viernes, 30 de septiembre de 2016

¿Qué sabe Facebook de mí y mis contactos? Listado completo

 
que-datos-tiene-facebook-sobre-mi
 
Facebook (igual que Google – 2 maneras de saber qué sabe Google de mí) quiere conocernos bien para saber qué nos gusta y qué no para ofrecernos anuncios  relevantes e interesantes (su principal fuente de ingresos).
 
Aunque no nos demos cuenta, los continuos rediseños de la popular plataforma social están orientados a destacar unos apartados y dejar en segundo plano otros siempre pensando en sus intereses y en que facilitemos datos sobre nosotros, actividad, aficiones y gustos, que, afortunadamente, podemos fácilmente consultar tal y como se describe en este artículo paso a paso.
Incluyo también un listado punto por punto de toda la información que tienen y su explicación. La verdad es que da miedo. Personalmente me ha sorprendido todo lo que almacenan y reconocen tener en nuestros perfiles e incluso el listado de temas de interés generado por Facebook que creen que encajan con nuestra personalidad (que también se puede consultar). No me esperaba tanta información, la verdad.

De vez en cuando, Facebook se acuerda de que no hemos rellenado algunos apartados como dónde hemos estudiado, dónde vivimos, trabajamos o si hemos visto (y nos gusta) una cierta película, grupo musical, libro, equipo de fútbol, etc. y directamente nos lo pregunta, siendo, muchas veces, un poco “pesadito”:
 
Facebook me pregunta por mis intereses y gustos

Facebook me pregunta por mis intereses y gustos (se nota que no sabe que no me gusta el fútbol)
 
Todos estos datos van a parar a sus enormes bases de datos y es posible consultar una buena parte de esta información que tienen sobre nosotros (no me atrevo a decir que sea toda) muy fácilmente.
 
En mi caso lo he hecho y, la verdad,  me he quedado sorprendido (incluso asustado y un poco indignado) de todo lo que tienen (no me imaginaba tanto) y que además reconocen tener. Además de lo obvio como las fotos, vídeos, comentarios, mensajes y posts, también tiene algunos otros datos como las IPs desde las que me conecto, inicios y cierres de sesión, en qué anuncios he hecho clic, cuáles creen que son mis intereses (en mi caso presentan una lista de más de 300 temas) y una extensa lista de mis contactos con mail y teléfono fijo y móvil.

Cómo consultar la información que tiene Facebook sobre mí (perfil)

Para saberlo, hay que descargarla y visualizarla. Es muy fácil:
Hay que ir a “Configuración” en la flechita que se encuentra en la esquina superior derecha > Configuración (el enlace directo es https://www.facebook.com/settings).
En la parte inferior aparece un enlace: “Descarga una copia de tu información”. Si se accede a ese apartado, aparece un asistente que va guiando el proceso y solo solicita que se introduzca la contraseña de la cuenta de Facebook por seguridad.
 
Crear archivo - Descarga tu información de Facebook

Crear archivo – Descarga tu información de Facebook
Al terminar el proceso, informa que se está preparando el archivo y que enviará un correo electrónico cuando esté disponible. Esta es la notificación recibida tras apenas 5 minutos:
 
Descargar datos de Facebook

Descargar datos de Facebook
En mi caso el fichero, en formato zip, ocupa casi 24 MB.
 
Descarga tu información de Facebook

Descarga tu información de Facebook
Fichero con todos los datos de Facebook
Fichero con todos los datos de
Facebook
 
Una vez descomprimido en el ordenador, se obtiene un fichero llamado index.htm y tres carpetas: html, photos y videos. En cada una de ellas se encuentran los diferentes contenidos pero está todo estructurado y organizado como una página web que se puede visualizar sin conexión a Internet abriendo el archivo index.htm con un navegador.
 
Contenido de la carpeta una vez descargado el fichero de Facebook con todos los datos
Contenido de la carpeta una vez descargado el fichero de Facebook con todos los datos

¿Qué datos tiene Facebook sobre mí y mis contactos? Listado completo

Los apartados existentes son:
  • Perfil: en este apartado figura el nombre, apellidos, estudios, fecha de alta en Facebook (en mi caso en mayo de 2008), situación sentimental, idiomas, intereses, gustos musicales, libros, películas y series de TV favoritas, otros intereses (listado de todas las fanpages que se siguen), restaurantes favoritos, ropa, sitios web preferidos, grupos en los que se interactúa en Facebook, aplicaciones autorizadas y las que se administra así como un listado de todas las páginas de Facebook que están bajo el control del perfil. Casi nada…
Perfil de Facebook en el fichero descargado

