bien esta integración tiene sus ventajas puede añadir complejidad al proceso de investigación.
  • [Baryamureeba, V.; Tushabe, F.; 2004]: Es una metodología de 5 fases que contempla ciclos de realimentación entre todas ellas. Se basa en la anterior de [Carrier, B.; Spafford, E.H.; 2003b] y, por tanto, también integradora de la investigación de pruebas físicas junto con pruebas digitales, si bien, estas últimas tienen un menor grado de dependencia de las primeras.
  • [Ciardhuáin, S.Ó.; 2004]: Es una metodología de 13 fases, en forma de cascada, donde los flujos de información pasan de una actividad a la siguiente hasta el final del proceso. De esta forma, la cadena de custodia se forma por la lista de aquellos que han manipulado cada prueba digital y que debe pasar de un fase a la siguiente agregando los nombres de cada una de ellas. De todas las metodologías expuestas destaca porque es la que mejor establece los flujos de información y los puntos de control en el proceso de investigación.
  • [Casey, E.; 2004]: Es una evolución de su propia metodología [Casey, E; 2000]. Esta 2ª versión de su metodología posee 8 fases donde la fase de documentación corre paralela a las otras 7 fases de investigación. Estas 7 fases pueden representar un buen punto de equilibrio entre las metodologías muy cortas y otras con largo número de fases.
  • [Rifà, H.; Serra, J.; Rivas, J.L.; 2009]: Plantea una metodología en 3 fases, recogida de datos, análisis e investigación y redacción del informe. Si bien este enfoque puede parecer básico, hay que hacer notar que puede resultar adecuado para aquellos casos que no plantean una especial complejidad por su volumen y clase de pruebas digitales y personas y entidades implicadas, siendo estos una gran mayoría. Por ejemplo, la descripción que se realiza en [Vázquez López M.; 2012] de la metodología de la Brigada Investigación Tecnológica del Cuerpo Nacional de Policía española para sus pericias informáticas coincide, en buena medida, con esta metodología. Dentro de este módulo, metodología se estudiará con más detalle que las anteriores, dedicándole un tema. Esta una de las metodologías recomendables para la resolución del caso práctico final, especialmente si se trata de un caso sencillo.
  • [Casey, E.; 2011]: Es una 3ª versión de las metodologías de [Casey, E] ya descritas en apartados anteriores dedicados a [Casey, E; 2000] y a [Casey, E.; 2004]. Agrupa en menos fases las presentadas en [Casey, E.; 2004] convirtiendo en tareas algunas de las que en la anterior eran fases. Por su actualidad, esta metodología se ve con más detalle que las anteriores dedicándole un tema. Si el caso final que se plantea resolver tiene cierto nivel de complejidad esta podría ser una de las metodologías que podría seguir.

Transductor: Dispositivo capaz de transformar un tipo de energía de entrada en otra diferente a la salida. | Inglés: Transducer | Plural: Transductores

Investigación en informática forense

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar unas consecuencias poco relevantes, en algunos tener importancia económica y en otros una gran trascendencia, especialmente cuando están en relación con la libertad, las sanciones e incluso las penas.

[Cracker; Figura mkd]: Kevin David Mitnick, Condor, el primer Kevin, usualmente ocupa el primer lugar de los rankings históricos de crackers.

Por ello además de emplear una metodología de confianza hay que emplear técnicas que garanticen que el análisis, la interpretación y la presentación de los informes con pruebas digitales son fiables, objetivos y transparentes y justo este es el objetivo de este módulo.

Para alcanzar su objetivo este módulo se estructura cubriendo 3 áreas fundamentales de la investigación en informática forense:

  • El trabajo en la escena del delito donde pueden existir tanto pruebas físicas tradicionales como pruebas digitales.
  • La reconstrucción con pruebas digitales, la reconstrucción del comportamiento humano es como la resolución de un puzle multidimensional donde puede haber piezas evidentes y otras perdidas, dañadas y, por supuesto, escondidas.
  • Los perfiles, las motivaciones y el modus operandi de las personas que, aunque exista una larga tradición de estudio en criminología, en el área de las tecnologías de la información mezcla características clásicas con otras muy particulares.
[Cracker; Figura pkl]: Kevin Lee Poulsen, Dark Dante, el segundo Kevin, usualmente ocupa el segundo lugar de los rankings históricos de crackers.

CSO: Entidad que proporciona noticias, análisis e investigación sobre la gestión de la seguridad y los riesgo. | Url: http://www.csoonline.com

Ciberdelitos y ciberterrorismo

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

[Ciber; Figura kyv]: [Kaspersky, Y.V.], creador del antivirus que lleva su nombre, da su opinión sobre los riesgos del ciberterrorismo, 7 de junio de 212.

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Pero estos delitos no suceden en un vacío desconocido e intangible, si no en un mundo en el que pueden quedar múltiples pruebas de ello, tanto físicas como digitales. Por ejemplo:

  • en algunos casos, la víctima puede conocer o haber tenido relación con el delincuente, puede existir una larga historia anterior de angustia, incluso marcada por violencia,
  • en otros, el delito puede ser rápido, irreflexivo y destructivo creando y destruyendo pruebas o
  • puede ser el resultado de un largo período de preparación y anticipación.

