jueves, 27 de agosto de 2015

¿Cómo funciona la tecnología de reconocimiento facial?

 

 

En esta nueva era de equipos portátiles, biometría y autenticación en varias fases, cada vez hay más probabilidades de que tu rostro se convierta en tu identificador digital para autenticarte cuando estás online. Pero, ¿cómo funciona la tecnología de reconocimiento facial y cuáles son los problemas que hay que tener en cuenta?

No tan nuevo

La tecnología de reconocimiento facial no es precisamente un fenómeno nuevo, ni tampoco lo es la biometría, a pesar de todos los titulares recientes. Los primeros experimentos con esta tecnología se remontan a la década de 1960, aunque, en aquel entonces, la investigación para comenzar con su desarrollo se mantuvo en secreto.

Si bien hoy en día la ciencia detrás del software es mucho más matemática, automática y cuenta con el respaldo de los potentes equipos sofisticados actuales, los primeros modelos requerían un mayor nivel de intervención humana y, por lo tanto, eran automatizados solo en forma parcial.

Además, su desarrollo era mayormente de nicho. Nadie en aquel entonces podría haberse imaginado que, medio siglo después, el software de reconocimiento facial tendría tanta difusión, ya sea desde el punto de vista de la seguridad (lo utilizan la policía, los profesionales de seguridad y el gobierno), o como un beneficio para el consumidor (para reconocer a la gente en una cámara o como medio para proteger un dispositivo con contraseña).


 

Aún en evolución

Aunque sin duda ya es algo común, el software de reconocimiento facial apenas está comenzando y le falta mucho para llegar a la cima.

Por ejemplo, Microsoft está utilizando la tecnología de reconocimiento facial para la autenticación en Windows 10; Apple aparentemente está buscando la manera en que los usuarios de iOS puedan compartir automáticamente las fotos con amigos “etiquetados”, mientras que tanto Facebook como Google han estado usando el reconocimiento facial para etiquetar amigos y encontrar fotos de uno mismo.

Por otra parte, unos profesores chinos afirman haber creado el primer cajero automático de reconocimiento facial del mundo, mientras que 30 iglesias en todo el mundo han estado utilizando el softwareChurchix” para saber quién va a misa.

A su vez, unos investigadores en Alemania estuvieron desarrollando una nueva tecnología de reconocimiento facial que puede funcionar en la oscuridad, lo que probablemente sea una señal del futuro de esta tecnología y que quizá demuestre que la película Minority Report (2002) de Tom Cruise puede no haber sido tan descabellada después de todo.

 

La situación actual

reconocimiento_facial

En los últimos años, el reconocimiento facial se ha empleado más que nada en aeropuertos, en las esquinas y en otras áreas públicas. Su uso en estos casos es relativamente sencillo: una cámara de video recopila las imágenes, que luego se transmiten a un sistema de vigilancia monitoreado por un trabajador manual.

El trabajador saca una imagen de un individuo determinado de la transmisión e intenta compararla con las personas presentes en la base de datos existente. Mediante el uso de un algoritmo informático, el sistema trata de identificar a alguien; para ello mide ciertos rasgos de su rostro, como la distancia entre sus ojos o el ancho de la nariz.

Dicho todo esto, aún hoy en día, el proceso dista mucho de ser simple y directo. Existen muchas cámaras que aún siguen grabando imágenes con una resolución muy baja, lo que hace que la identificación sea casi imposible. Además, los propios sistemas de vigilancia por video tienen poca tolerancia a los cambios de luz, las expresiones faciales o las imágenes capturadas en ángulos diferentes.


 

De 2D a 3D

Sin embargo, algunos avances son positivos. Por ejemplo, el cambio del procesamiento de imágenes de 2D a 3D ayudó a mejorar la identificación. Las imágenes ahora son capaces de recopilar una gran cantidad de información adicional basada en submililitros (o microondas) para muchos aspectos faciales, desde la estructura ósea hasta las curvas alrededor de la cuenca del ojo, la nariz y la pera. Esto ayuda a reconstruir la estructura del rostro y, en última instancia, mejora la identificación y la hace más precisa.

Por otro lado, el hecho de que el modelado en 3D tenga menos limitaciones en cuanto a la iluminación y los ángulos también es fundamental. Las imágenes se pueden convertir fácilmente de 3D a 2D cuando es necesario, sin perder ningún dato o identificador clave.

En caso de que el reconocimiento facial no funcione, varios fabricantes ya están trabajando en la biometría de la piel para proporcionar más datos que faciliten la identificación. Este método analiza una imagen tomada de un sector de piel y la divide en fragmentos más pequeños para poder medirla. El sistema luego puede distinguir las líneas, los poros y la textura real de la piel.

El software aparentemente es capaz de identificar las diferencias entre gemelos idénticos, lo que aún no es posible mediante el uso de tecnología de reconocimiento facial por sí sola, aunque también presenta otros problemas como el uso de anteojos y lentes de sol, el cabello sobre la cara, la iluminación y la resolución de la imagen.


 

Próximos desafíos

google-glass

Al parecer, el reconocimiento facial se encuentra en un auge inevitable, pero todavía se enfrenta a unos cuantos desafíos. Las dificultades técnicas probablemente se vayan disipando a medida que más fabricantes trabajen en lesto, aunque la eficacia de identificación es un gran dilema: la BBC recientemente informó que la policía del Reino Unido solo logró identificar a una persona de 4.000 imágenes tomadas de los disturbios de Londres en 2011.

Ahora también existe el problema de la privacidad, la seguridad y la transparencia de los datos. Muchas personas consideran que los dispositivos portátiles como Google Glass son una invasión a su privacidad y hay una creciente sospecha de los datos que Google, Facebook o Twitter, entre otros servicios, están recopilando sobre sus usuarios.

Un estudio reciente de First Insight reveló que más del 75 por ciento de los consumidores estadounidenses no compraría en un negocio con tecnología de reconocimiento facial para propósitos de marketing, y un estudio similar llevado a cabo por RichRelevance en el Reino Unido demostró que la mayoría de los compradores consideran “espeluznantes” a las tiendas que usan tecnología de reconocimiento facial.

Los expertos en seguridad dicen que esto destaca la necesidad de que exista una mayor transparencia sobre los datos que se recogen, y sobre la forma en que se almacenan y se protegen. Además, iniciativas como Privacy Visor, los anteojos que evitan el reconocimiento facial, sugieren que los usuarios finales podrían rebelarse contra los gigantes de Internet y el uso que hacen de los datos biométricos si no comienzan a dar este tipo de explicaciones en forma adecuada.

Otros también están empezando a considerar el asunto desde un punto de vista legal. Jennifer Lynch, abogada de Electronic Frontier Foundation, un grupo que se ocupa de los derechos a la privacidad, dijo recientemente a Bloomberg: “Los datos de reconocimiento facial se pueden recoger sin el conocimiento de la persona en cuestión. En cambio, es muy difícil que se le pueda tomar una huella digital sin su conocimiento”.

No importa de qué lado estés, hay algo que está claro: la tecnología de reconocimiento facial llegó para quedarse. Si bien trae muchos beneficios, hay cuestiones evidentes que se deben resolver

lunes, 17 de agosto de 2015

Hackean sistema de seguimiento de tobilleras de arresto domiciliario

Hackean sistema de seguimiento de tobilleras de arresto domiciliario

Las tobilleras de seguimiento que algunos delincuentes se ven obligados a usar después de haber sido sentenciados, ha sido hackeado en una de las conferencias de DefCon, lo que permitiría salir de la casa a un delincuente sin que nadie se percate del hecho.


El investigador de seguridad William "Amm0nRa" Turner demostró como la tobillera, fabricada por la compañía Taiwanese GWG International, puede ser manipulada después de conseguir una muestra a través del uso de ingeniería social contra la empresa.

Los sistemas de seguimiento más antiguos funcionan sobre líneas telefónicas y utilizan frecuencias de radio de proximidad con la tobillera. Los elementos de GWG utilizan GPS y frecuencias de radio de corto alcance para determinar la ubicación del usuario y una red celular para enviar esa información al sistema central de monitoreo.
Amm0nRa logró eludir la protección colocando la pulsera dentro de una jaula de Faraday, envolviendo la tobillera en papel aluminio (U$S 2), para bloquear la señal real y hacer que la pulsera se conectase a una red rogue, creada por él mismo. Esto le permitió captar el mensaje de advertencia que el dispositivo envía a la policía en caso de que la pulsera se abra. Luego sacó la tarjeta SIM del dispositivo, la puso en su teléfono y envió un mensaje a otro teléfono para averiguar el número asociado a la tarjeta SIM. Con esa información, fue capaz de usar un servicio online SMS Spoofing servicio para enviar un mensaje falso, especialmente diseñado y que informa a la policía que el delincuente está todavía en su casa.
Turner estuvo probando en un dispositivo particular, pero dice que hay muchos que funcionan de manera similar y tienen probablemente la misma vulnerabilidad.
Lamentablemente Amm0nRa no informó de sus hallazgos a la empresa debido a las malas experiencias que tuvo cuando trató de reporte vulnerabilidades en el pasado. Se pueden conocer más detalles sobre su investigación en las diapositivas de su presentación.


Fuente: Net-Security

viernes, 7 de agosto de 2015

Técnicas sencillas para el análisis de memoria en Android

En publicaciones pasadas vimos cómo podemos analizar la memoria volátil del equipo con LiME Forensics y Volatility para obtener las estructuras del sistema y aplicaciones en memoria y, consecuentemente, la información que estas guardan. Sin embargo, existen otras maneras más sencillas y rápidas para capturar los datos presentes en la memoria del dispositivo.

Recolección de datos en memoria

Una opción para la fácil recolección de datos consiste en la utilización del Android Debug Bridge (adb) para listar información referida a los procesos, conexiones de red, archivos de registro, etcétera. A través del comando adb shell <ps|netstat|logcat|backup|dumpsys>, el analista puede acceder la shell del equipo para volcar datos desde los archivos del sistema.

image-1

image-2

También es posible ver las diferentes asignaciones de memoria que afectan a una aplicación determinada, retornando información tanto de memoria Dalvik como de ART.

image-3

Una alternativa para la recolección de este tipo de datos es la utilización del Dalvik Debugging Monitor Server (DDMS) mediante el Android Device Monitor. Esta herramienta puede ser inicializada ejecutando el archivo <ruta_sdk>/tools/monitor.