Perfil de Facebook en el fichero descargado
Pero eso no es todo sino solo el principio:
  • Información de contacto: en este apartado, que, sinceramente, me ha dejado helado, aparece mi dirección de correo electrónico y mi número de teléfono junto con una libreta de direcciones. En este listado (de casi 350 entradas) figuran direcciones de mail y números de teléfono fijo y móvil de muchos de mis contactos. Nunca he autorizado a Facebook a acceder a la agenda del smartphone y sospecho que muchos datos pueden provenir de una antigua cuenta de Hotmail ya que hace unos años para probar, autoricé al desaparecido MSN Messenger a acceder a mi perfil de Facebook. Está visto que las guardó todas.
  • Muro: en este apartado se lista la actividad del muro: se ha compartido un enlace, le gusta una fanpage, es amigo de… Etc. Desde el primer momento hasta el día de hoy, aunque no podría asegurar que en mi caso no falte nada.
  • Fotos: en el fichero están todas las fotos descargadas organizadas por álbumes (fotos subidas con el móvil, de Instagram, del perfil, etc.), que, a su vez, se pueden visualizar en el ordenador.
Fotos subidas a Facebook en el fichero descargado
Fotos subidas a Facebook en el fichero descargado
  • En cada una de las fotos aparecen también los comentarios generados. A pesar de que en teoría y según mi estudio ¿Qué redes sociales borran los datos personales de nuestras fotos cuando las subimos?, Facebook borra los metadatos de las fotos cuando se publican, en la descarga de los datos incluye la dirección IP desde la que se subieron y también con qué dispositivo fueron tomadas (un iPhone 5S en el caso de la imagen) y también coordenadas de longitud y latitud junto con otros parámetros como fecha de la captura, exposición, orientación, etc… No debería ser un problema, ya que la foto está en la descarga y solo la tengo yo –en la web supuestamente no tiene metadatos-, pero está claro que Facebook lo guarda todo y que conviene subir las fotos sin geoetiquetar o eliminar la información de ubicación previamente Cuidado con la información oculta sobre nosotros en las fotos que publicamos.
Detalle de una foto de la galería. Aparece la información de dónde fue tomada (en la playa de Samil en Vigo)
Detalle de una foto de la galería. Aparece la información de dónde fue tomada (en la playa de Samil en Vigo) e IP de subida
  • Vídeos: en la descarga se incluyen también todos los vídeos subidos a Facebook, junto con la IP desde la que se subieron, fecha de la captura y los comentarios generados.
  • Amigos: en este apartado figura el listado completo de amigos (nombres y apellidos y en algún caso mail), la lista de solicitudes de amistad enviadas y no contestadas (esos amigos que aún no han aceptado), las solicitudes de amistad pendientes de contestar, aquellos perfiles que hemos eliminado como amigos (si es que los hay) y la lista completa de suscriptores a nuestro perfil.
  • Mensajes: mensajes intercambiados de manera privada con nuestros amigos, incluyendo los grupos.
  • Toques (pokes): listado de toques con otras cuentas, aunque personalmente creo que faltan algunos en mi caso.
  • Eventos: listado de eventos relacionados con el perfil de Facebook en cuestión.
Eventos en Facebook
Eventos en Facebook
  • Configuración: en este apartado se detallan cómo están ciertos ajustes de la cuenta:
    • Idioma y divisa empleados
    • Cómo están configuradas las notificaciones
    • Cómo está configurada la privacidad de la cuenta
    • Relación de perfiles y de páginas que se han ocultado de la sección de noticias (es decir, qué páginas y perfiles hemos silenciado para que no aparezcan sus actualizaciones).
    • Seguridad: en este punto informa de diferentes datos referentes a la cuenta desde el punto de vista de la seguridad:
      • Sesiones activas. En mi caso tengo activada por seguridad (para evitar que me roben la cuenta o accesos no autorizados) la verificación en dos pasos. En este apartado indican qué sesiones están activas, desde qué dispositivos, qué IP tienen, etc.
    Sesiones activas en Facebook
    Sesiones activas en Facebook
    • Información sobre la actividad de la cuenta: inicios, cierres y actualizaciones de sesión.
    • Recognized machines: máquinas conocidas desde las que se accede de manera habitual al perfil de Twitter (incluye navegador e IP del dispositivo).
    • Logins y logouts: indica cuándo se entra y sale de Facebook. En mi caso vienen hasta marzo de este año, por lo que supongo que no son ni mucho menos todos.
    • Login protection data: parece información sobre la cookie que controla el inicio de sesión con fechas de creación y de actualización.
    • Direcciones IP: listado de direcciones IP desde las que se ha accedido a la cuenta a lo largo del tiempo (es una lista bastante larga).
    • Información de autenticación de la cookie Datr: accesos y modificaciones a las cookies de autenticación.
    • Registros administrativos: notificaciones sobre cambios de nombre, contraseña, etc. relacionados con la cuenta incluyendo como siempre fecha, hora y dirección IP.
    • Anuncios: Este apartado me ha recordado mucho a la información que recopila Google sobre nuestros gustos, ya que recoge el (en mi caso) enorme listado (325) de temas de los anuncios (Ads topics) que creen que encajan conmigo.
    Ads topics en el fichero descargado de Facebook
    Ads topics en el fichero descargado de Facebook
    • Se supone que son los temas que Facebook, tras analizar mi perfil, considera que me interesan. Por supuesto en algunos acierta pero en otros ni de lejos. También tiene un apartado de Historial de anuncios donde indica cuándo y en qué anuncios se ha hecho clic. Es curioso pero no me consta haber visitado algunos de ellos.
    Historial de anuncios en los que he hecho clic
    Historial de anuncios en los que he hecho clic
     

CatchApp, una herramienta capaz de descifrar los mensajes de WhatsApp

 

WhatsApp es el cliente de mensajería más utilizado en todo el mundo con más de mil millones de usuarios en todo el mundo. A través de este cliente de mensajería solemos enviar prácticamente cualquier tipo de información con una supuesta privacidad de manera que las comunicaciones queden totalmente privadas de extremo a extremo, especialmente tras la implementación del cifrado actual. Sin embargo, es posible que la plataforma no sea tan segura como pensamos y sí sea posible descifrar los mensajes de WhatsApp gracias a una herramienta hacking creada por Wintego: CatchApp.
CatchApp es una aplicación desarrollada por la empresa israelí Wintego con el fin de ser capaz de capturar y descifrar los mensajes de WhatsApp sin que la víctima sea consciente de ello. Esto es posible gracias a que esta herramienta cuenta crea un punto de acceso Wi-Fi falso y recopila todo el tráfico que viaja a través de él.
Además, todo lo necesario para utilizar esta herramienta es capaz de ocultarse perfectamente en una mochila, por lo que permite situarse a tan solo unos metros de la víctima para interceptar y descifrar los mensajes de WhatsApp que envía y recibe.
 
