Documentos y almacenamiento multimedia

7 de marzo de 2015 Autor: Antonio Salmerón

 
[Multimedia; Figura pkl]: Laboratorio de pruebas fotográficas y pruebas digitales multimedia de la policía de Kansas City.

Los documentos digitales, con formatos como PDF, Word, OpenOffice, ePUB, etc. y los de almacenamiento multimedia para

  • imágenes y fotografías, formatos PNG, JPEG, GIF, BMP, TIFF, etc.,
  • audio, formatos MP3, WAV, AIFF, etc. y
  • vídeo, formatos MP4, AVI, MOV, etc.

y tanto con su contenido digital como con todos los posibles metadatos que los describen como por ejemplo para imágenes y fotografías:

  • marca y modelo del dispositivo,
  • orientación y posición,
  • autor,
  • fechas y horas de toma, digitalización, de edición, etc.
  • resolución y unidades,
  • dimensión ancho y alto,
  • longitud, latitud, altura,
  • zoom,
  • flash, apertura, fuente de luz,
  • clase del mapa de colores,
  • tiempo de exposición,
  • etc.,

pueden representar una fuente de pruebas digitales para el informático forense y perito. El objetivo de este módulo es conocer estos formatos, sus metadatos y realizar experiencias prácticas con ellos.

[Multimedia; Figura vca]: Visualización de las gráficas de los 2 canales de un fichero de audio digital.

El volumen de información digital que se registra con formatos multimedia crece de forma acelerada, se dice que la cantidad de información registrada a nivel mundial se duplica cada 2 años y los formatos digitales multimedia contribuyen a ello. Baste pensar que tanto sucesos privados, como aún más los sucesos en público, aunque sean intrascendentes:

  • desde una caída aparatosa al coger el autobús
  • a una pelea de pre-adolescentes en una excursión del instituto,

pueden ser grabados inmediatamente por las cámaras de los móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo.

Documento electrónico: En general, cualquier documento almacenado en un soporte digital. En relación a la seguridad informática, se denominan así a los documentos que ofrecen cierto nivel de garantía de contenido, origen, firma, fecha de creación, titular, etc. por ejemplo, mediante técnicas de cifrado o firma digital. | Inglés: Electronic document | Plural: Documentos electrónicos

Sistema operativo Windows de Microsoft

7 de marzo de 2015 Autor: Antonio Salmerón

 
[Microsoft; Figura gbw]: [Gates; B.] fundador de Microsoft en 2005, entonces también Presidente y Chief Software Architect de la compañía.

Por la popularidad mundial de Microsoft Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en la mayoría de sus casos. Como consecuencia de su amplia difusión es el sistema operativo para el que más variedad de herramientas de informática forense se han desarrollado, tanto de las comerciales como de las de software libre. Por otro lado, es un sistema operativo que está al alcance de la mayoría de los interesados, por lo que es muy adecuado para la realización de prácticas. Por todo ello el objetivo de este módulo es familiarizarse y conocer:

  • Los tipos de sistemas de ficheros de los sistemas operativos de la clase Windows de Microsoft.
  • Las herramientas y las técnicas para la recogida y el examen de pruebas digitales en computadores con Windows.
  • La recuperación de datos.
  • Los ficheros de log y registros.
  • El análisis de la actividad en internet.
  • Finalmente el estudio, desde la perspectiva de la informática forense de algunas aplicaciones típicas de Windows, como sistemas de gestión de bases de datos, si bien es tal su variedad que es imposible intentar abarcarlas todas.

Ética: Parte de la filosofía que estudia la moral, la virtud, el deber y la felicidad. Es una ciencia normativa porque se ocupa de las normas de la conducta humana. Estudia qué es lo moral, la justificación racional un sistema moral y su aplicación a los ámbitos de la vida personal y social. Su estudio se remonta a los orígenes de la filosofía en la Antigua Grecia y se ha caracterizado por un amplio desarrollo a lo largo de la historia. Kant, I. produjo la gran revolución ética moderna que rechaza una fundamentación en otra cosa que no sea imperativo moral mismo, pues si la moral se orienta sólo a la búsqueda de la felicidad no podría producir ninguna norma categórica ni universal. Frente a ello, el utilitarismo, uno de cuyos padres fue Bentham, J., afirma que el criterio de corrección de las acciones es el principio de utilidad. | Inglés: Ethics | Plural: Éticas; Éticos

Sistemas operativos UNIX y Linux

7 de marzo de 2015 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX:

  • tanto sistemas comerciales, por ejemplo, Solaris de Sun Microsystems, HP-UX de Hewlett Packard, AIX de IBM e Irix de Silicon Graphics,
  • como sistemas de software libre, por ejemplo, OpenBSD, FreeBSD y, por supuesto, las múltiples versiones de Linux.