Con ella podemos ver actualizaciones de la pila de memoria, causar la ejecución del GC, o realizar el seguimiento de las asignaciones de memoria entre los diferentes objetos activos. Igualmente podremos acceder a los mensajes generados por la aplicación y el sistema a través de LogCat, a las estadísticas de uso de red y al sistema de archivos presente en el dispositivo.

image-4

Un método simple para volcar el contenido de la memoria de un proceso en ejecución utilizando DDMS es crear un archivo HPROF. Para ello, solo necesitamos seleccionar el proceso y hacer clic en la opción “DUMP HPROF file”. De ser necesario, la creación de este archivo puede ser programada desde la aplicación mediante el método dumpHprofData().

image-5

Para analizar el archivo resultante es necesario convertirlo previamente a formato J2SE HPROF usando la herramienta <ruta_sdk>/platform-tools/hprof-conv. Lo anterior, solo si no hemos utilizado el Android Device Monitor embebido en Eclipse.

Finalmente, podremos analizar el volcado de memoria con la aplicación Eclipse Memory Analyzer Tool (MAT) o cualquier otro analizador de memoria de nuestra preferencia. Entre otras cosas, podremos analizar las cadenas de texto encerradas en objetos del tipo String que estén activos en memoria; para ello, podemos ingresar la consulta “select * from java.lang.String” en el Object Query Language studio de Eclipse MAT.

En la imagen que se presenta a continuación pueden observarse algunos de los mensajes enviados por un bot a su C&C mediante HTTP, como también pueden encontrarse fragmentos de mensajes SMS y de correo electrónico que aún permanecían en la memoria del terminal.

image-6

La gran desventaja del análisis de memoria con DDMS es que para acceder a ciertas estadísticas la aplicación debe poder ser depurada; es decir, su manifiesto necesita presentar la etiqueta android:debuggable con un valor booleano verdadero para indicar al sistema que abra un puerto de depuración. Para superar esta limitación, siempre es posible alterar el APK.

NOTA: Para leer más acerca de la depuración de memoria, dirigirse a la documentación para desarrolladores en Android.

Como vimos…

Obtener información en tiempo real de la memoria del equipo puede resultar un proceso extremadamente sencillo mediante las herramientas de análisis incluidas en el kit de desarrollo de la plataforma. La utilización de estas utilidades originariamente pensadas para la evaluación del rendimiento de aplicaciones se vuelve imprescindible en el análisis de códigos maliciosos cada vez más cambiantes.

La capacidad de recuperar archivos desde la memoria, datos en texto plano, historial de la navegación web, mensajes SMS, correos electrónicos, contactos, archivos APK y DEX instalados en el sistema, es esencial no solo para generar un perfil forense completo del equipo, sino también para analizar cómo cambian muestras de malware capaz de mutar dinámicamente.

lunes, 3 de agosto de 2015

Noticias del cibercrimen: cierre de foros, arrestos, condenas y sentencias

 

Por Stephen Cobb

En este momento, a la seguridad informática le vendría muy bien tener algunas buenas noticias, aunque más no sea para contrarrestar la gran cantidad de malas noticias sobre filtraciones de datos y vulnerabilidades de los sistemas. ¿Qué te parece ésta?: “Cierre de foro cibercriminal; se arrestan miembros de 20 países“. Lo mejor que tiene este titular es que no lo inventé yo; esto ocurrió en realidad hace poco en el mes de julio.

Por desgracia, como suele pasar con muchas buenas noticias, esta historia desapareció rápidamente de la primera plana, en parte debido a la mayor cantidad de noticias sobre filtraciones de datos (como los ataques a UCLA Health, AshleyMadison y la Oficina de Censo de los Estados Unidos) y vulnerabilidades (como la que provocó que Fiat Chrysler tuviera que relocalizar 1,4 millones de vehículos vendidos para actualizar el software). Afortunadamente, el cierre del foro cibercriminal Darkode que generó este título maravilloso no fue el único triunfo reciente en la lucha contra el uso indebido de los sistemas informáticos; por eso pensé que sería útil resumir todas las noticias recientes de esta índole en un mismo lugar.

Cierre de Darkode

Darkode era un foro que les facilitaba a los criminales comprar, vender e incluso alquilar herramientas para cometer delitos cibernéticos, así como los frutos derivados de tales delitos. Si alguien necesitaba un malware para infectar los equipos de las víctimas y robar información, podía comprarlo en Darkode o quizá simplemente alquilar una botnet de máquinas previamente infectadas, ya preparada para robar datos, enviar spam o realizar ataques de denegación de servicio. ¿Alguien necesitaba vender la información personal y los datos financieros robados de las víctimas? Darkode era el lugar preciso para hacerlo. Según el abogado estadounidense David J. Hickton:

De los aproximadamente 800 foros de delitos de Internet en todo el mundo, Darkode representaba una de las amenazas más graves para la integridad de los datos almacenados en las computadoras estadounidenses y del resto del mundo, y era el foro en idioma inglés más sofisticado para los hackers informáticos criminales a nivel global.

Básicamente, cualquier persona con inclinaciones criminales podía, gracias a Darkode, comenzar a cometer delitos cibernéticos, una actividad que ha ganado la fama de ofrecer grandes recompensas con riesgos más bajos que los delitos convencionales. Por ejemplo, los ladrones convencionales o los ladrones de bancos tienen una probabilidad mucho mayor de que los asesinen a disparos que quienes roban datos de tarjetas de crédito de negocios minoristas. Entonces, ¿por qué la noticia del cierre de Darkode es tan importante? Bien, aparte de los 70 arrestos relacionados con Darkode que abarcan varios países (20 en los Estados Unidos, 6 en el Reino Unido, etc.), tuvo por lo menos cuatro grandes repercusiones:

  1. Cambió la relación riesgo/recompensa: demostró que estos tipos de servicios también son vulnerables y que las personas que los utilizan corren el riesgo de ser identificadas, acusadas, detenidas, juzgadas y condenadas.
  2. Dejó en estado de alerta a toda la Dark Web, donde actualmente existen cientos de otros lugares dedicados a facilitar el mismo tipo de actividades. Probablemente algunos de ellos ahora estén un poco más nerviosos por su modelo de negocio y confíen un poco menos en sus compradores y vendedores (al parecer, un agente del FBI se infiltró en Darkode en 2010, a pesar del proceso de selección que tenía el foro).
  3. Demostró que las agencias encargadas de hacer cumplir la ley podrían trabajar juntas más allá de las fronteras internacionales (esta investigación, llamada en código Operation Shrouded Horizon, implicó un esfuerzo coordinado entre Australia, Bosnia y Herzegovina, Brasil, Canadá, Colombia, Costa Rica, Chipre, Croacia, Dinamarca, Finlandia, Alemania, Israel, Letonia, Macedonia, Nigeria, Rumania, Serbia, Suecia, Reino Unido y Estados Unidos).
  4. Le demostró al público que la policía tenía la determinación de reducir el delito cibernético, en un momento en que parecía una tarea prácticamente imposible (llegue a ver un entrevistador intentando conseguir que el Sr. Hickton “admitiera que esto es inútil, como un grano de arena en el desierto“; Hickton respondió con un rechazo admirablemente firme a esta noción tan pesimista).

A continuación menciono a algunas de las personas arrestadas con el cierre de Darkode, junto con algunos de sus presuntos crímenes (hay que recordar que, al día de hoy, estas personas presumen inocencia). La naturaleza de los cargos es relevante por un par de razones; por ejemplo, les informa a los ciberdelincuentes actuales qué pueden esperar si llegan a ser procesados.

  • Johan Anders Gudmunds de Sollebrunn, Suecia: conspiración para cometer fraude informático, fraude electrónico y lavado de dinero; servir como administrador de Darkode para facilitar la creación y venta de malware que les permitió a otros hackers crear botnets; operar su propia botnet de 50.000 computadoras y robar datos de los usuarios de estos equipos en aproximadamente 200 millones de ocasiones.
  • Morgan Culbertson, 20 años, de Pittsburgh, acusado de crear y comercializar Dendroid, un malware para acceder en forma remota a los teléfonos móviles Android de Google, controlarlos y robar sus datos. Culbertson está acusado de haber vendido la herramienta a través del sitio Darkode por USD 300, y su código fuente por USD 65.000.
  • Eric L. Crocker, 39 años, de Binghamton, Nueva York: usar el programa Facebook Spreader para infectar los equipos de los usuarios, convirtiéndolos en bots que luego vendía para el envío masivo de spam.
  • Naveed Ahmed, 27 años, de Tampa, Florida; Phillip R. Fleitz, 31, de Indianápolis; y Dewayne Watts, 28, de Hernando, Florida: mantener una botnet de spam que utiliza servidores muy resistentes en China y routers vulnerables de los países del tercer mundo para enviar millones de correos electrónicos con el objetivo de vencer los filtros de spam de los teléfonos móviles.
  • Murtaza Saifuddin, 29 años, de Karachi, Pakistán: robar identidad; intentar transferir números de tarjetas de crédito a otras personas a través de Darkode.
  • Daniel Placek, 27 años, de Glendale, Wisconsin: conspirar para cometer fraude informático; acusado de crear el foro Darkode y vender malware en Darkode diseñado para interceptar y recopilar direcciones de correo electrónico y contraseñas en comunicaciones de red de manera oculta.
  • Matjaz Skorjanc, 28 años, de Maribor, Eslovenia; Florencio Carro Ruiz, 36, de Vizcaya, España; y Mentor Leniqi, 34, de Gurisnica, Eslovenia: conspiración para cometer estafas organizadas y fraude electrónico, fraude bancario, fraude informático, fraude de dispositivos de acceso y extorsión. Skorjanc también está acusado de conspirar para organizar el foro Darkode y de vender ButterFly, un kit de malware de tipo bot.
  • Rory Stephen Guidry, Opelousas, Louisiana: acusado de cometer fraude informático; acusado de vender botnets en Darkode.

Para obtener más información sobre la evolución de Darkode, recomiendo leer este artículo de Brian Krebs, que pasó bastante tiempo hurgando en el foro.

Una vida de crímenes cibernéticos = ¿Una vida en prisión?

Antes de examinar algunos de los arrestos por delitos informáticos que no están relacionados con Darkode, es conveniente poner estas presuntas transgresiones en perspectiva: ¿a qué clase de futuro te enfrentas si eres uno de los acusados? Mi mejor suposición es que, si te encuentran culpable, es muy probable que vayas a la cárcel. ¿Por cuánto tiempo? ¿Qué te parece por el resto de tu vida? Ésta es la sentencia que recibió otro criminal cibernético, Ross Ulbricht, el hombre que fundó y operó Silk Road, un mercado online que funcionaba en la Dark Web, un grupo de sitios y servicios que utilizan una red cifrada mediante un software especial (Tor) y a los que no se puede acceder desde la Internet pública. Al igual que Darkode, Silk Road también facilitaba la compra y venta de mercancías ilegales, en particular, drogas ilegales.