CatchApp - Plataforma para descifrar los mensajes de WhatsApp

CatchApp captura el tráfico y es capaz de descifrar los mensajes de WhatsApp gracias a un ataque MITM

Aunque no se conocen muchos datos sobre el funcionamiento interno de esta herramienta, a grandes rasgos, la herramienta se encarga de interceptar el tráfico que genera WhatsApp mediante un ataque “man-in-the-middle” (MITM) y, una vez en el medio de la comunicación, consigue descifrar, prácticamente en tiempo real, las conversaciones que se envían y reciben a través de dicha herramienta.
Aunque en teoría con el actual algoritmo de cifrado de WhatsApp esto no debería ser posible, la revista Forbes asegura que la herramienta es capaz de descifrar los mensajes de WhatsApp tanto en Android como en iOS, incluso con las versiones más recientes del cliente de mensajería.
CatchApp es tan solo una herramienta del completo kit de herramientas hacking de Wintego, llamado WINT. Mientras que esta está especialmente desarrollada para los mensajes de WhatsApp, gracias a las otras herramientas de WINT es posible recopilar prácticamente cualquier tipo de contenido del sistema de la víctima, por ejemplo, los correos electrónicos, otros chats de otras aplicaciones, perfiles de las redes sociales, calendarios, fotografías y mucho más gracias a que, en silencio, consigue los credenciales de acceso de las diferentes cuentas, inicia sesión en ellas y descarga el contenido para el atacante.
WINT - Plataforma de espionaje hacking
 
Si estamos pensando en comprar esta herramienta de hacking, debemos saber que no está a la venta. Los creadores no han dado ninguna pista sobre el producto final, sobre el precio y sobre el público hacia el que estará enfocado, pero lo más seguro es que no será una herramienta que pueda estar al alcance de cualquiera, sino que más bien estará enfocada para organizaciones como la NSA, el FBI o cualquier miembro de policía del mundo.
 
 

jueves, 29 de septiembre de 2016

Repositorio de herramientas forenses

Cuando uno piensa en informática forense siempre tiene en mente el proceso o procedimientos a ejecutar como tambien el usar alguna herramienta que permita automatizar como se dice una de boton gordo, e incluso a veces necesitamos tener una especifica por tarea como ser obtencion de memoria RAM, análisis de registro, analisis esteganográfico y más como saben esto es un tema de nunca acabar por la cantidad de ramas y puntos a analizar.
 


 En el enlace que comparto donde se tiene un repositorio bastante extenso de herramientas forenses, con el cual se tiene lo necesario para ir aprendiendo poniendo en practica en pruebas y retos de esta tematica o bien en el ambiente laboral de ser necesario recurrir a una de estas herramientas, que se encuentran centralizadas por DFIR-Training.

Fuente: Sniferl4bs
 

Cibercrimen representó 288 mil millones de US$ en ganancias ilegales para los delincuentes en 2015: UNAM

La UNAM explicó que la mayoría de las personas sacan cuentas de correo electrónicas y accede desde diversos dispositivos sin tomar precauciones lo que ocasiona el robo de identidad.


El robo de identidad es la principal pieza del cibercrimen, por el impacto que tiene en las personas, las organizaciones, los sistemas y los servicios, afirmaron especialistas de la UNAM.

Este delito “explota las debilidades del usuario en el cuidado de la información”, explicó Fabián Romo Zamudio, director de Sistemas y Servicios Institucionales de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC). La mayoría saca cuentas de correo electrónico y accede desde diversos dispositivos sin las debidas precauciones.

A escala global, expuso, 36% de las empresas reporta que se han visto afectadas por este delito, lo cual implica un riesgo enorme en materia de seguridad.

En el último año el cibercrimen ha crecido en más de 37%. En todas sus variantes ya abarca una tercera parte de la totalidad de los delitos de afectación económica en el mundo, sólo detrás del daño financiero por robo de propiedades, bienes o activos, y de las actividades relacionadas con la corrupción, el fraude y el lavado de dinero.

De los 15 países con mayores problemas en materia de la aplicación de la ley contra el ciberdelito, México se ubica en el octavo lugar, agregó Fabián Romo en conferencia de medios realizada en el Edificio Mario Molina de la Facultad de Química (FQ).

En 2015, el cibercrimen representó 288 mil millones de dólares en ganancias para los delincuentes. Las áreas financiera, gubernamental, ventas al menudeo y transportes son, ese orden, las más afectadas.

El problema de la seguridad de los datos comienza por los individuos, sostuvo el universitario. Así, se deben instrumentar procedimientos básicos como no confiar en nadie; cambiar las contraseñas en cuentas de correo electrónico y sistemas bancarios; no compartir datos (todo lo que se publica en Internet es potencialmente público); verificar la validez de sitios y servicios que se visitan en la red; hacer conexiones seguras y no creerlo todo.

Al respecto, indicó que 90% de los casos de robo de identidad se relacionan con gente que recibe un correo electrónico en donde se le pide actualizar sus datos y contraseña. En México no hay estadísticas específicas, pero se calcula que 80% de la población económicamente activa en Internet ha sido atacada en su identidad.

En su oportunidad, Alejandra Morán Espinosa, de la Facultad de Estudios Superiores (FES) Acatlán, mencionó que la semana pasada México ocupó el sexto lugar mundial de ataques cibernéticos en tiempo real. Pero en la deep web o red oscura, el fenómeno es 30 veces mayor.

Los investigadores precisaron que en la UNAM, desde hace más de 25 años se estableció un grupo de expertos en seguridad informática, el más especializado en el país, denominado UNAM-CERT; y en la FES Acatlán existe un proyecto de investigación sobre derecho informático.

Ver informsción original al repecto en Fuente:
http://www.noticiasmvs.com/#!/noticias/ ... 5-unam-333
http://www.zonavirus.com/
 

miércoles, 28 de septiembre de 2016

El uso inadecuado de Twitter puede derivar en ciberacoso

Las acciones desafortunadas a la hora de escribir un tuit, conocidas como tuitidios, derivan en ocasiones en acoso sistemático y convierten a quienes escriben el mensaje en víctimas. Es muy importante concienciar a niñas, niños y adolescentes sobre la importancia de utilizar correctamente esta red social para evitar así los casos de ciberbullying detectados en los últimos años.
 