Actualmente, tanto UNIX como Linux están detrás de muchos lanzamientos tecnológicos y comerciales, por ejemplo:

  • los actuales sistemas Macintosh de Apple utilizan un sistema operativo basado en UNIX, el denominado Mac OS X, y
  • el sistema operativo móvil Android, desarrollado por Google, también está basado en Linux.
[UNIX Linux; Figura his]: Evolución histórica del sistema operativo Unix.

Adicionalmente:

  • muchos sitios Web, incluidos los financieros y los de comercio electrónico, se ejecutan sobre servidores con sistemas operativos UNIX o Linux y
  • muchas de las herramientas para el análisis y el examen de informática forense de dispositivos digitales, que originalmente estaban bajo el control otros sistemas operativos, se basan en Linux.

Por todo ello, el estudio, conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo, incluyendo su sistema de ficheros, las herramientas de informática forense, la recuperación de datos, los ficheros de log y de registro de la actividad tanto en el sistema operativo como en internet.

Alfanumérico: Formado por letras y números. Se dice del tipo de campo, atributo, nombre de usuario, contraseña, etc. que puede ser o contener un texto formado tanto por letras como por números. | Plural: Alfanuméricos | Bibliografía: Salmerón, A.; et ál.; 1996

Sistemas operativos de Apple

8 de marzo de 2015 Autor: Antonio Salmerón

 

Apple Inc. es una multinacional estadounidense con sede en Cupertino, California, que diseña y fabrica equipos digitales y software:

  • Entre sus productos más conocidos están: los Macintosh clásicos, cuyo lanzamiento inicial fue en 1984, la línea iMac, computadores que desde 1998 se caracterizan por integrar su CPU dentro de su monitor, los computadores MacBook, que son portátiles, diseñados para usuarios básicos, lanzados en 2006 para reemplazando al iBook y al PowerBook en la transición de Apple hacía la tecnología de Intel, los iPods que, desde 2001, son la línea de reproductores portátiles de audio digital, fundamentalmente para música, los iPhones, familia de teléfonos inteligentes, multimedia, con conexión a Internet y pantalla táctil y los iPads, que son dispositivos electrónicos de tipo tableta, su 1ª generación se anunció en 2010 y su 2ª generación en 2011, siendo la última presentación de Steve Jobs.
  • Entre su software destaca: los sistemas operativos Mac OS X y el iOS, iTunes, como explorador de contenido multimedia, iLife, para creatividad, Final Cut Studio, para la edición de vídeo, Logic Pro para edición de audio, iWork, para productividad, Safari, como navegador web, Mac App Store y App Store, iTunes Store que, probablemente, son las mayores tiendas de contenidos digitales del mundo con programas, música, vídeos, libros, etc. iCloud e iTunes Match, que a pesar de ser servicios en la nube, forman parte del software que ofrece y distribuye Apple, etc.

Apple fue fundada el 1 de abril de 1976 por Steve Jobs, Steve Wozniak y Ronald Wayne, este último abandonó pronto la compañía y en 1977 se les unió con capital y experiencia Armas Clifford, Mike, Markkula Jr. Desde un garaje, esta empresa evolucionó para ser, en 2012, la empresa más grande del mundo por capitalización bursátil.

[Apple, sji]: Steve Jobs, fundador de Apple, abrazando un iMac en 1998.

Dentro de la informática forense y para el examen de pruebas digitales, los sistemas de Apple reciben menos atención que otros sistemas operativos como Windows de Microsoft o UNIX y Linux, probablemente porque:

  • en muchos países son menos frecuentes como, por ejemplo, sucede particularmente en España,
  • se tiene la idea de que son más difíciles de encontrar en el mercado, a pesar de estar empezado a llegar a mucho más público y
  • también hay menos usuarios y profesionales familiarizados con ellos, si bien los que los conocen hablan con pasión de ellos.

Sin embargo, tanto el hardware de Apple como sus sistemas operativos no pueden ser ignorados por dos razones:

  • porque los delincuentes los utilizan y
  • porque su sencillo y cómodo interfaz gráfico si bien es ideal para el usuario, no facilita sin embargo su examen forense.

Por ello, si hay algo actualmente claro es que los informáticos forenses y los peritos tienen que dedicar más atención a los sistemas operativos de Apple, fundamentalmente porque se están vendiendo muchas unidades, y con una tendencia al alza, de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio.

[Apple, im1]: Apple iMAC 21,5 MC508E/A.

La aparición de nuevo sistema operativo de Mac basado en UNIX, el denominado OS X, ha atraído, además de los usuarios tradicionales, a nuevos usuarios más técnicos que valoran la potencia de UNIX y la comodidad del interfaz gráfico de usuario clásico del Mac.