Algunas personas se sorprendieron por la cadena perpetua de Ulbricht, dictada en mayo y, aunque va a apelar, dudo que termine con una condena de menos de 20 años. Esto se debe principalmente a la faceta de “tráfico de drogas” de su empresa online, como se refleja en esta declaración del juez de sentencia: “Lo que hizo con Silk Road fue terriblemente destructivo para nuestra sociedad.” Sin embargo, aquí hay dos factores que podrían darnos una pista sobre cómo evolucionará la sentencia de los delitos cibernéticos: la magnitud y el impacto en la sociedad.

El robo en el ciberespacio se puede realizar en una escala que no sería posible en el mundo real. Las personas que robaron los datos de tarjetas de pago de Target en 2013 lograron recaudar, en cuestión de meses, mucho más dinero que todos los ladrones de bancos de los Estados Unidos ese mismo año (algunos de los cuales fueron asesinados a tiros en el acto). El tráfico de drogas en el ciberespacio también supera con creces el tráfico tradicional (la sentencia de Ulbricht incluye una multa de 183 millones de dólares). Toma como ejemplo a un solo distribuidor de Silk Road: un hombre llamado Steven Sadler que se declaró culpable a principios de este año de la venta de casi un millón de dólares de narcóticos en el bazar online (Sadler recibió una sentencia de cinco años de prisión más cuatro años de libertad condicional, pero probablemente habría sido mucho más si no hubiera cooperado con las autoridades).

Aunque yo no soy abogado, me gusta estudiar la justicia criminal. Encontré un gran artículo de la Dra. Susan Brenner, de la Facultad de Derecho de la Universidad de Dayton, donde señalaba en el año 2004 que algunos aspectos de la delincuencia cibenética podrían desencadenar “mejoras” en las sentencias federales, es decir, llevar a que las sentencias sean más estrictas (consulta el artículo: ‘Cybercrime Metrics: Old Wine, New Bottles?’ Virginia Journal of Law & Technology, 9,13-13). Entre estos factores se encuentran la magnitud y la complejidad del delito, el esfuerzo que se hizo para ocultarlo, y los daños que ocasionó en la sociedad y la infraestructura. En otras palabras, al calcular la condena por robo o fraude, el juez podría llegar a agregar más tiempo si se considera que el delito socava los beneficios sociales de la tecnología de Internet.

Cierre de ID Theft y de SpyEye

Como noción de lo que deben esperar los condenados en el caso Darkode, puedes tomar el ejemplo de principios de este mes, cuando un ciudadano vietnamita, Hieu Minh Ngo, de 25 años, fue condenado a 13 años de prisión tras declararse culpable por cargos de fraude electrónico, fraude de identidad, fraude de dispositivos de acceso, y cuatro cargos de fraude y abuso informático (aquí están los detalles completos). Si el caso hubiera ido a juicio, es posible que la sentencia se acercara más a los 20 años.

El anuncio del FBI sobre la sentencia hacía varias alusiones a la magnitud que tuvieron las actividades de Ngo: no solo vendía paquetes de datos personales robados (conocidos como “fullz”) para usarse en robos de identidad, sino que también les vendía a los delincuentes la posibilidad de hacer búsquedas de información de identificación personal (PII, por sus siglas en inglés) robada sobre individuos específicos, desde bases de datos online (les ofreció PII sobre 200 millones de ciudadanos estadounidenses a más de 1.300 clientes de todo el mundo y los registros demostraron que se hicieron más de tres millones de “búsquedas”). Ngo parece haber ganado “casi 2 millones de dólares” con este comercio ilegal de datos robados. El IRS calcula que más de 13.000 ciudadanos estadounidenses resultaron afectados por la venta de sus PII robados en los sitios Web de Ngo, lo que alcanzó un valor de 65 millones de dólares por reclamaciones de reembolso falsas.

También se puede incluir a Scale a las sentencias que pronto se dictarán para los dos creadores de SpyEye, Aleksandr Andreevich Panin de Tver, Rusia y Hamza Bendelladj, de Tizi Ouzou, Argelia (que se declararon culpables en 2014 y en la actualidad están esperando la sentencia). Para los lectores que no estén familiarizados con SpyEye, es un software malicioso clásico, uno de los primeros kits de malware “fáciles de usar” con una interfaz para el usuario, empleado para cometer fraudes bancarios. Y, por supuesto, SpyEye fue uno de los productos que se podían obtener en el sitio Darkode. Si te preguntas por qué la fase de sentencia está tardando tanto, puede deberse al enorme esfuerzo que se requiere para evaluar la magnitud y el impacto de los crímenes cometidos por estos individuos, factores que sin duda influirán en las sentencias que reciban.

Factor de retardo y efecto disuasorio

Hablando de SpyEye y de malware bancario, el mes pasado hubo buenas noticias en el frente de la ciberdelincuencia en Europa. Un equipo europeo de investigación conjunta conformado por investigadores y autoridades judiciales de seis países diferentes actuó en Ucrania (hasta ese entonces considerado un país seguro para los ciberdelincuentes) y llevó a cabo una importante operación contra el delito cibernético. Europol dice que cinco “delincuentes cibernéticos de alto nivel y sus cómplices” fueron arrestados bajo sospecha de desarrollar, utilizar y distribuir el malware Zeus y SpyEye. Pueden esperar pasar mucho tiempo bajo custodia mientras las autoridades tratan de determinar la magnitud y el impacto de los crímenes que cometieron.

El patrón preocupante que encontramos aquí es que los arrestos por delitos informáticos a menudo ocurren varios años después de que se cometen los crímenes. Después de todo, los productos de ESET han estado bloqueando el malware Zeus y SpyEye desde 2010. Este factor de retardo tiende a debilitar el impacto de los arrestos y los procesamientos de la actividad criminal que están destinados a disuadir. Los criminólogos suelen coincidir en que cuanto más veloz es la justicia, más fuerte es el efecto disuasorio.

Pero quizá esta demora se vaya acortando a medida que los organismos policiales de todo el mundo adquieran más experiencia trabajando juntos y compartiendo información. La semana pasada nos enteramos de que posiblemente hayan arrestado a los hackers que atacaron el banco JPMorgan Chase. Digo “posiblemente” porque los cuatro hombres detenidos (dos en Florida y dos en Israel) eran buscados por otros delitos, como lo explica el abogado estadounidense Preet Bharara de Manhattan:

Los acusados manipularon el valor de las acciones estadounidenses desde el extranjero, utilizando identidades falsas para transferir millones de dólares ilegalmente a través de una red de empresas internacionales ficticias. Al parecer, estos acusados dirigieron su esquema de “pump and dump” de acciones (capitalización de acciones fraudulentas) desde sus computadoras del otro lado del mundo mediante el envío masivo de correos de spam falsos y engañosos enviados a millones de inversionistas“.

Un típico esquema de “pump and dump” implica hacer que suba el precio de una acción y luego venderla antes de que el precio comience a caer; y una de las tácticas para lograr que suban los precios es mediante campañas de correos electrónicos masivos enviados a los inversores potenciales. La conexión con el ataque al banco JPMorgan fue descubierta por un funcionario de la policía federal que le dijo a USA TODAY que los crímenes mencionados arriba salieron a la luz como resultado de la investigación del ataque al banco. Quizá recuerdes que el banco en un principio afirmó que había sido víctima de un ataque sofisticado, y creía que podía tratarse de una respuesta rusa a las sanciones impuestas por Estados Unidos. Pero ahora parece posible que los criminales simplemente hayan atacado los servidores de JPMorgan con el objetivo de obtener las direcciones de correo electrónico que necesitarían en su esquema de envío de spam.

A continuación se mencionan algunas otras noticias sobre justicia criminal:

  • A principios de este mes, el hombre que operaba el malware DNSChanger se declaró culpable en Nueva York por cargos de fraude electrónico y de intrusión informática (para obtener más información, consulta el artículo de Krebs on Security).
  • Alex Yücel, el dueño de una organización conocida como “Blackshades” fue sentenciado el mes pasado a casi cinco años de prisión por su papel en la venta y distribución de lo que el abogado estadounidense Bharara se refirió como una “forma perniciosa de software malicioso … conocido como la herramienta de acceso remoto (RAT, del inglés) Blackshades“.
  • El Ministerio del Interior estadounidense anunció el miércoles que “en Bulgaria arrestaron a un hombre sospechoso de pertenecer a una red de hackers islamitas responsables de ataques a más de 3.500 sitios Web de todo el mundo“.

Entonces, ¿cambió ahora la situación de la lucha contra el delito cibernético? Probablemente no, pero al menos nos estamos dando cuenta de que los malos empiezan a encontrar resistencia y que algunos de ellos van a pasar muchos años en prisión. Las largas sentencias no son necesariamente un fuerte elemento de disuasión para el delito; no obstante, el aumento de la velocidad con la que los criminales son llevados ante la justicia puede disuadir a aquellos que están contemplando la posibilidad de llevar una vida criminal. Lamentablemente, todavía no estamos destinando la cantidad de recursos suficiente para lograr disuadir el delito cibernético. Esperamos que la respuesta positiva de la gente a estos casos recientes de arrestos y condenas ayude a persuadir a los políticos para que financien mejor los proyectos contra el delito cibernético.

sábado, 1 de agosto de 2015

Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores

 

Introducción

Estamos ante una evolución acelerada de la humanidad, frente a una demanda sostenida de servicios de información e inmediatez en los mismos, que con frecuencia nos supera, una exigencia de actualización que genera cada vez más sobrecarga de información y por lo tanto, desborde en nuestra capacidad para procesar la misma.

En este sentido, se hace necesario contar con mejores alternativas para generar, procesar, almacenar, transportar, recuperar y disponer de manera eficiente datos e información. En consecuencia, las tecnologías de información y comunicaciones deben evolucionar y ofrecer nuevas propuestas que permitan estar a la altura de las demandas actuales y futuras, las cuales según informes recientes de Mckinsey (BUGHIN, CHUI y MANYIKA 2013), seguirá en aumento y generando mayores interpretaciones y analítica que claramente reclamará capacidad de procesamiento y almacenamiento.

Habida cuenta de lo anterior, las tecnologías de almacenamiento basadas en platos, brazos mecánicos y cabezas de lectura magnéticas, comienzan a llegar a su límite en cuanto a su velocidad y capacidad de almacenamiento. Con el surgimiento en los 90’s de las memorias USB, se abre la posibilidad de contar con medios de almacenamiento electrónico, con componentes que no se mueven y que se encuentran ajustados a tecnologías de almacenamiento basados en memorias NOR o NAND.