 
Cada vez son más habituales los casos de personas famosas o de firmas comerciales que saltan a primera línea de los informativos por un mal uso de sus cuentas Twitter. Una indiscreción, un error ortográfico, una metedura de pata, una foto inapropiada…  acciones desafortunadas a la hora de mandar un mensaje que una vez que se publican ya no hay marcha atrás. Se expanden a través de la red a velocidad de vértigo y se convierten en fenómenos virales.

Meteduras de pata que se conoce como tuitidios y que se recogen en la página web tuitidio.com, donde encontramos cientos de ejemplos de mensajes que hicieron pasar un mal trago a quienes escribieron los mensajes. La mayoría de ellos no dejan de ser simples anécdotas que hay que tomarse con un humor, aunque también se han dado situaciones muy polémicas. Algunos ejemplos:
 
La Agencia EFE fue noticia por equivocarse de hashtag con el nombre de Rajoy.
 
Agencia EFE- Tuitidio- etiqueta- rajoy- hashtag
 
Chicharito Hernández, jugador del Real Madrid, descubrió que no poner bien una tilde puede cambiarlo todo.
 
chicharito-mensaje-twitter-tuitidio-polémica-tuitidio
 
Uno de los tuitidios más polémicos corrió a cargo de Crunch México, que bromeó sobre la desaparición de los 43 estudiantes de Ayotzinapa. Una ocurrencia que le valió miles de críticas. Noticia aquí:
 
crunch-mexico-twitter-ayotzinapa-tuitido

¿Puede un mal uso de twitter derivar en ciberacoso?

En ocasiones las consecuencias de cometer un tuitidio son más graves de lo que cabía esperar. Hemos visto casos de personas que tras escribir un tuit han sido despedidas por criticar su trabajo, llevadas ante la justicia, insultadas sin descanso o acosadas de manera injustificada.
 
Como vemos, una equivocación o mal uso de la red social puede derivar en un acoso sistemático, de ahí que sea muy importante concienciar a niñas, niños y adolescentes sobre la importancia de utilizar correctamente la herramienta. Twitter no precisa contacto previo y al contrario que Whatsapp, tampoco número de teléfono. Es rápido de instalar y utilizar, sencillo, gratuito, no pide datos personales ni revela relaciones, permite compartir fotos y vídeos, tiene integración con otras redes sociales y no abusa de publicidad invasiva, lo cual se traduce en múltiples ventajas y oportunidades abrazadas por chicos y chicas.
 
En su origen, esta red social comenzó a cuajar como canal de información, pero las y los adolescentes en seguida se dieron cuenta de que sirve incluso para participar en conversaciones y foros mediante el uso de hashtags. También ven quién lo utiliza en la prensa rosa, en los programas de deportes, en publicidad… Y a partir de ahí ellos comienzan a usar la herramienta para comunicar en 140 caracteres, de forma abierta o a un grupo limitado.
 
Sin embargo, un uso inadecuado puede acabar pasando factura y son muchos los casos de ciberbullying detectados en los últimos años. Gran parte del problema de la adolescencia en Twitter tiene su origen en tres causas:
  • Escriben como si fuera el muro de su red social cerrada: no perciben al resto de la audiencia y sus posibles relaciones.
  • Desconocen las consecuencias legales de sus acciones.
  • La inmediatez: como mucho 140 caracteres, a lo sumo 30 segundos, aquí y ahora… ¡y listo! En ocasiones es un descuido, pero casi siempre es la pura imprudencia y por desgracia, en otras ocasiones, la mala fe, ya que es una forma sencillísima de hacer daño.
Clicar primero para ver las consecuencias después lleva a cometer errores; y el uso intenso y compulsivo de las TIC  por parte de los más jóvenes no hace sino aumentar las probabilidades de que tengan que enfrentarse a riesgos en la Red y, por ende, en la vida. Por eso madres y padres deben advertir a sus hijas e hijos de que una indiscreción, un error ortográfico, un rumor, un comentario humillante, una amenaza… son daños que se amplifican y expanden a través de esta red.
 
En este sentido, no son pocos los pasos que Twitter ha dado para evitar el ciberacoso entre iguales. El pasado verano la red social Twitter añadió una nueva opción a su servicio llamada “mute”,  para proporcionar mayor control sobre el contenido que se ve en la línea de tiempo de usuarios y la forma de interactuar. A finales de año, volvió a aplicar  nuevos mecanismos para acabar de una vez por todas con esta práctica.

Peter y Twitter, para el uso correcto de Twitter

PantallasAmigas, con la colaboración de Twitter y Red.es, lanzó el pasado mes de octubre Peter y Twitter,  un programa educativo que, usando Twitter como eje conductor, procura la formación de una ciudadanía digital responsable con énfasis en la prevención del ciberbullying, el fomento de la cultura de la privacidad y la eliminación de conductas sexistas, machistas u homófobas.
Se concreta en diversos recursos didácticos y acciones de difusión que tienen como personas destinatarias al conjunto de la población pero especialmente al público adolescente. Estas herramientas para la educación son cuatro principalmente:

Decálogo PantallasAmigas para el uso responsable de Twitter

Serie de animación: ‘Las desventuras de Peter y Twitter’

Videojuego “Peter y Twitter por la Ciberconvivencia y la Igualdad”

Perfil twitter @Peterytuiter

Arículos de referencia: “Decálogo para que tu hijo no cometa un tuitidio

martes, 27 de septiembre de 2016

¿Cómo detectar falsificación o alteración en imágenes JPEG?