Aunque el examen forense de los sistemas de Mac se puede realizar con las herramientas de informática forense habituales, es mucho más eficaz examinar estos sistemas usando un sistema de Mac configurado especialmente con instrumentos nativos de Mac.

Este módulo proporciona una breve introducción al examen forense los sistemas operativos de Mac:

  • siguiendo a [Casey, E.; 2011] y
  • se puede encontrar una cobertura más a fondo de este módulo en [Casey, E.; 2009; Capítulo 7] desarrollado por Anthony Kokocinski que también incluye una sección detallada sobre las aplicaciones más comunes de Mac como Safari, iCal, Mail, etc.

Como se verá, dentro de este módulo, a pesar de su apariencia amigable los sistemas Apple Mac con muy complejos y poderosos y la recuperación manual de ficheros borrados es difícil debido a la intrincada estructura del fichero Catálogo.

Se pueden utilizar herramientas existentes para realizar exámenes básicos de pruebas digitales, incluyendo el visionado de la estructura de ficheros y la recuperación de datos borrados. Por ello, actualmente, hay necesidad de más herramientas de examen de las pruebas digitales y de más investigación acerca de los sistemas Mac. Como en otros sistemas, las aplicaciones para Internet pueden mantener registros de actividades y con la aparición de Mac OS X, MobikeMe y más aun con iCloud, que permite el almacenamiento en la nube, estos sistemas contienen cada vez más datos relacionados por la red.

Pila: Estructura de datos que almacena una serie de elementos y que dispone de operaciones de inserción y extracción de elementos, con la característica de que, para la extracción, se utiliza el orden inverso a la inserción de los elementos, esto es, el último en entrar es el primero en salir, lo que se conoce en inglés como LIFO, last in first out. | Inglés: Stack; Last in first out, LIFO. | Plural: Pilas | Bibliografía: Salmerón, A.; et ál.; 1996

Pruebas digitales en dispositivos móviles

14 de marzo de 2015 Autor: Antonio Salmerón

 

Los dispositivos móviles como teléfonos móviles y teléfonos inteligentes, smart phones, se han convertido en parte integrante de la vida cotidiana de las personas:

  • Por ello, también son actualmente una herramienta habitual en cualquier delito o, simplemente, estar involucrados en la comisión de delitos por el mero hecho de estar presentes en el escenario.
  • Por otro lado, casi es imposible pensar en un dispositivo tan personal como el móvil, mucho más que el propio computador personal. Mientras que los computadores, portátiles, servidores o máquinas de juego pueden tener varios usuarios, en la gran mayoría de los casos los dispositivos móviles pertenecen a un único individuo.
  • Finalmente, el número de dispositivos móviles para la comunicación y la organización personal, muchos de ellos con acceso a Internet, alcanza cifras tan elevadas como que en la Unión Europea de los 27, en 2010, el número total de líneas de telefonía móvil contratadas superaba los 642 millones, lo que supone una penetración del 128% sobre la población, es decir, muchos habitantes tienen más de una línea y más de un dispositivo móvil.

Estas 3 observaciones hacen que sean una fuente usual de pruebas digitales y es el objetivo de este módulo su estudio desde el punto de vista de la informática forense y pericial ya que, aunque de pequeño tamaño, los móviles suelen contener importante información personal como:

  • el historial de llamadas,
  • mensajes de texto,
  • correos electrónicos,
  • fotografías digitales,
  • videos,
  • entradas de calendario,
  • notas,
  • agenda con nombres, teléfonos, empresas y direcciones de contacto,
  • contraseñas o
  • números de tarjetas de crédito.

Pueden contener todo lo anterior porque estos aparatos:

  • además de utilizarse como terminal de telefonía,
  • también se emplean para intercambiar fotografías, acceder a internet, conectarse a redes sociales, mantener blogs personales, tomar notas, grabar y consumir video y audio, etc.

El avance de la tecnología y el aumento del caudal de transmisión de datos están permitiendo el intercambio de elementos cada vez más grandes, como por ejemplo vídeo digital a la vez que, por su gran capacidad de computación, ofrecen una funcionalidad cada vez más próxima a la que prestaban en la década anterior los computadores portátiles.

Por su portabilidad los móviles se llevan a todas partes y pueden servir para determinar la ubicación de las personas a lo largo del tiempo:

  • Con información interna del móvil, por ejemplo, como los metadatos de fecha, hora, latitud, longitud y altitud que pudieran contener las fotografías realizadas con el móvil, con los pequeños error de su GPS.
  • Con información externa al móvil, por ejemplo, mediante la secuencia de antenas móviles a las que se ha ido conectando, si bien, con una mayor imprecisión, pudiendo establecerse zonas más que posiciones concretas.
[Móvil; Figura mpa]: Posicionamiento de un móvil de Movistar a las 10:47, en un radio de 1.244 metros alrededor de una antena, en un mapa de Microsoft Bing.

