Área de investigación en sistemas informáticos

20 de julio de 2017 Autor: Antonio Salmerón

 
[Áreas; Figura ac3]: Área de investigación en sistemas informáticos.

El objetivo de los módulos de esta área es introducirse en los conocimientos prácticos más habituales en el ejercicio profesional de la informática forense que abarca las arquitecturas informáticas, la representación, almacenamiento y ocultación de datos, los sistemas de ficheros, las protecciones, los documentos digitales y los formatos multimedia, los sistemas operativos de tipo Microsoft Windows, los de tipo UNIX y Linux, etc.

Codificación: 1) Técnica utilizada en criptografía. 2) Representación en el computador de palabras y números, existen 3 tipos de codificación: codificación alfanumérica, codificación numérica y codificación redundante. 3) Clásicamente, se utilizaba para la acción de escribir el código fuente y así también se utilizaba el verbo codificar. | Plural: Codificaciones | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Conceptos fundamentales de informática

12 de abril de 2017 Autor: Antonio Salmerón

 

Los peritos e informáticos forenses han de comprender lo que sucede en los sistemas informáticos y no sólo limitarse a emplear las herramientas forenses. A veces, esta falta de comprensión y la aplicación no sopesada de herramientas pueden conducir a no observar pruebas digitales o a realizar interpretaciones erróneas. Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

Compactación de memoria: Proceso de reorganización de la memoria de un computador o de un disco para volver a hacer contiguos las áreas fragmentadas, eliminando los huecos existentes entre las posiciones ocupadas, la compactación se hace por traslación de la información. Durante la ejecución de los procesos o el uso de los discos se solicitan y se eliminan bloques de memoria, lo que supone que ésta se va fragmentando en bloques cada vez más pequeños. La compactación es necesaria porque a) en memoria los procesos pueden requerir grandes áreas de memoria contigua y b) en disco es más rápido leer/escribir en áreas contiguas que en áreas separadas por los que la fragmentación supone un acceso más lentos a los discos. En memoria la compactación la realiza el gestor de memoria y en discos la suele ordenar el administrador o el usuario mediante herramientas a tal efecto. | Inglés: Defragmentation | Plural: Compactaciones de memoria | Alias: Desfragmentación | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Documentos y almacenamiento multimedia

12 de abril de 2017 Autor: Antonio Salmerón

 

Los contenidos, fotografías, audios y vídeos, con sus formatos y posibles metadatos son una fuente de pruebas digitales para el perito y para el informático forense. El volumen de información digital que se registra en multimedia crece aceleradamente, muchos de los sucesos privados y públicos pueden ser grabados rápidamente por las cámaras de móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo, por esto, el objetivo de este módulo es conocer estos formatos y practicar con ellos como posibles pruebas digitales.

Información: Conjunto de datos organizados y, posiblemente, procesados, que forman un mensaje capaz de cambiar el conocimiento de la persona o del sistema que recibe dicho mensaje. En esto radica la diferencia fundamental entre una información y el conjunto de datos que podría contenerla, que los datos por si solos, sin ser procesados o estructurados, pueden no decir nada relevante ni a las personas ni a otros sistemas. | Inglés: Information | Plural: Informaciones

Módulo: Sistema operativo Windows de Microsoft

12 de abril de 2017 Autor: Antonio Salmerón

 

Por la popularidad de Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en muchos de sus casos y, a su vez, es para los que más herramientas forenses se han desarrollado. El objetivo de este módulo es conocer las técnicas y herramientas para la recogida y el examen de pruebas digitales en equipos con el sistema operativo Windows de Microsoft y, también, la recuperación de datos, los ficheros de log y registros, el análisis de la actividad en internet y de algunas aplicaciones típicas de Windows.

Compatible: Compatibilidad de un hardware o de un software. | Plural: Compatibles | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Sistemas operativos UNIX y Linux

12 de abril de 2017 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX, tanto comerciales y como de software libre, por ejemplo, Linux y todas sus versiones. Ambos, UNIX y Linux, están detrás de muchos lanzamientos tecnológicos como, por ejemplo, el Mac OS X de Apple y el Android de Google, a su vez, muchos sitios Web financieros y comerciales se ejecutan en servidores UNIX o Linux e, incluso, muchas de las herramientas de informática forense para otros sistemas operativos se basan en Linux. Por ello, el conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo.