JPEG es un estándar de-facto en la fotografía digital. La mayoría de las cámaras digitales pueden producir imágenes JPEG, y muchas sólo pueden producir archivos en formato JPEG.

Resultado de imagen para Doble Quantization

Algoritmo de análisis de formato JPEG

El formato JPEG es una fuente inagotable de datos que pueden ser utilizados para los fines de detección de imágenes falsas. El algoritmo de análisis de formato JPEG aprovecha la información almacenada en las diversas técnicas de meta-tags a su alcance en el comienzo de cada archivo JPEG. Estas meta-tags contienen información sobre quantization matrixes, Huffman code tables, chroma subsampling, y muchos otros parámetros, así como una versión en miniatura (miniatura) de la imagen completa. El contenido y la secuencia de dichos tags, así como que tags particulares están disponibles, dependiendo de la propia imagen, así como el dispositivo que lo capturó o el software que lo modificó según expertos de seguridad de la información.
El método de análisis básico verifica la validez de las EXIF tagse n el primer lugar en un intento de encontrar discrepancias. Esto, por ejemplo, puede incluir controles para las EXIF tags añadidas en el post-procesamiento por ciertas herramientas de edición, chequeos para fecha de capturar y la fecha de la última modificación, y así sucesivamente. Sin embargo, las EXIF tags pueden ser fácilmente falsificadas dice Mike Stevens experto de seguridad de la información de iicybersecurity IICS ; tan fácilmente en el hecho de que, si bien podemos tratar las discrepancias existentes EXIF como un signo positivo de una imagen que se está alterada, el hecho de que los tags están en orden y no aporta ninguna información significativa.
La solución de seguridad de la información correcta debe hacer un intento de descubrir discrepancias entre la imagen real y la información EXIF disponible, la comparación de las EXIF tags reales contra tags que se utilizan típicamente por un dispositivo determinado (uno que se especifica como un dispositivo de captura en EXIF tag correspondiente). Las empresas de seguridad de la información han recogido una amplia base de datos de EXIF tags producidas por una amplia gama de cámaras digitales, incluyendo muchos modelos de smartphones.
Además del análisis de EXIF, los expertos de seguridad informática revisan tablas de cuantificación en todos los canales de imagen. La mayoría de las cámaras digitales tienen un conjunto limitado de tablas de cuantificación; Por lo tanto, podemos descubrir discrepancias mediante la comparación de tablas de dispersión de la imagen real en contra de los que se esperan a ser producidas por una determinada cámara según expertos de seguridad informática.

 Algoritmo de efectos de Doble Quantization

Este algoritmo se basa en ciertos defectos de quantization que aparecen cuando se aplica la compresión JPEG más de una vez. Si un archivo JPEG se abrió, edito, a continuación, guardo, ciertos artefactos de compresión aparecerán inevitablemente explican expertos de seguridad de la información de International Institute of Cyber Security.
Con el fin de determinar el efecto de doble quantization, el algoritmo crea 192 histogramas que contienen transformación discreta de valores cosine Ciertos efectos de quantization sólo aparecerán en estos histogramas si una imagen se guarda en formato JPEG más de una vez. Si el efecto es descubierto, definitivamente podemos decir que la imagen fue editada (o, al menos, salvado por un editor gráfico) al menos una vez y una solución de seguridad informática debe detectar esto.

Algoritmo de análisis el nivel de error

Este algoritmo de seguridad informática detecta objetos extraños inyectados en la imagen original mediante el análisis de tablas de quantization de bloques de píxeles a través de la imagen. Quantization de ciertos objetos pegados (así como los objetos dibujados en un editor) puede diferir significativamente de otras partes de la imagen, sobre todo si uno (o ambos) con respecto a la imagen original o los objetos inyectados se comprimieron previamente en formato JPEG.

Algoritmo de detección de falsificación y clonación

Una práctica muy común de falsificado de imágenes es trasplantar partes de la misma imagen a través de la imagen. Por ejemplo, un editor puede enmascarar la existencia de un objeto determinado por “parches” con una pieza de fondo clonado a partir de esa misma imagen, copiar o mover los objetos existentes en torno a la imagen. Las tablas de quantization de las diferentes piezas se verán muy similares a las del resto de la imagen, por lo que se una solución de seguridad de la información debe emplear los métodos de identificación de bloques de imágenes que se ven artificialmente similares entre sí.

Algoritmo para detectar Calidad de imagen inconsistente

JPEG es un formato lossy. Cada vez que se abre la misma imagen y se guarda en el formato JPEG, algo de calidad visual aparente se pierde y aparecen algunos objetos explican expertos de seguridad informática. Puedes reproducir fácilmente el problema mediante la apertura de un archivo JPEG, guardarlo, ciérralo, a continuación, ábrelo y guardar de nuevo.

La calidad visual no está normalizada, y varía mucho entre los diferentes motores de compresión JPEG. Los diferentes algoritmos de compresión JPEG pueden producir muy diferentes archivos, incluso cuando se establece en su configuración más alta calidad según profesores de seguridad informática.

FUENTE:http://noticiasseguridad.com/

lunes, 26 de septiembre de 2016

El uso de software abierto para el análisis de la evidencia digital


Publicado en diario EL DERECHO del 11 de abril de 2016.

Resultado de imagen 


1.     Introducción

Usualmente para una pericia informática se requiere de hardware y software especializado capaz de realizar las tareas de recolección, análisis y asistencia en la interpretación de los diversos artefactos forenses que requiere la experticia. Tanto el software como el hardware empleado puede ser un programa propietario, o de código abierto, apareciendo entonces los siguientes interrogantes:

¿Es mejor utilizar software comercial o software de código abierto? Esta elección ¿puede impactar en los resultados periciales?  ¿Existe algún impedimento legal en el uso de software comercial? Intentaremos responder a estos interrogantes en el presente artículo.