Este cambio de tecnología, nos lleva de la teoría de campos e impedancias magnéticas que se aferran a platos ferromagnéticos a la teoría del estado sólido, es decir, aquella donde las partículas está unidas por fuerzas de atracción grandes, que solo pueden moverse vibrando u oscilando alrededor de posiciones fijas, con una regularidad espacial geométrica, que dan lugar a diversas estructuras cristalinas ((?) 2005), para explicar una nueva forma de almacenar y mantener la información

En términos prácticos, las unidades de estado sólido son dispositivos híbridos que almacenan datos en una memoria de semiconductores conocido como memoria flash, sin partes mecánicas (sin cabezas móviles o discos giratorios) (BLOG Happy SysAdmin 2011). Estos poseen dos zonas de memoria, una en la que se guarda la información y otra que actúa de cache acelerando los accesos, muy parecida a la memoria RAM. (SÁNCHEZ IGLESIAS (?))

Como quiera que estos nuevos desarrollo tecnológicos, disminuyen las eventualidades que tiene los discos magnéticos: aumentan la capacidad de almacenamiento, tiene mayor resistencia a los golpes, un menor consumo de energía y rapidez en el acceso (pues no es susceptible a la fragmentación de los archivos) (idem), estamos ante una nueva forma de respaldar información que nos permite ser consecuentes con la eficiencia en el uso de los datos y la velocidad necesaria para suscribirse a nuevos servicios de información disponibles.

En este contexto, este documento busca comprender algunas de las características técnicas de las unidades de estado sólido, sus ventajas y limitaciones, así como los retos propios para los informáticos forenses que deben repensar sus procedimientos y análisis frente a este desafío tecnológico ahora basado en sistemas de archivos asociados con memorias flash y borrado intrínseco después de cada operación, entre otras características.

Las memorias flash (TAL 2002)

Las memorias flash fueron inventadas por el Dr. Fujio Masuoka mientras trabajaba para Toshiba en 1984. El nombre de "flash" fue sugerido por el investigador dado que el proceso de borrado de los contenidos de la memoria le recordó el flash de una cámara fotográfica. Los chips de memoria flash almacenan datos en un gran arreglo de transistores de puerta flotante (MOS) de metal-óxido-semiconductor. Las pastillas de silicio se fabrican con una dimensión microscópica de un transistor, que actualmente son de aproximadamente de 40 nanómetros. (OLSON y LANGLOIS 2008)

Las memorias flash son memorias no volátiles que puede ser borradas y reprogramadas en unidades de memoria llamadas bloques. Una operación de escritura en cualquier dispositivo de flash sólo se puede realizar en una unidad vacía o borrada, por lo que en la mayoría de los casos, una operación de borrado debe preceder a la operación de escritura. La operación de borrado es bastante sencilla para los dispositivos NAND, mientras que para los NOR, se requiere que todos los bytes del bloque de destino se escriban con ceros antes de que puedan ser borrados.

Dado que el tamaño de un bloque de borrado en dispositivos NOR oscila desde 64 hasta 128 Kbytes, una operación de escritura o borrado puede tardar hasta 5 segundos. Por el contrario, el uso de bloques de borrado de 8 a 32 Kbytes en un componente NAND realiza la misma operación en un máximo de 4 milisegundos.

Las diferencia de tiempo en las operaciones de escritura y borrado aumenta aún más la brecha de rendimiento entre los componentes NOR y NAND. Estadísticamente se adelantan más operaciones de borrado en las unidades con dispositivos NOR, ​​por cualquier conjunto de operaciones de escritura que se haga sobre este componente (sobre todo en la actualización de archivos pequeños). Por lo tanto, al seleccionar una solución de almacenamiento local, se deben considerar, al menos, los siguientes factores:

  • Las NOR leen un poco más rápido que las NAND.
  • Las NAND escriben mucho más rápido que las NOR
  • Las NAND eliminan mucho más rápido que las NOR - 4 ms frente a 5 s, respectivamente.
  • La mayoría para escribir requiere una operación de borrado previo.
  • Las NAND tienen unidades de borrado pequeñas, por lo que necesitan borrar menos.

De otra parte, JONES (2008) detalla los retos actuales que tienen las memorias flash, que ponen de manifiesto las condiciones de operación de las mismas, frente a los usos previstos asociados con almacenamientos masivos e intensos en procesamiento. Los desafíos a resolver en estas memorias son la recolección de basura (bloques no válidos), el manejo de bloques defectuosos y el manejo del desgate físico del dispositivo.

La recolección de basura es el proceso de recuperación de bloques no válidos (los que contienen una cierta cantidad de datos no válidos). Dicha recuperación consiste en mover los datos válidos para un nuevo bloque, y luego borrar el bloque no válido para que esté disponible. Este proceso se lleva a cabo habitualmente como proceso en “background” o cuando sea necesario, si el sistema de archivos tiene poco espacio disponible.

Con el tiempo, los dispositivos de flash pueden desarrollar bloques defectuosos bien por el uso o incluso por fallas en su fabricación, que no pueden ser utilizados. Se puede detectar la presencia de bloques defectuosos al tratar de ejecutar una operación sobre la memoria flash y ésta falla, como puede ser borrar o una acción de escritura no válida.

Una vez identificados los bloques dañados, se marcan en la memoria flash en sí en una tabla de bloques defectuosos. La forma de hacer esto depende del dispositivo, pero puede ser implementado con un conjunto seleccionado de bloques reservados gestionados por separado a partir de bloques de datos normales. Esta funcionalidad se implementa en el hardware por un microcontrolador interno y por lo tanto es transparente para el sistema de archivos de nivel superior.

Finalmente y no menos importante, es el manejo del desgaste físico del dispositivo. Para maximizar la vida útil de la memoria flash, se proporcionan algoritmos de nivelación de desgaste, los cuales pueden ser dinámicos o estáticos.

Los dinámicos abordan el problema de un número limitado de ciclos de borrado para un bloque dado. En lugar de utilizar bloques al azar, los algoritmos de nivelación de desgaste dinámicos intentan distribuir uniformemente el uso de los bloques.

De otra parte, los algoritmos de nivelación de desgaste estáticos enfrentan un problema aún más interesante. Además de un número máximo de ciclos de borrado, ciertas memorias flash sufren de un número máximo de ciclos de lectura entre los ciclos de borrado. Esto significa que si los datos se almacenan por mucho tiempo en un bloque y se lee muchas veces, los datos pueden disiparse y provocar la pérdida de los mismos. Algoritmos de nivelación de desgaste estáticos enfrentan esta situación moviendo periódicamente datos antiguos a nuevos bloques disponibles.

Sistemas de archivos para memorias flash

Para comprender cómo funcionan los sistemas de archivos en memorias flash, es preciso comprender la siguiente arquitectura interna de los dispositivos con memorias flash embebidas.

Sistema de archivos en memorias flash. (Tomado de: HU 2007)

El nivel de traducción de la memoria flash (Flash Translation Layer – FTL) es el controlador que funciona en conjunto con el sistema de archivos propio del sistema operacional para hacer parecer la memoria flash como si fuese un disco magnético. En primer lugar crea pequeños bloques de datos virtuales, diferentes de los grandes bloques de borrado que requiere la memoria para sus procesos internos como se vio previamente. Luego, gestiona los datos sobre la memoria flash como “asignados”, a pesar que internamente esté almacenado en diferentes lugares, para finalmente administrar los bloques limpios disponibles, así como los borrados para almacenar los datos. (INTEL 1998)

El FTL emula un dispositivo de bloques. En este contexto, aparece el componente flash como si fuese una matriz contigua de bloques de almacenamiento numerados de cero al número total de bloques menos uno. En consecuencia, FTL se convierte en una traducción nativa del sistema de archivos y la memoria flash. Esto es, FTL reasigna los datos en una posición física donde van a ser escritos, esto permite que el sistema de archivo trate al dispositivos con memorias flash como cualquier dispositivo de almacenamiento por bloques, ignorando las características propias de las flash.

En realidad lo que ocurre, es que FTL ubica los datos en una ubicación disponible o de borrado, señalando la localización real de los mismos. Es importante anotar que previamente, antes de escribir, invalida el bloque que previamente contenía los datos (si es del caso).

Como podemos ver, el controlador de traducción de la memoria flash, desarrolla las actividades propias de los sistemas de archivos, creando la ilusión requerida por el usuario final en el sistema de archivos, para tener acceso a la memoria flash. Así mismo, un error en la traducción puede generar una pérdida de datos o inconsistencias sobre el almacenamiento de datos, toda vez que este componente de software (algunas veces de hardware) es el que mantiene la consistencia de los datos almacenados en la memoria flash.


Unidades de estado sólido

Una unidad de estado sólido (Solid Disk Drive – SSD en inglés) es un elemento electrónico basado generalmente (a partir de 2010) en memorias flash NAND, el cual define un tipo de memoria no volátil diseñado como almacenamiento auxiliar. Todo este sistema es gobernado por un controlador, que establece un conjunto bloques de memorias NAND que actúan como un arreglo en miniatura, lo cual permite aumentar la velocidad de acceso, ya que es posible realizar varias lecturas y escrituras al mismo tiempo, haciendo que el dispositivo sea más resistente a fallos. (SÁNCHEZ IGLESIAS (?)).

Las unidades de estado sólido a diferencia de los tradicionales discos duros magnéticos, no tienen componentes mecánicos, ni tiempos de latencia de rotación, ni platos de almacenamiento basados en óxido ferroso, sino componentes electrónicos basados en memorias no volátiles que a través de controladores como el FTL, es posible interpretarlos como discos magnéticos para efectos de acceder a ellos de manera tradicional y natural.

A la fecha se advierten múltiples ventajas de estas unidades sobre los discos magnéticos dentro de las cuales se tienen: (BLOG Happy SysAdmin 2011)

  • Mayor rapidez de lectura, incluso 10 veces más que los discos duros tradicionales más rápidos gracias a arreglos internos de memorias en una misma unidad.
  • Baja latencia de lectura y escritura, cientos de veces más rápido que los discos mecánicos.
  • Lanzamiento y arranque de aplicaciones en menor tiempo - Resultado de la mayor velocidad de lectura y especialmente del tiempo de búsqueda. Pero solo si la aplicación reside en flash y es más dependiente de la velocidad de lectura que de otros aspectos.
  • Menor consumo de energía y producción de calor, resultado de no tener elementos mecánicos.
  • Sin ruido: La misma carencia de partes mecánicas los hace completamente inaudibles.
  • Mejorado el tiempo medio entre fallos, superando 2 millones de horas, muy superior al de los discos duros.
  • Seguridad, permitiendo una muy rápida "limpieza" de los datos almacenados.
  • Rendimiento determinístico - a diferencia de los discos duros mecánicos, el rendimiento de las unidades de estado sólido es constante y conocido a través del almacenamiento entero. El tiempo de "búsqueda" es constante.
  • El rendimiento no se deteriora mientras el medio se llena. Son inmunes a la fragmentación propia de los discos magnéticos
  • Menor peso y tamaño que un disco duro tradicional de similar capacidad.
  • Son resistentes: soportan caídas, golpes y vibraciones sin estropearse y sin descalibrarse como pasaba con los antiguos discos duros, gracias a carecer de elementos mecánicos.
  • Borrado más seguro e irrecuperable de datos; es decir, no es necesario hacer uso del Algoritmo Gutmann para cerciorarse totalmente del borrado de un archivo.