Cualesquiera que sean las circunstancias del delito, la información es clave para:

  • determinar y comprender de las relaciones existentes entre la víctima y su agresor o agresores,
  • plantear la estrategia de investigación y
  • para recoger, examinar y valorar las pruebas, en este curso, digitales.

Nombre de usuario: Nombre con el que se conoce a un determinado usuario dentro de un sistema informático. | Inglés: User name | Plural: Nombres de usuarios | Bibliografía: Salmerón, A.; et ál.; 1996

Conceptos fundamentales de informática

7 de marzo de 2015 Autor: Antonio Salmerón

 

El informático forense y el perito han de comprender lo que realmente está sucediendo dentro de los sistemas informáticos y no sólo han de limitarse a emplear software sofisticado para recuperar ficheros eliminados, realizar análisis avanzados del contenido de los discos duros, examinar la actividad en internet, etc. A veces, la falta de comprensión sobre cómo funcionan los computadores y la aplicación automática y no sopesada de herramientas sofisticadas pueden conducir a no observar pruebas digitales evidentes o a realizar de ellas interpretaciones erróneas.

Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

[Sistema Operativo; Figura iso] Interacción el usuario, las aplicaciones, el sistema operativo y el hardware.

Dentro de este módulo se estudian los siguientes temas:

  • La arquitectura de los computadores y sus principios de funcionamiento incluyendo un elemento fundamental desde el punto de vista del perito y del informático forense como es el sistema operativo.
  • La representación de los datos en el computador y los diferentes sistemas de representación de datos.
  • El almacenamiento de los datos y, también, la ocultación de datos dentro del computador.
  • Los sistemas de gestión de ficheros y la ubicación y organización de los ficheros dentro de ellos.
  • Finalmente, las protecciones con usuarios y contraseñas y una primera aproximación al cifrado.

Disco duro: Disco magnético con soporte rígido y cuyas cabezas de lectura/escritura sobrevuelan la superficie magnética de sus platos sin tocarla. Estos discos pueden ser intercambiables o fijos, siendo estos últimos actualmente mayoritarios. En el caso de los fijos el disco, Hard Disk, y su lector, Hard Disk Drive, forman una unidad. Es un dispositivo que mediante grabación magnética pueden almacenad de forma no volátil datos digitales. Los discos duros están sellados herméticamente para evitar las partículas de polvo que producen errores y pueden dañarlo, esta estanqueidad permite que las cabezas estén más cerca de la superficie, haciendo más eficiente la lectura/escritura y permitiendo asó aumentar la densidad de grabación. | Inglés: Hard Disk; Hard Disk Drive; HDD | Alias: Disco rígido

Documentos y almacenamiento multimedia

7 de marzo de 2015 Autor: Antonio Salmerón

 
[Multimedia; Figura pkl]: Laboratorio de pruebas fotográficas y pruebas digitales multimedia de la policía de Kansas City.

Los documentos digitales, con formatos como PDF, Word, OpenOffice, ePUB, etc. y los de almacenamiento multimedia para

  • imágenes y fotografías, formatos PNG, JPEG, GIF, BMP, TIFF, etc.,
  • audio, formatos MP3, WAV, AIFF, etc. y
  • vídeo, formatos MP4, AVI, MOV, etc.

y tanto con su contenido digital como con todos los posibles metadatos que los describen como por ejemplo para imágenes y fotografías:

  • marca y modelo del dispositivo,
  • orientación y posición,
  • autor,
  • fechas y horas de toma, digitalización, de edición, etc.
  • resolución y unidades,
  • dimensión ancho y alto,
  • longitud, latitud, altura,
  • zoom,
  • flash, apertura, fuente de luz,
  • clase del mapa de colores,
  • tiempo de exposición,
  • etc.,

pueden representar una fuente de pruebas digitales para el informático forense y perito. El objetivo de este módulo es conocer estos formatos, sus metadatos y realizar experiencias prácticas con ellos.

[Multimedia; Figura vca]: Visualización de las gráficas de los 2 canales de un fichero de audio digital.

El volumen de información digital que se registra con formatos multimedia crece de forma acelerada, se dice que la cantidad de información registrada a nivel mundial se duplica cada 2 años y los formatos digitales multimedia contribuyen a ello. Baste pensar que tanto sucesos privados, como aún más los sucesos en público, aunque sean intrascendentes:

  • desde una caída aparatosa al coger el autobús
  • a una pelea de pre-adolescentes en una excursión del instituto,

pueden ser grabados inmediatamente por las cámaras de los móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo.

Dithering: Proceso de imágenes utilizado para crear y visualizar más colores o niveles de gris que los que originalmente se disponía en la paleta de un gráfico o imagen. Para la creación de estos nuevos colores se utilizan los previamente existentes pero modificando las proporciones de sus componentes en imágenes a color y la proporción de blanco y negro en imágenes con niveles de gris. | Bibliografía: Salmerón, A.; et ál.; 1996