2.     La evidencia digital y la Pericia Informática

Los Códigos procesales modernos ofrecen diversos medios de prueba, uno de los cuales es la prueba pericial que puede versar sobre distintas áreas del conocimiento humano. Es cada vez más común que los casos tengan información digital almacenada en dispositivos informáticos que requiere ser peritada mediante la intervención de peritos informáticos.

La prueba informática tiene por objeto cualquier registro que pueda ser generado dentro de un sistema informático, entendiendo por éste, a todo dispositivo físico (computadoras, smartphone, tablets, CDs, DVD, pen drives, etc.) o lógico, empleado para crear, generar, enviar, recibir, procesar, remitir o guardar a dichos registros, que, producto de la intervención humana u otra semejante, ha sido extraída de un medio informático[1].

Se requiere de la experticia informática cuando los elementos de prueba requieren de la valoración de un experto en esa especialidad, para una constatación, evaluación, recolección y análisis de evidencia digital. Las últimas dos representan el núcleo de la especialidad conocida como Informática Forense.

La Informatica Forense puede dividirse en dos grandes actividades: La recolección y preservación de la evidencia, esto es la obtención del elemento de prueba, la materia prima necesaria para la segunda parte.

Esta segunda parte es el análisis de la evidencia y la interpretación de los datos de manera científica y técnicamente válida según lo expresan los códigos procesales. Más adelante analizaremos el impacto de la elección de Software comercial o de código abierto en estas dos actividades.



3.     Software Comercial vs. Software Libre en ámbito forense

Seguramente el lector ya se encontrará familiarizado con estas clasificaciones.

El Software comercial es aquel desarrollado y mantenido por una empresa, cuyo código se encuentra amparado bajo un derecho de propiedad intelectual y para su utilización se requiere una licencia de uso que suele ser de carácter oneroso. En muchos casos el mantenimiento del software requerido para su constante actualización, producto de la evolución de las aplicaciones, también suele ser oneroso.

El Software libre se caracteriza por permitir compartir y acceder al código fuente[2] y que permite el uso y alienta la modificación de dicho código en aras de su mejoramiento, aumentando el valor para la comunidad de usuarios. Este tipo de software también requiere de un licenciamiento que no es necesariamente gratuito.

Las ventajas del Software libre son claras, pero ¿son aplicables al software forense?

Es ampliamente aceptada la utilización de Software libre para las tareas de recolección de evidencia ya que se trata de un procedimiento claramente repetible que se autentica mediante al menos un valor de Hash[3], lo cual permite asegurar la integridad de la evidencia durante todo el proceso pericial, pero ¿ocurre lo mismo en la etapa de análisis ? .    El hecho de que el software libre en su esencia permite la modificación del código fuente ha hecho que en numerosas ocasiones se plantee la duda si dicho código no puede ser alterado para limitar una búsqueda o el análisis efectuado. Como ejemplo citamos una de las actividades recurrentemente solicitadas en un peritaje informático: la búsqueda de palabras clave.

Es claro que al tener acceso al código fuente, el software libre puede ser modificado para evitar mostrar el resultado de uno o más vocablos. Este planteo, puede ser fácilmente desestimado, confirmando que las herramientas de software libre utilizadas, han sido descargadas de un sitio seguro y confiable y verificando su integridad mediante el cálculo de hash de la misma. Este procedimiento debe realizarse permanentemente durante la experticia y podría ser considerado como una pericia sobre las herramientas forenses.

            ¿Cuál es entonces la debilidad de utilizar Software forense de código abierto? La evolución y actualización de una herramienta forense en el ámbito informático es absolutamente crucial para su uso efectivo y productivo.

Permanentemente aparecen nuevas aplicaciones o se actualizan las existentes, cualquiera sea la plataforma de sistema operativo empleado, por lo que las herramientas forenses deben acompañar estos cambios de software y hardware, permitiendo asistir al perito informático con los nuevos artefactos forenses. Es allí donde el software de código abierto es débil, pues la comunidad de desarrolladores de software libre para uso forense es tan pequeña, que las actualizaciones toman muchísimo tiempo o sencillamente nunca se hacen.       Esta falta de actualización no impide el uso de la herramienta pero limita al perito informático, al punto que determinadas actividades son muy difíciles de ejecutar o directamente imposibles, tornando el software forense de código abierto en una herramienta de muy baja productividad.

El software comercial o propietario, por otro lado, no permite el acceso al código fuente, pues dicho código fuente está amparado por el Derecho de Autor, lo cual le da facultad al titular de la obra de software de decidir si terceros pueden acceder al mismo[4].     Adicionalmente el código fuente de un programa podría estar amparado por el régimen del secreto industrial[5].  Tanto el Derecho de Autor como el Derecho de los secretos comerciales permiten al desarrollador no dar acceso al código fuente, vedar su reingeniería inversa por medio de la licencia de uso e incluso oponerse exitosamente a que se busque acceder al código fuente en el proceso de una pericia. Justamente por esta razón, algunos detractores del software propietario señalan que al no poder analizar el contenido de las líneas de programación, resulta imposible saber qué está realizando la herramienta informática y por ende sería inválida su utilización[6].

En este punto aparece con claridad el concepto de que el Software Forense es simplemente una herramienta y que el éxito de su accionar dependerá en gran medida, de la formación profesional de quien la utiliza. Un perito informático no debe relegar su tarea a un software, ya sea este comercial o de código abierto, sino que debe conocer con exactitud cuál es el principio de operación, algoritmo o fundamento científico- técnico que la herramienta forense explota, de lo contrario se transforma en un simple operario de la herramienta, sin conocimiento del proceso y sin la idoneidad que la ley procesal requiere, por lo que su dictamen es sumamente débil y fácilmente impugnable.