No obstante lo anterior, estas nuevas unidades de almacenamiento presentan algunas limitaciones conocidas a la fecha que deben ser tenidas en cuenta frente al uso de las mismas, como advertencias que motiven acciones de seguridad y control frente la pérdida de datos que puede presentarse. Los principales inconvenientes son: (idem)

  • Alto costo por gigabyte almacenado. US$ 2 dólares por gigabyte frente a US$0,05-0,10 por gigabyte en los discos magnéticos.
  • El tiempo medio de vida entre fallos (Mean Time Between Failures): la longevidad de este tipo de unidades es más corto que el de disco duro estándar por el hecho de que el número de ciclos de escritura a cualquier celda de memoria es limitada y una vez que se han consumido su cuota para ese bloque, el disco empieza a ser poco fiable.
  • El tamaño de almacenamiento disponible en gigabytes. Es una situación que conforme evolucione la tecnología se irá superando

En consecuencia de lo anterior, las unidades de estado sólido serán los medios de almacenamiento auxiliar estándar a corto y mediano plazo, toda vez que los discos tradicionales presentan importantes limitaciones en velocidad, confiabilidad y latencia de acceso, que los dispositivos electrónicos basados en memorias NAND han superado ampliamente.

Retos de las unidades de estado sólido para la computación forense (WIEBE 2013)

Como quiera que las unidades de estado sólido, establecen bondades tecnológicas importantes relevantes para mejorar el desempeño del almacenamiento en general, muchas de ellas implican limitaciones importantes para adelantar investigaciones forenses en informática dado que, como hemos visto previamente cualquier operación de escritura en una memoria flash exige una acción de borrado previo.

De otra parte, como anota WIEBE (2013) el sistema operativo puede acelerar el funcionamiento de la unidad de estado sólido alertando sobre bloques potencialmente reutilizables mediante el uso del comando "TRIM". Este comando es una innovación reciente en la arquitectura de almacenamiento, que permite al sistema operativo indicarle al dispositivo de almacenamiento de estado sólido que un área particular del mismo está disponible para la limpieza y la reutilización. Por ejemplo, después que un archivo ha sido eliminado por el usuario, el sistema operativo le indicará a la unidad de estado sólido a través de "TRIM" el área que abarca el archivo eliminado. Después de recibir la orden de "TRIM", el SSD moverá el archivo al espacio reservado para provisión, donde finalmente será saneado y marcado para su reutilización.

Esto significa que a diferencia de los discos magnéticos donde se indicaba a través de una marca del sistema operacional la condición del espacio disponible o no asignado, en las unidades de estado sólido el comando “TRIM” elimina la capacidad de recuperar datos sobre los SSD, purgando los datos borrados antes que el sistema operacional llegue allí. (BELL y BODDINGTON 2010, REGAN 2009)

Por otro lado, tenemos las limitaciones propias del controlador FTL que puede ser utilizado por los atacantes para manipular la forma de acceso y distribución de los bloques de las memorias flash disponibles, pudiendo generar estrategias de ocultamiento de información como marcado de bloques defectuosos, fallas en los algoritmos de recolección de basura o lo que es peor, disminuir el tiempo de vida útil de las unidades de estado sólido, acelerando los ciclos de escritura sobre los bloques disponibles.

Un desafío adicional es el ejercicio del saneamiento profundo de los SSD, toda vez que los programas existentes de saneamiento de discos no son efectivos a la hora de entrar a fondo en los discos para eliminar la existencia de información allí disponible, dado que todo el tiempo se está moviendo información de bloques ocupados a bloques libres. Para ello se proponen variaciones del controlador FTL, con el fin de establecer funciones adicionales para borrado seguro que eliminan todos los restos de información en los bloques reservados de la unidad de estado sólido. (LEE, HEO, CHO, HONG y SHIN 2008; WEI, GRUPP, SPADA y SWANSON 2011; SHEWARD 2012)

Estas condiciones previamente establecidas, supone que las herramientas forenses actuales deben ser revisadas para identificar y analizar en detalle el funcionamiento de las unidades de almacenamiento de estado sólido, para comprender la nueva ilusión del sistema de archivos a través del FTL, entender que el borrado efectuado sobre este tipo de medios es irreversible por el saneamiento intrínseco de la tecnología para aumentar su velocidad y ahora sus sustentaciones técnicas no podrán basarse en la lógica de los discos tradicionales de cilindros, pistas y sectores, sino relacionadas con direcciones de bloques lógicos asociados con compuertas NAND, que de manera secuencial se asignan y liberan.


Reflexiones finales

Las unidades de estado sólido establecen una alternativa concreta para almacenamiento auxiliar que cada vez más se posiciona en el mercado de medios de respaldo de información, como una tecnología de alta velocidad, confiable y segura de tal manera que a pesar de su alto costo actual, comienza a desplazar los medios magnéticos tradicionales.

En este sentido, los investigadores forenses en informática deben comenzar a entender en profundidad esta tecnología toda vez que lo que conocen sobre medios de almacenamiento magnético, no podrá ser extrapolado a una tecnología basada en transistores de puerta flotante que almacenan información en celdas de único bloque o multibloque, donde los sistemas de archivo disponibles emulan la vista de un disco magnético tradicional para poder comprender la forma de registro de la información en el medio.

Así las cosas, los procedimientos de saneamiento, recuperación e imagen de discos actuales, deben repensarse a la luz de un avance tecnológico que para mantener su promesa de valor en velocidad y confiabilidad, debe mantener un conjunto de bloques lógicos de información disponibles para efectuar sus operaciones de escritura y borrado, que de hecho suponen actividades de saneamiento de bloques de información que claramente alterarán la integridad del medio, no por acciones no autorizadas, sino por la dinámica misma del dispositivo.

En consecuencia, los SSD representan bien una amenaza o una gran oportunidad para repensar la computación forense como quiera que exige de los peritos informáticos y/o especialistas en informática forense entrar en profundidad de esta nueva tecnología y comprender junto con los fabricantes, la forma como los avances en los semiconductores abren nuevas posibilidades para codificación de información, y que desde la vista de los sistemas de archivo, se puedan desarrollar alternativas que balanceen la necesidad de la trazabilidad de las acciones de los usuarios sobre los medios, así como la confianza y velocidad propia de éstos.

Si bien este documento, no pretende agotar la discusión científica ni las reflexiones prácticas alrededor de la práctica forense sobre los SSD, si busca motivar a todos los interesados para continuar indagando en las nuevas fronteras del conocimiento actual de las memorias flash, que no solamente están en las unidades de estado sólido, sino que cada vez más aparecen en medios inalámbricos, teléfono móviles, cámaras de video y fotografía digitales, así como en las nuevas consolas electrónicas, que están a la espera para continuar retándonos sobre esta realidad de componentes de silicio que supone una transformación y renovación de los profesionales e investigadores en informática forense.


Referencias

(?) (2005) Estado Sólido. Disponible en: http://concurso.cnice.mec.es/cnice2005/93_iniciacion_interactiva_materia/curso/materiales/estados/solido.htm (Consultado: 9-06-2013)

BELL, G. y BODDINGTON, R. (2010) Solid state drives: the beginning of the end for current practice in digital forensic recovery. The Journal of Digital Forensics, Security and Law. Vol 5. No. 3. Disponible en: http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf (Consultado: 10-06-2013)

BLOG Happy SysAdmin (2011) Solid State Drives, some theory and a selection of videos. Disponible en: http://www.happysysadm.com/2011/07/solid-state-drives-some-theory-and.html (Consultado: 9-06-2013)

BUGHIN, J. , CHUI, M. y MANYIKA, J. (2013) Ten IT-enabled business trends for the decade ahead. Mckinsey Quarterly. May. Disponible en: http://www.mckinsey.com/insights/high_tech_telecoms_internet/ten_it-enabled_business_trends_for_the_decade_ahead (Consultado: 3-06-2013)

HU, Y. (2007) Estimating Flash Media Performance for Embedded Systems. Micro Digital. Disponible en: http://www.smxrtos.com/articles/whiteppr/flashperformance.htm (Consultado: 9-06-2013)

INTEL (1998) Understanding flash translation layer specification. Application note. Disponible en: http://staff.ustc.edu.cn/~jpq/paper/flash/2006-Intel%20TR-Understanding%20the%20flash%20translation%20layer%20%28FTL%29%20specification.pdf (Consultado: 9-06-2013)

JONES, M. T. (2008) Anatomy of linux flash file systems. Disponible en: http://www.ibm.com/developerworks/linux/library/l-flash-filesystems/ (Consultado: 9-06-2013)

LEE, J., HEO, J., CHO, Y., HONG, J. y SHIN, S. Y. (2008) Secure deletion for NAND flash file system. Proceedings of SAC’08 – 2008 ACM Symposium on Applied Computing. Disponible en: http://eoslab.ssu.ac.kr/pdf/2008-5.pdf (Consultado: 10-06-2013)

OLSON, A. y LANGLOIS, D. (2008) Solid state drives. Data reliability and lifetime. Imation research document. Disponible en: http://www.csee.umbc.edu/~squire/images/ssd1.pdf (Consultado: 10-06-2013)

REGAN, J. (2009) The forensic potential of flash memory. Naval Postgraduate School. Unpublished Master Thesis. Disponible en: http://simson.net/clips/students/09Sep_Regan.pdf (Consultado: 10-06-2013)

SÁNCHEZ IGLESIAS, A. (?) ¿Qué es un disco duro SSD? Disponible en: http://computadoras.about.com/od/preguntas-frecuentes/a/Que-Es-Un-Disco-Duro-Ssd.htm (Consultado: 9-06-2013)

SHEWARD, M. (2012) Rock solid: Will digital forensics crack SSD? Infosec Institute Resources. Disponible en: http://resources.infosecinstitute.com/ssd-forensics/ (Consultado: 10-06-2013)

TAL, A. (2002) NAND vs. NOR flash technology. The designer should weigh the options when using flash memory. Disponible en: http://www.electronicproducts.com/Digital_ICs/NAND_vs_NOR_flash_technology.aspx (Consultado: 9-06-2013)

WEI, M., GRUPP, L., SPADA, F. y SWANSON, S. (2011) Reliably Erasing Data From Flash-Based Solid State Drives. Proceedings of 9th USENIX Conference on File and Storage Technologies. Disponible en: http://static.usenix.org/events/fast11/tech/full_papers/Wei.pdf (Consultado: 10-06-2013)

WIEBE, J. (2013) Forensic Insight into Solid State Drives. Digital Forensic Investigator. Summer. Disponible en: http://www.dfinews.com/articles/2013/05/forensic-insight-solid-state-drives (Consultado: 9-06-2013)

Reflexiones sobre la norma ISO/IEC 27037:2012. Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

Introducción

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Principios que gobiernan la evidencia digital

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o no.