Por tanto, el desarrollo vertiginoso de la computación móvil y de las tecnologías de las comunicaciones abre oportunidades a la delincuencia pero también a la investigación en informática forense.

La información contenida en los dispositivos móviles o la relacionada con ellos puede ayudar al informático forense o al perito a responder preguntas cruciales revelando con quién se ha comunicado un individuo, sobre qué han estado comunicando y dónde han estado. Por ejemplo:

  • Los agresores sexuales pueden usar un dispositivo móvil para iniciar sus contactos con las víctimas, intercambiar fotos o vídeos y preparar a las víctimas creando una cibertrayectoria que puede ser seguida por el informático forense.
  • Los usan los terroristas en tareas de reconocimiento y coordinación o para la activación de explosivos.
  • Los utilizan en los contrabandistas para fijar o avisar de entregas.
  • Los miembros de los clanes de la delincuencia organizada para coordinar actividades y compartir información incluso estando en prisión, lo que puede ayudar a los investigadores a entender el funcionamiento de estos grupos.

Por ello los dispositivos móviles están sirviendo para resolver delitos y la información contenida en ellos puede utilizarse también en crímenes graves cuando los implicados no se dan cuenta de que portan un dispositivo móvil o no piensan en el mismo como fuente de información digital incriminante.

[Móvil; Figura mbr]: 2 móviles en una bolsa para pruebas del Reino Unido.

La creciente potencia computacional de los dispositivos móviles está permitiendo usos antes impensables y, con ello, se ha elevado su capacidad para usos indeseables. Por ejemplo, algunos dispositivos móviles están optimizados para la adquisición de datos en tareas como el escaneo de tarjetas de crédito o la toma de mediciones técnicas, por ejemplo, voltaje, temperatura, aceleración. Esta funcionalidad tiene ramificaciones más allá de las intenciones de los fabricantes como emplearse para robar tarjetas de crédito e iniciar la explosión de bombas [Wilson, C.; 2006].

El objetivo de este módulo, siguiendo a [Casey, E.; 2011], es estudiar cómo los dispositivos móviles pueden ser fuente de pruebas digitales, describir la operación básica de estos dispositivos y presentar herramientas y técnicas para recoger y examinar las pruebas extraídas. En particular, los móviles son sólo una clase de sistemas informáticos embebidos y existen enfoques avanzados para extraer información de ellos, como el acceso JTAG y la extracción de datos de sus circuitos integrados, chip-off. Se puede encontrar un tratamiento más detallado de los sistemas embebidos en [Casey, E.; 2009; Capítulo 8] desarrollado por Ronald van der Knijff y en el sitio web de los [cmdLabs].

CMOS: Siglas del término inglés complementary metal oxide semiconductor. Es un tipo de circuito integrado que se usa, por ejemplo, para almacenar la información de configuración de la BIOS. | Inglés: Complementary metal oxide semiconductor | Bibliografía: Ashcroft, J.; Daniels, D.J.; Hart, S.V.; 2004

Informática forense en redes e internet

14 de marzo de 2015 Autor: Antonio Salmerón

 
[Redes; Figura dds]: Estructura de un ataque distribuido de denegación de servicio, DDOS, con la herramienta Stachledraht.

El objetivo de este módulo es el estudio y la práctica de la informática forense tanto en redes de computadores como en internet. Comprende los conceptos básicos de redes desde el punto de vista de la informática forense, la aplicación de esta a las pruebas digitales en redes, en internet y en las diferentes capas o niveles de los sistemas de comunicación y, en especial, en el físico, el de enlace de datos, el de red y el de transporte.

La estructura de este módulo es la siguiente:

  • Desarrollo de las redes informáticas.
  • Tecnologías de las redes.
  • Protocolos de Internet y modelo de referencia OSI.
  • Aplicación de la informática forense a las redes.

FTP anónimo: Acceso a un computador remoto a través de FTP en el que el usuario no necesita ser autentificado y se le permite entrar directamente en el sistema, en una cuenta, con un nombre de usuario genérico, por ejemplo, anonymous y como contraseña, por ejemplo, su dirección de correo electrónico. Por seguridad estos usuarios anónimos han de tener unos permisos de acceso muy restringidos, el sistema remoto sólo les permite consultar, no modificar, un conjunto limitado de directorios, por ejemplo, un directorio con información pública de nombre pub. La existencia de este tipo de acceso es necesaria cuando se desea permitir la entrada en el sistema a un gran número de usuarios desconocidos, por ejemplo, a través de Internet, para los que el administrador no puede abrir cuentas. | Bibliografía: Salmerón, A.; et ál.; 1996