Por lo expuesto, no resulta necesario conocer o tener mero acceso al código fuente de una herramienta forense para saber qué hace la misma, de la misma forma que no es necesario ser experto en mecánica ni realizar el despiece de un vehículo para conducirlo. Entendemos que el perito informático debe estar capacitado y entrenado para las tareas que realiza y validar sus herramientas forenses, incluyendo el software forense, sea comercial o de código abierto, periódicamente para confirmar que el mismo cumple su función correctamente.

En cuanto a la evolución del software comercial, el mismo en líneas generales se mantiene actualizado, pues sus desarrolladores dedican gran parte de los recursos al desarrollo y actualización del mismo, naturalmente a partir del mantenimiento oneroso del mismo y con la finalidad de seguir respondiendo a las demandas del mercado.

Cuando los fundamentalistas del software forense libre impugnan el uso de software comercial, dejan fuera de la discusión el tema del hardware sobre el que corre el software ya que el mismo también puede ser clasificado en hardware comercial y hardware libre[7], siendo este último apenas incipiente , por lo que en la actualidad, prácticamente la totalidad del software forense libre , se ejecuta sobre hardware comercial, de modo que en su propia lógica esto no sería válido y debería ejecutarse sobre un hardware libre que de momento no existe, tornando el uso del mismo utópico.

Por ultimo señalamos que en la actualidad existen numerosas áreas de análisis forense informático como por ejemplo el amplio y creciente campo del análisis forense de celulares donde prácticamente no existe Software forense de código abierto y se requiere de las herramientas comerciales para realizar pericias que serían de imposible ejecución con software de código abierto.

4.     Aspectos Legales del software Forense

            Desde un punto de vista legal, a nivel procesal nacional no existe norma alguna que prohíba o haga obligatorio el uso del software libre como herramienta forense. Por lo tanto no es ilegal usar herramientas forenses propietarias para hacer una pericia, como tampoco lo es usar herramientas forenses basadas en software abierto.

Tampoco hay normas o casos judiciales que -bajo una especial visión del derecho de defensa en juicio-, obliguen al experto que hace la pericia a usar software abierto o autoricen a quien impugna una pericia a acceder al código fuente de la herramienta forense utilizada para la pericia informática.

En teoría, sería posible que la parte que interviene en un proceso civil o penal plantee que el uso de software comercial vulnera su derecho a la defensa en juicio previsto en el art. 18 de la Const. Nacional. Entendemos que tal planteo no debería prosperar por las razones que desarrollamos seguidamente. Ese hipotético planteo podría seguir este razonamiento: si bien no existe norma alguna que obligue a usar herramientas de software libre en vez de las herramientas de software propietario, el hecho que el perito informático nombrado por el tribunal use una herramienta forense de software propietario impide a la parte “afectada” controlar el funcionamiento de la herramienta o verificar si la misma tiene errores o fallas ocultas que incidan en el resultado de las conclusiones de la pericia. El argumento se basaría en que el derecho de defensa incluye el derecho de controlar la prueba de cargo, y llevando tal principio al extremo no alcanzaría con verificar el fundamento técnico de la pericia, sino que debería existir un derecho de acceso al código fuente (algo posible con el código abierto pero prohibido con el código propietario) para verificar el correcto funcionamiento de los principios y algoritmos propios de la herramienta forense.

Como ya indicamos antes, tal afirmación, desde un punto de vista técnico sería refutable pues es posible probar que el software no comete los alegados errores sin acceder al código fuente, por ej. Testeando otros supuestos parecidos y estudiando cómo funciona el programa en forma externa, sin acceder al código propietario.

Lamentablemente muchos de estas planteos parten del oscurantismo que algunos profesan para aprovecharse del poco conocimiento que existe en el sistema de justicia (incluidos jueces, fiscales y los propios abogados) sobre las reglas prácticas de la Informática Forense. Los jueces saben poco y nada de tecnología y de software, y es fácil pintar a la herramienta forense como una caja negra que arroja resultados que el juez debería seguir pero cuyo proceso interno es incomprensible.

Ahora bien, si no se permitiese el uso de software comercial, algunas pericias (incluso no informáticas) no se podrían realizar, por ejemplo pericias de laboratorio químico, comparación de huellas dactilares, balística avanzada o incluso pericias genéticas.

Justamente es importante este último ejemplo, pues en temas de pericias genéticas con software propietario han recibido esta clase de planteos en Estados Unidos[8]. En un proceso penal los abogados de la defensa plantearon que tenían derecho a acceder al código fuente usado para realizar la pericia genética, y a los detalles de la metodología utilizada, invocando la Sexta Enmienda de la Constitución de los Estados Unidos que tutela la defensa en juicio.

En los procesos penales donde hay pruebas genéticas es común usar un software que según sus creadores mejora la precisión de los test de ADN. El programa se llama TrueAllele[9], y lo que hace es proporcionar a policías o fiscales una respuesta positiva de ADN encontrado en la escena del crimen mediante la comparación de la información genética con una gran base de datos de material genético almacenado previamente. Esto permite encontrar un individuo que puede ser responsable penalmente de un delito, o por lo menos que se lo pueda relacionar con los hechos del delito investigado. El software es frecuentemente usado en casos de agresiones sexuales, homicidio y daños penales.

Dado que el programa de software TrueAllele suele arrojar mejores resultados, cada vez es más usado por policias y fiscales. En el caso que comentamos la defensa de Michael Robinson, acusado de un homicilio de dos personas, sostvo que al estar oculto, el código fuente detras del programa TrueAllele, se le impedía a su cliente la oportunidad confrontar toda la evidencia en su contra. Esto les impedia verificar y testear la exactitud y corrección (reliability and accuracy) del software en cuestión, algo que no hubiera ocurrido de usarse un software abierto.

El juez rechazó el pedido[10]. Se basó en que la empresa se negó a mostrar el código fuente por los efectos que tendría sobre la propiedad del mismo y el acceso del mismo a los competidores. El juez sostuvo que la defensa no demostró adecuadamente la necesidad de acceder al código fuente.  El fallo es similar a otros casos en Estados Unidos en el mismo sentido[11].