La relevancia es una condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra característica fundamental, que busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

Finalmente y no menos importante la suficiencia, la cual está relacionada con completitud de pruebas informáticas, es decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático en el desarrollo de sus procedimientos y priorización de esfuerzos.

Si bien puede haber otros elementos que ayuden en el gobierno de la evidencia digital, ISO ha determinado que estos tres, establecen las condiciones necesarias y suficientes para que los expertos en informática forense recaben, aseguren y preserven elementos materiales probatorios sobre medios digitales, los cuales podrán ser revisados y analizados por terceros interesados y sometidos a contradicción según ordenamiento jurídico donde se encuentren.

Habida cuenta de lo anterior, los informáticos forenses deberán prestar atención a estas indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos tres principios, que si bien se describen en el documento, no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.

En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles para efectos de validar los tres principios enunciados:

Relevancia

· ¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la víctima?

· ¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en estudio?

· ¿La evidencia recolectada valida un indicio clave que permita esclarecer los hechos en estudio?

Confiabilidad

· ¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?

· ¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?

· ¿Se han efectuado auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar el análisis forense informático?

Suficiencia

· ¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las situaciones que se deben probar?

· ¿Se han analizado todos los elementos informáticos identificados en la escena del crimen?

· ¿Se tiene certeza que no se ha eliminado o sobreescrito evidencia digital en los medios analizados?

Dos roles claves: Digital Evidence First Responder (DEFR) y el Digital Evidence Specialist (DES)

Por primera vez un estándar ISO establece definiciones de roles para efectos de las actividades requeridas en informática forense. Estos dos roles DEFR, cuya traducción podría ser “Primer respondiente de la evidencia digital” y el DES, como “Especialista en evidencia digital”.

El primero es aquella persona que está autorizada, formada y habilitada para actuar en la escena de un incidente, y así recoger y adquirir las evidencias digitales con las debidas garantías. Este es un rol que deben tener todas las organizaciones, toda vez que cualquier persona en una empresa puede actuar como primer respondiente frente a un incidente donde la evidencia digital sea parte de los elementos materiales probatorios.

Según la norma, esta persona y su formación dependerán del contexto de cada legislación y política organizacional, como quiera que, es en el contexto del ejercicio de primer respondiente que se establecen las condiciones y habilidades requeridas para asegurar de primera mano la evidencia digital propia de la situación en estudio.

¿Qué debe hacer un primer respondiente frente a un incidente informático? Si bien no detalla la norma la respuesta a esta pregunta, si podríamos indicar algunos elementos claves que se deben seguir frente a un proceso fundamental en el aseguramiento y custodia base de la evidencia informática, mientras el especialista en evidencia digital llega al sitio.

· Asegurar el área dónde ocurre el evento informático y los elementos materiales probatorios que se encuentren allí: notas, documentos, dispositivos electrónicos, entre otros.

· Evitar que personal extraño al área, tenga acceso a la misma y a los equipos que allí se encuentren.

· Tomar fotos o video de cómo encontró el área y documentar fecha, hora y condiciones en las cuales llega al sitio donde ocurren los hechos.

De otro lado, el Especialista en Evidencia Digital (EED) lo califica como aquella persona que puede hacer lo que hace el primer respondiente la evidencia digital y además cuenta con conocimientos, destrezas y entrenamiento especializado en un amplio rango de aspectos tecnológicos, lo que podríamos llamar un perito informático o en inglés un computer expert witness.

En este contexto, se presenta una primera insinuación sobre esta problemática del perito informático, que siguiendo los conceptos de LOPEZ RIVERA (2012, pág.21), debe estar asistida por tres elementos fundamentales:

· Ser un tercero neutral, alguien ajeno al proceso y a los intereses particulares que se encuentren en discusión.

· Ser un experto, una persona con formación formal, con experiencia fruto de sus desempeños laborales, conocimientos especializados, científicos o prácticos según el caso.

· Ser una persona que voluntariamente, acepte incorporar sus conocimientos al proceso.

Si bien el estudio de cómo se debe formar un perito informático, escapa al alcance de este documento, si es preciso anotar que a la fecha existen diversos programas formales de formación de investigadores de crímenes de alta tecnología o en ciencias forenses informáticas que dan respuesta desde diferentes perspectivas a la formación de estos especialistas y auxiliares de la justicia, para que se tenga una vista medianamente clara y detallada de las habilidades y conocimientos que se deben tener frente al aseguramiento de la evidencia digital. (CANO 2009)

Finalmente y no menos importante, la norma hace énfasis en los siguientes puntos, que se deben observar todo el tiempo tanto por el DEFR como por el DES:

· Minimizar el manejo del dispositivo con la evidencia digital original o con la evidencia digital potencial

· Dar cuenta de cualquier cambio y documentar las acciones que se tomen (mientras el experto se hace una opinión sobre su confiabilidad)

· Cumplir con las leyes locales sobre el manejo de la evidencia

· No tomar acciones más allá de sus competencias.

Tipologías de dispositivos y entornos alcance de la norma

De acuerdo con la norma es alcance de la misma: (LOPEZ RIVERA 2012, pág.200)

· Equipos y medios de almacenamiento y dispositivos periféricos

· Sistemas críticos (alta exigencia de disponibilidad)

· Computadores y dispositivos conectados a la red

· Dispositivos móviles

· Sistemas de circuitos cerrados de televisión digital

Con este alcance, quedan fuera tecnologías recientes como las unidades de estado sólido, los sistemas de control industrial (por sus configuraciones y tecnologías especiales basadas en microcontroladores), servicios web, entre otros temas especializados, que si bien pueden utilizar los pasos naturales del proceso asociado con la informática forense (documentos y alcance de la norma identificación, recolección y/o adquisición, conservación y/o preservación), requiere una vista particular de aseguramiento que es propia e inherente a los avances tecnológicos previamente enunciados.

Si bien estas tipologías tratan de ser generales y genéricas frente a lo que se puede encontrar en una escena con dispositivos tecnológicos, es importante anotar que cada tecnología requiere un margen de especialidad que escapa al proceso general planteado y sus actividades previstas, toda vez que los cambios técnicos que se tienen, requieren un entendimiento particular de cómo funcionan y cuáles son las implicaciones frente a las exigencias del proceso forense en informática, basado en el método científico, no para conocer la verdad, sino para dar respuesta a preguntas que se plantean en el contexto del caso en estudio.

Un ejemplo de esta condición es la realización de la imagen idéntica, la cual es un procedimiento que se aplica con software especializado para asegurar que el contenido digital del dispositivo informático (particularmente magnético) es fiel copia del original, en el que se aplica un hash sobre la imagen resultado, el cual puede ser verificado posteriormente para validar su inalterabilidad.

Sin embargo, aplicar el mismo procedimiento sobre unidades de estado sólido no genera el mismo resultado, toda vez que esta unidad funciona de manera diferente al medio magnético, es decir de manera general, constantemente por efectos de la confiabilidad del medio, se está cambiando de posición la información allí residente (CANO 2013), con lo cual se puede aplicar un hash un momento T y éste no será igual al que se aplique en T+1.

Así las cosas, las tipologías son sensibles a los cambios tecnológicos y nuevos retos emergentes de la informática forense, lo que necesariamente advierte que las técnicas descritas en el estándar deberán ser revisadas y ajustadas en el tiempo de manera periódica, con el fin de advertir cambios y ajustes que permitan mantener la confiabilidad de los procedimientos aplicados, como quiera que este documento es un referente de alcance global.

Reflexiones finales

El estándar ISO/IEC 27037:2012 es un avance relevante para el ejercicio de la práctica de la informática forense a nivel internacional que permite homogenizar una serie de prácticas claves para efectos de dar mayor confiabilidad a los resultados de los procesos aplicados, que previamente sólo estaban fundados en la buena práctica internacional o referentes particulares a instituciones o entidades reconocidas por sus logros en este campo.

Este documento cubre tres etapas de la actuación forense digital como son identificación, recolección y/o adquisición y conservación y/o preservación, detallando prácticas y consideraciones de actuación relevantes que responden a los mínimos que el “Especialista en Evidencia Digital” debe cubrir y asegurar para mantener la confiabilidad de sus resultados frente al tratamiento y aseguramiento de la evidencia digital.

Sin embargo, los temas relacionados con el análisis e interpretación de la evidencia digital no son cubiertos por esta norma y se espera que la anunciada ISO/IEC 27042, sugiera los campos de acción en estos temas, los cuales tendrán retos importantes como se establece su reciente borrador:

El análisis e interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que se pueden aplicar y los miembros deequipo de investigación tendrán quejustificar la selección de determinado proceso y mostrar cómo es equivalentea otro utilizado por otros analistas. En otras circunstancias, los investigadores tendrán que idear nuevos métodos para el examen de la evidencia digital que previamente no ha sido tenido en cuentay deben ser capaz de demostrar que el método de producción es "adecuado".

Así las cosas, contar con el estándar ISO/IEC 27037:2012 nos permite avanzar en la unificación de lenguajes y acciones propios de la práctica de la informática forense, que junto con iniciativas especializadas por tipo de dispositivos y tecnologías novedosas, permitan desarrollar una monitorización abierta y efectiva de la práctica de sus especialistas, incrementando los niveles de excelencia y madurez tanto de los profesionales en esta área como en el desarrollo de herramientas que soporten los más altos estándares de confiabilidad.

Referencias

ISO/IEC 27037:2012. Tecnología de la información – Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

ISO/IEC 27042 - Tecnología de la información – Técnicas de seguridad – Directrices para el análisis e interpretación de la evidencia digital. (En desarrollo)

HB171-2003 Guidelines for the Management of IT Evidence. Australia Standard.

LOPEZ RIVERA, R. (2012) Peritaje informático y tecnológico. Un enfoque teórico-práctico. ISBN 978-84-6160-895-9.

NIST (2007) Guidelines on cell phone forensics. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf (Consultado: 15-09-2013)

NIST (2010) Forensics web services. Disponible en: http://csrc.nist.gov/publications/nistir/ir7559/nistir-7559_forensics-web-services.pdf (Consultado: 15-09-2013)

NIJ (2004) Forensic Examination of Digital Evidence: A Guide for Law Enforcement. Disponible en: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf (Consultado: 15-09-2013)

NIJ (2008) Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. Disponible en: http://www.ncjrs.gov/pdffiles1/nij/219941.pdf (Consultado: 15-09-2013)

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Ed. Alfaomega. México.

CANO, J. (2013) Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores. Blog IT-Insecurity. Disponible en: http://insecurityit.blogspot.com/2013/06/unidades-de-estado-solido-el-reto-de-la.html (Consultado: 15-09-2013)

La investigación forense informática. Tensiones emergentes entre los estándares vigentes y el ecosistema digital

Introducción

La conectividad digital, el creciente acceso a dispositivos inteligentes, el aumento de la eficiencia en los procesos por cuenta de la tecnología de información, entre otras son condiciones de un nuevo entorno social, que habilita un ecosistema digital, donde la recolección y uso de la información es parte inherente de la interacción entre las personas, las plataformas, los servicios y contenidos que se publican en este (Schmidt y Cohen, 2014).

En este sentido, el flujo de información, no sólo es una condición necesaria para interactuar en esta nueva realidad, sino requerida para transformar el entorno donde cada persona actúa y realiza sus actividades diarias. Esto implica, por tanto, mayor exposición de la información de la persona y así como de su identidad, lo que supone el desarrollo de una competencia genérica que le permita tener una mejor gestión de la seguridad y control de sus datos, habida cuenta que habrá muchos interesados en tener acceso a ellos, algunos con fines legítimos y otros llevados por sus actividades ilegales.

Bien anota Goodman (2015, p.99) que “mientras mayor producción y almacenamiento de datos tengamos, mayor será el interés del crimen organizado para consumirlos”, lo que supone cuestionar el imaginario de las personas y sus supuestos sobre el tratamiento de la información vigentes a la fecha, para motivar una nueva revisión de las prácticas de seguridad y control vigentes y, plantear la necesidad inaplazable de contar con procesos estándares que aseguren una adecuada gestión de la inevitabilidad de la falla.

En este entendido, los incidentes se consolidan como la norma en la gestión y gobierno de la seguridad de la información, como fuente de aprendizaje y consolidación de procedimientos unificados que permitan no solo aumentar la capacidad de preparación de una organización ante eventos inesperados, sino fortalecer los fundamentos de la preparación técnico-jurídica que dé cuenta de los requisitos legales frente a la incorporación de la evidencia digital en un juicio.

Así las cosas, los analistas forenses informáticos, testigos y custodios de la evidencia digital en el contexto de las investigaciones que se derivan de los incidentes, deben estar atentos para incrementar su capacidad de aprendizaje, como quiera que, ya no son solamente los artefactos tecnológicos individuales los que serán objeto de sus actividades, sino un ecosistema tecnológico o digital (Cano 2015, cap.7) articulado y dinámico, donde la evidencia digital es una parte de la realidad que debe ser estudiada y analizada para dar respuesta a los interrogantes que se plantean en la investigación.

Por tanto, este documento tratará de confrontar las prácticas actuales de la informática forense frente a la dinámica de un ecosistema digital, para lo cual consultará algunos de los estándares disponibles a la fecha asociados con las investigaciones forenses informáticas y sus alcances, como fundamento de las reflexiones que se plantean alrededor de la renovación de las prácticas en estos temas.

Las prácticas actuales de la informática forense y sus tensiones

Desde los años 70s hasta entrado el año 2000 hemos venido asistiendo a un fortalecimiento de las prácticas propias de la informática forense. Esto es, una serie de procedimientos “casi” estandarizados y generalizados entre los practicantes y especialistas en esta temática, que han hecho carrera tanto a nivel corporativo, como en los estrados judiciales de diferentes latitudes.

No es raro escuchar hablar de técnicas de captura, recolección y aseguramiento de evidencia digital, el uso de funciones “hash” para mantener la integridad y el control de aquello que se ha recolectado, así como el uso de programas especializados para adelantar el análisis de la información recolectada, que permita la caracterización de los archivos disponibles en las copias idénticas de los medios de almacenamiento identificados y analizados.

Sin perjuicio de lo anterior, cambios acelerados en el entorno tecnológico generan tensiones importantes en las prácticas previamente comentadas, como quiera que los fundamentos del control de la evidencia, basados en la idoneidad del profesional que adelanta la pericia, su conocimiento del entorno de operación, las medidas de protección que eviten la contaminación de la evidencia, así como el congelamiento de la escena de los hechos, cada vez más son menos confiables en un escenario donde participan plataformas, proveedores, prácticas individuales y perfiles de individuos interactuando con servicios y contenidos (Cano 2015, cap.7)

Los profesionales de la informática forense, frente a esta situación, han venido abordando cada una de los retos de este ecosistema de manera individual, generando posturas particulares (y parciales) para abordar realidades como las redes sociales, la computación móvil, la computación en la nube y la correlación de eventos en infraestructuras de tecnología de información. En este entendido, se advierte una especialización y segmentación de prácticas frente a la evidencia digital que demanda revisión de escenarios de aprendizaje (Chermack 2011, p.84), para aprender cómo se comporta el ambiente exterior y lo que ello significa tanto para su práctica como para la administración de justicia.

Frente a esta situación, se sugiere una transformación de la informática forense en sí misma, esto es, una mirada crítica a la misma epistemología desde donde ella conoce y desarrolla sus actividades. Lo anterior implica superar los fundamentos positivistas, útiles y prácticos en las investigaciones de elementos estáticos de la realidad (computadores, discos duros, tráfico de redes conocidas y limitadas, usuarios conocidos), para motivar un cambio hacia una vista de la realidad desde los sistemas complejos (García, 2013), donde la dinámica del sistema y sus componentes es la norma, y donde la escena de los hechos, se concibe como una interrelación de componentes en operación que revela la realidad de lo que ocurre, ahora en constante movimiento.

Lo anterior, demanda desarrollar la capacidad para analizar las relaciones propias del entorno y las propiedades emergentes que se pueden manifestar. Es decir, ser un observador calificado de la realidad, lo que supone elevar la habilidad para conectar “los puntos” y descubrir opciones y posibilidades que revelen las tendencias no observables, allí donde la tiniebla de lo aparente confunde y desorienta.

La respuesta de las normas ISO frente a la evidencia digital

Con un panorama de provocación digital, donde se advierten problemáticas nacionales articuladas desde intereses internacionales, como pueden ser los ataques informáticos, el acceso a información clasificada, infiltración de sistemas gubernamentales y desinformación (Schmidt y Cohen 2014, p.103; Kaplan, Bailey, O’Halloran, Marcus y Rezek 2015, p.15), la informática forense no puede quedarse rezagada frente a las exigencias cada vez más notorias de respuestas, frente a hechos que no solamente afectan personas, sino naciones enteras y sus intereses.

Si entendemos que la criminalidad evoluciona y avanza al mismo ritmo que las novedades tecnológicas, estamos ante una realidad que exige conocimiento, apropiación y práctica en la dinámica de los ecosistemas digitales, donde existen múltiples posibilidades para los atacantes, las cuales pueden configurar armas estratégicas que generen acciones de alto impacto, personalizadas y anónimas. Si esto es cierto, no solo se debe revisar los procedimientos estándares para adelantar las investigaciones, sino incorporar destrezas y simulaciones de contextos interconectados para ver posibles escenarios y condiciones donde ocurren los hechos y así construir la “teoría del caso”.

En razón a lo anterior, la organización internacional de estándares (ISO – International Standard Organization) ha venido articulando una serie de propuestas para responder a las necesidades de la informática forense de contar con prácticas referentes de alcance internacional, que permitan asegurar que las actividades se hacen de manera equivalente en las diferentes investigaciones forenses informáticas.

Figura 1 - Aplicabilidad de los estándares a las clases del proceso de investigación y sus actividades. (Adaptado de: ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence. P. vii)

Si se observa con cuidado la figura 1, se advierten una serie de estándares que están relacionados con la temática del tratamiento del incidente, tribuna desde donde se incorporan las prácticas relacionadas con la informática forense, particularmente las relativas a la gestión de la evidencia digital.

La investigación forense informática desde las normas ISO

Sin perjuicio de que todos los estándares mencionados suman en el entendimiento y control del incidente, el ISO 27037 (ISO, 2012), el ISO 27040 (ISO, 2015) y el ISO 27042 (ISO, 2015b) son los que articulan las prácticas de la informática forense, relacionados con las actividades de identificación, recolección, adquisición, preservación, análisis, interpretación y reporte, propias de los analistas y líderes de investigaciones informáticas.

Si bien en este aparte no se revisarán los detalles del ISO 27037, que previamente han sido analizados por Cano (2013), se concentrarán los esfuerzos en la comprensión del ISO 27040, relacionado con el almacenamiento seguro y el ISO 27042, relativo al análisis, interpretación y reporte de la evidencia digital.

El ISO 27040 – Almacenamiento seguro (ISO, 2015)

El ISO 27040 (ISO, 2015) presenta guías y recomendaciones para contar con un almacenamiento seguro. Es un estándar que entra en profundidad en los riesgos, mejores prácticas para la protección del almacenamiento y provee bases para la auditoría, diseño y revisión de controles de seguridad en el almacenamiento. Es este sentido, es un documento que entiende que el almacenamiento se ha convertido en una capa independiente y prominente para las empresas, cuyos requerimientos frecuentemente exceden simplemente las capacidades de registro de información.

Este estándar advierte de algunas brechas de seguridad que afectan el almacenamiento, los cuales establecen una ruta de diseño y aseguramiento de estrategias de guardado de información, que implican controles físico, técnicos y administrativos, así como contramedidas preventivas, detectivas y correctivas asociadas con los sistemas de almacenamiento como son configuraciones en cluster, en espejo, con sistemas de archivo distribuidos, backups, entre otras.  