Casos similares se han planteado en los casos penales de manejo alcoholizado. Los conductores sometidos a procesos penales han cuestionado la validez y resultado del dispositivo usado para medir la cantidad de alcohol en la sangre.  Frente al resultado positivo que es la prueba de cargo usada por los fiscales, los imputados suelen pedir acceso al código fuente del programa usado dentro del dispositivo para verificar si la medición fue correcta y si el dispositivo fue usado correctamente. En Estados Unidos esta clase de planteos ha sido rechazada en todos los estados donde ha tenido lugar[12]. La mayoría de los tribunales entendieron que el pedido de discovery de la defensa está limitado a la información en poder del Estado o del Fiscal, pero no incluye al código fuente del dispositivo usado para medir el nivel de alcohol, que es propiedad del proveedor del software. Asimismo no hay normas legales que obliguen a usar código abierto en esos dispositivos.

En síntesis, entendemos la lógica del planteo de la falta de revisión del código fuente de la herramienta forense usada en la prueba de un proceso judicial pero no compartimos que automaticamente lleve a invalidar la prueba realizada y las conclusiones.

Es que llevado al extremo esta tesis, se podría también argumentar que el imputado necesitaría analizar el código fuente de procesador de texto con el cual se escribe la sentencia, o la base de datos que el juez usó para buscar fallos para fundamentar su sentencia, pues de esa forma se asegura su defensa. El imputado también podría argumentar que tiene derecho a controlar el hardware sobre el que se empleó el software citado, situación poco probable ya que el mismo está conformado por un conjunto de procesadores y chips de apoyo, que se encuentran amparados por el secreto industrial. También tendría derecho a controlar la conexión a Internet que use el software.

            Finalmente, si el demandado o imputado tienen dudas sobre la existencia de alguna clase de reparo sobre el código fuente, siempre pueden pedir que se analice todo o parte del código fuente para verificar concretamente su sospecha, la cual tiene que estar fundada. Pero esa fundamentación no puede ser planteada en abstracto o en términos muy abiertos. El planteo debería indicar con un resultado concreto porqué el programa propietario estaría fallando, cometiendo errores o estaría alterado con la finalidad de sustentar su planteo en argumentos serios, de lo contrario sería un planteo de nulidad por la nulidad misma. No parece que haya agravio por un mero cuestionamiento en abstracto de la falta de uso de software abierto o falta de acceso al código fuente. Por último, este tipo de planteos son una forma de dilatar el proceso haciendo una pericia dentro de otra pericia. Es decir, esto llevaría a una “pericia de la pericia”.

Las situaciones donde existen derechos amparados por secretos comerciales o derechos de autor que suelen impedir el acceso al código fuente o a un procedimiento van a ser cada vez más frecuentes. Se pueden dar en casos, como vimos, de pruebas genéticas, pero también podrían producirse en un juicio donde se debe analizar cómo muestra datos un buscador de Internet, o como funciona un software de medicina en un caso de mala praxis médica.





5.     Conclusiones

Cabe concluir que no existe tal dicotomía entre el Software comercial y el Libre en ámbito Forense. Ambos son perfectamente válidos con sus fortalezas y debilidades

En ambientes académicos o peritos que recién se inician, es perfectamente utilizable el software forense libre, sin embargo a medida que el volumen de trabajo se incrementa o en laboratorios forenses de fuerzas de la ley donde el cumulo de tareas es importante, la utilización de Software comercial se suele transformar en una necesidad.

Para algunos artefactos forenses, el software comercial es imprescindible ya que no existe software de código abierto equivalente y por lo tanto determinadas pruebas periciales no se podrían llevar a cabo si se adopta la postura que solo el software abierto garantiza la defensa en juicio.

Finalmente no hay normas a nivel nacional que estipulen la obligación de usar herramientas forenses de código abierto o que den derecho al imputado a acceder al código fuente para sustentar su defensa en juicio.



[1] VANINETTI, Hugo, Preservación y valoración de la prueba informática e identificación de IP, LL 2013-C-374.

[2] En esta nota nos referimos en forma general a “software libre” aunque en la práctica existen distintos tipos de licencias de código abierto tales como la GPL, la OSI, la MIT License, la  licencia Apache, etc.

[3] Un hash o digesto matemático es un algoritmo matemático que permite generar una cadena de caracteres hexadecimales (número de hash) que, a los fines forenses, permite la identificación unívoca de contenido binario.

[4] Art. 1 de la ley 11723.

[5] Art. 1 de la ley 24.766.

[6] Desde un punto de vista técnico esta afirmación siempre podrá ser discutible. El usuario de un software propietario, puede hacer pruebas de concepto , experiementos o “jugar” con la herramientos forenses de diversas maneras para testear su optput y comprobar que el mismo cumple con los principios de operación correctos y  no produce “falsos positivos” o que no existe “gato encerrado”. La ingeniería reversa de software es legítima en algunos casos.

[7] Ver https://es.wikipedia.org/wiki/Hardware_libre

[8] http://blog.expertpages.com/expertwitness/pennsylvania-judge-denies-access-to-source-code-behind-dna-expert-witness-software.htm

[9] http://www.cybgen.com/systems/casework.shtml

[10] http://www.cybgen.com/information/newsroom/2016/feb/Michael_Robinson_Opinion.pdf

[11] Ver http://www.cybgen.com/information/newsroom/2016/feb/Pennsylvania-court-ruling-denies-source-code-discovery-request.shtml

[12] Aurora WILSON, Discovery of breathalyzer source code in DUI prosecutions, WASHINGTON JOURNAL OF LAW, TECHNOLOGY & ARTS, Vol. 7, Issue 2, Fall 2011.


por Gustavo Presman y Pablo A. Palazzi