Si bien este estándar introduce tecnologías recientes de almacenamiento, no detalla los aspectos relevantes para la informática forense en términos de las posibilidades de recuperación y dinámica de la evidencia digital en las mismas. De otra parte, presenta principios de diseño de almacenamiento seguro como son la defensa en profundidad (acciones basadas en personas, procesos y tecnología), dominios de seguridad (separación de recursos de acuerdo con su nivel de sensibilidad), diseño de resiliencia (eliminación de puntos únicos de falla y maximización de la disponibilidad) e inicialización segura (secuencia de transición desde el estado “caído” a activo, luego de una falla o reinicio de los medios de almacenamiento) (ISO, 2015).

El ISO 27042 – Guías para el análisis e interpretación de la evidencia digital (ISO, 2015b)

El estándar provee información sobre cómo adelantar un análisis e interpretación de la evidencia digital potencial en un incidente con el fin de identificar y evaluar aquella que se puede utilizar para ayudar a su comprensión.

De igual forma, provee un marco común para el análisis e interpretación de la gestión de incidentes de seguridad en sistemas de información, que puede ser utilizado para la implementación de nuevos métodos y proporcionar un estándar mínimo y común para la evidencia digital que se produce a partir de dichas actividades.

Por otra parte, el estándar introduce una serie de definiciones (traducciones libres del autor) que son relevantes para el ejercicio de la informática forense, desde la práctica de ISO y que están tomados de la práctica misma, que aclaran entendimientos dispersos en la literatura y en las buenas prácticas hasta la fecha referenciadas.

Evidencia digital potencial: Información o datos, almacenados o transmitidos en formato binario que no han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital: Información o datos, almacenados o transmitidos en formato binario que han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital legal: Es la evidencia digital que ha sido aceptada en un proceso judicial. (En términos jurídicos es lo que se llama prueba)

Investigación: Aplicación de exámenes, análisis e interpretaciones para entender un incidente.

Examen: Conjunto de procesos aplicados para identificar y recuperar evidencia digital potencial relevante de uno o más fuentes.

Análisis: Evaluación de la evidencia digital potencial con el fin de valorar su relevancia para una investigación, así como los significados de los artefactos digitales latentes en su forma nativa.

Interpretación: Síntesis de una explicación, dentro de los límites acordados, para los hechos revisados acerca de la evidencia resultante de un conjunto de exámenes y análisis que componen la investigación.

De igual forma el estándar habla sobre los modelos analíticos que pueden ser usados por los analistas forenses en informática, los cuales recaban sobre sistemas estáticos o en vivo.

El análisis estático, es un examen de evidencia digital potencial, por inspección exclusivamente, con el fin de determinar su valor como evidencia digital (p.e identificación de artefactos, construir líneas de tiempo, revisión de contenidos de archivo y datos borrados, etc.). Se inspecciona en formato crudo y se interpreta a través del uso de procesos apropiados (visores adecuados), sin ejecutar programas que afecten la evidencia digital potencial.

El análisis en vivo, es un examen de evidencia digital potencial en sistemas en vivo o activos. Particularmente  útil en sistemas de mensajería instantánea, teléfono inteligentes/tabletas, intrusiones en redes, redes complejas, dispositivos de almacenamiento cifrado o código polimórfico sospechoso.

Existen dos formas de adelantar el análisis en vivo:

o Análisis en vivo de sistemas que no pueden ser copiados o no se puede capturar la imagen.

§ Este ejercicio tiene un riesgo significativo de perder evidencia digital potencial cuando se intenta copiarlo o hacerle una imagen. Es clave  tener importantes cuidados para minimizar el riesgo de daño de la evidencia digital potencial y asegurar que se tiene un registro completo de todos los procesos ejecutados.

o Análisis en vivo de sistemas que pueden ser copiados o se puede capturar la imagen.

§ Apropiado o necesario examinar el sistema directamente interactuando u observándolo en su operación. Esto es tener cuidado para emular el hardware o software del entorno original tan cercano como sea posible, usando máquinas virtuales verificadas, copias del hardware original o mejor aún el tipo de hardware original, con el fin de permitir un análisis más cercano al real.

Por otra parte, detalla las indicaciones de lo que debe contener el reporte resultado de la pericia adelantada, siempre y cuando no exista alguna indicación jurídica o legal previamente expuesta sobre este tipo de investigaciones realizadas. Las recomendaciones ofrecidas indican que el informe debe contener como mínimo: (ISO, 2015b)

  • Calificaciones de autor o las competencias para participar en la investigación y producir el informe.
  • La información provista al equipo de investigación antes de iniciar la investigación (naturaleza del información que se va a desarrollar.
  • La naturaleza del incidentes bajo investigación.
  • Tiempo y duración del incidente.
  • Ubicación del incidente.
  • Objetivo de la investigación.
  • Miembros del equipo de investigación, sus roles y actuaciones.
  • Tiempo y duración de la investigación.
  • Localización de la investigación.
  • Hechos concretos soportados por evidencia digital hallados durante la investigación.
  • Cualquier daño a la evidencia digital potencial que se pueda haber observado durante la investigación y sus impactos en los siguientes pasos del proceso.
  • Limitaciones de cualquiera de los análisis realizados.
  • Listado de procesos utilizados, incluyendo donde sea apropiado, cualquier herramienta usada.
  • Interpretación de la evidencia digital por parte de investigador.
  • Conclusiones.
  • Recomendaciones para futuras investigaciones o acciones de remediación.

Finalmente se insiste, en que las opiniones del investigador se deben separar claramente de los hechos. Las opiniones deben ser debidamente justificadas y asistidas de la formalidad científica que le corresponde y no deben estar asociadas con juicios de valor mal fundados o impresiones de sus análisis.

El estándar ISO 27042, concluye con algunas indicaciones sobre la competencia de los analistas forenses, entendidas como un “saber hacer” especializado, las cuales hablan sobre la formación, mantenimiento y aseguramiento de las habilidades requeridas para ejecutar las actividades propias de la gestión de la evidencia digital. A continuación se presentan algunas declaraciones efectuadas en el documento sobre este tema:

  • La competencia se define como la habilidad para aplicar conocimiento y habilidades para lograr un resultado previsto.
  • Una persona no competente en una investigación puede afectar de manera contraria los resultados de una investigación, resultando en demoras para terminar la misma o llevando a conclusiones incorrectas.
  • La competencia debe ser medida frente a un conjunto de habilidades identificadas para el proceso concreto que se lleva en la investigación y que se le asigna a cada persona que participa en ella. Debe existir evidencia objetiva de la experiencia y calificación de la persona. Esta puede tomar la forma de: pruebas formales de competencias, certificaciones, grados académicos, historia laboral, evidencia de participación activa en “programas de educación continua” como asistencia a conferencias, cursos de entrenamiento o desarrollo de nuevas herramientas, métodos, técnicas, procesos o estándares.
  • La competencia de la persona debe ser revisada de manera periódica, en intervalos regulares, para asegurar que los registros de las personas respecto de su competencia son exactos. La revisión debe tomar en consideración nuevas áreas y niveles de competencia las cuales han sido logradas y debería incluso ser retiradas, si ya no resultan relevantes para una persona en particular, como quiera que dichas habilidades y conocimientos no tendrán oportunidad de practicarse suficientemente.
  • Un equipo de investigación competente será considerado que tiene dominio o pericia comprobada, cuando al analizar evidencia digital potencial, sus análisis producen resultados equivalentes a aquellos generados por otro equipo de investigaciones usando análisis similares.
  • El dominio o pericia comprobada, se debe validar por parte de terceros independientes. De no poderse hacer, se deberá consultar equipos de investigación para establecer esquemas de validación para sus propias necesidades. Estos esquemas deben ser sometidos a revisión independiente, para verificar si son apropiados.

Reflexiones finales

La evidencia digital cada vez más toma formas inesperadas en dispositivos o artefactos tecnológicos que desafían los procedimientos actuales y las prácticas estándares representadas por las normas ISO. Si bien, los analistas forenses informáticos tratan de nutrir el conocimiento de la tecnología y su forma de operar, para dar cuenta de la evidencia en ella, la complejidad que exhibe el ecosistema digital donde se encuentra supera los análisis a la fecha efectuados sobre realidades estáticas y conocidas.

Las iniciativas de ISO para estandarizar la investigación forense informática establecen un punto de referencia concreto que procura una vista homogénea de la práctica general de la informática forense, revisada desde la gestión de los incidentes. Sin embargo, las recomendaciones, por demás valiosas y alineadas con la práctica actual, se quedan cortas para modelar o enfrentar una investigación sobre ecosistemas digitales, donde se advierten servicios, contenidos y flujos de información que revelan realidades más allá de las que se pueden identificar en los artefactos tecnológicos individuales.

Así mismo, el nivel de especialidad que deben desarrollar los informáticos forenses demanda un estudio permanente del contexto tecnológico, habida cuenta que la evidencia digital, de acuerdo con la configuración y diseño del dispositivo, se encuentra dentro o fuera del mismo y es menester del analista forense comprender este flujo para tratar de asegurar su adecuado tratamiento, aún el sistema sea estático o dinámico, esté encendido o apagado.

Las competencias de los analistas forenses en informática tienen un capítulo especial ahora en una realidad digital y dinámica de las organizaciones y las personas. No es posible mantener o vincular personal a las investigaciones forenses que no tenga un nivel de dominio base de los procedimientos, herramientas y prácticas establecidas y sin que cuente con una formación mínima en aspectos jurídicos de la evidencia digital, que le permita mantener los cuidados tanto técnicos como legales para desarrollar el trabajo y asegurar el reporte final.

En síntesis, el aprendizaje y desaprendizaje permanente es y debe ser la prioridad de la informática forense en estos tiempos de cambios y realidades emergentes, con el fin de ver la incertidumbre estructural del entorno, para repensar su forma de actuar frente a las conductas contrarias a la ley y frente a los hechos, que ahora no sólo están representados en condiciones propias de dispositivos individuales o corporativos, sino que representan una realidad extendida de una empresa en un ecosistema digital, abierto y en constante movimiento.

Referencias

Cano, J. (2013) Reflexiones sobre la norma ISO/IEC 27037:2012. Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com/2013/09/reflexiones-sobre-la-norma-isoiec.html. 15 de septiembre.

Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega.

Chermack, T. (2011) Scenario planning in organizations. How to create, use, and assess scenarios. San Francisco, USA:Berrett-Koehler Publishers.

García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación interdisciplinaria. Barcelona, España: Gedisa Editorial.

Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.

ISO (2012) Information technology – security techniques – Guidelines for identification, collection, acquisition, and preservation of digital evidence. ISO/IEC 27037. Octubre 15.

ISO (2015) Information technology – security techniques – Storage Security. ISO/IEC 27040. Enero 15.

ISO (2015b) Information technology – security techniques – Guidelines for the analysis and interpretation of digital evidence. ISO/IEC 27042. Junio 15.

Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.