Software: Conjunto de programas utilizados por un computador. Se aplica tanto a los elementos más básicos de la programación, como las rutinas, funciones, etc. como a otros programas de distinta finalidad: sistemas operativos, sistemas de gestión de bases de datos, compiladores, programas de edición, etc. | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Sistemas operativos de Apple

12 de abril de 2017 Autor: Antonio Salmerón

 

Dentro de la informática forense los sistemas de Apple suelen recibir menos atención que otros sistemas operativos y que otras clases de hardware, porque son menos frecuentes y con menos usuarios. Sin embargo, no pueden ser ignorados porque los delincuentes los utilizan, porque su estructura interna que da soporte a su sencillo y cómodo interfaz gráfico, si bien es ideal para el usuario, no facilita sin embargo su examen forense y porque actualmente se están vendiendo muchas unidades de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio y esta venta tiene una tendencia al alza. Por ello, este módulo está dedicado a su estudio.

Sistema operativo: Conjunto de programas que ayudan a la explotación de un computador, simplificando su uso y permitiendo obtener un buen rendimiento. Existen muchos tipos de sistemas operativos dependiendo de la clase de aplicaciones, del tamaño del computador y del modo de explotación. | Inglés: Operating system | Plural: Sistemas operativos | Bibliografía: Salmerón, A.; et ál.; 1996

Conceptos fundamentales de informática

7 de febrero de 2017 Autor: Antonio Salmerón

 

El informático forense y el perito han de comprender lo que realmente está sucediendo dentro de los sistemas informáticos y no sólo han de limitarse a emplear software sofisticado para recuperar ficheros eliminados, realizar análisis avanzados del contenido de los discos duros, examinar la actividad en internet, etc. A veces, la falta de comprensión sobre cómo funcionan los computadores y la aplicación automática y no sopesada de herramientas sofisticadas pueden conducir a no observar pruebas digitales evidentes o a realizar de ellas interpretaciones erróneas.

Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

[Sistema Operativo; Figura iso] Interacción el usuario, las aplicaciones, el sistema operativo y el hardware.

Dentro de este módulo se estudian los siguientes temas:

  • La arquitectura de los computadores y sus principios de funcionamiento incluyendo un elemento fundamental desde el punto de vista del perito y del informático forense como es el sistema operativo.
  • La representación de los datos en el computador y los diferentes sistemas de representación de datos.
  • El almacenamiento de los datos y, también, la ocultación de datos dentro del computador.
  • Los sistemas de gestión de ficheros y la ubicación y organización de los ficheros dentro de ellos.
  • Finalmente, las protecciones con usuarios y contraseñas y una primera aproximación al cifrado.

Computador: Máquina para el procesamiento automático de la información. Durante este procesamiento, a través de fases sucesivas o paralelas y mediante determinados algoritmos, la información se va transformando para resolver problemas. Dependiendo de las personas y las zonas geográficas también se le denomina ordenador y en ambientes técnicos, a veces, máquina. Según el modo de representar la información hay 2 clases de computadores el analógico y el digital: a) el computador analógico realiza sus operaciones (suma, producto, integración, etc.) mediante señales eléctricas analógicas, su programación es cableada y se orientan a la resolución de ecuaciones diferenciales y a la simulación, b) el computador digital opera con cantidades discretas que se representan mediante un sistema binario y se le especifica el funcionamiento por medio de programas escritos en lenguajes de programación. La superioridad de los segundos en almacenamiento, precisión, comodidad de uso y proceso de información no numérica hace que la casi totalidad de los computadores actuales sean digitales por lo que la informática forense y los peritos informáticos se centran en los computadores digitales. | Inglés: Computer | Alias: Ordenador | Bibliografía: Salmerón, A.; et ál.; 1996

Documentos y almacenamiento multimedia

7 de febrero de 2017 Autor: Antonio Salmerón

 
[Multimedia; Figura pkl]: Laboratorio de pruebas fotográficas y pruebas digitales multimedia de la policía de Kansas City.

Los documentos digitales, con formatos como PDF, Word, OpenOffice, ePUB, etc. y los de almacenamiento multimedia para

  • imágenes y fotografías, formatos PNG, JPEG, GIF, BMP, TIFF, etc.,
  • audio, formatos MP3, WAV, AIFF, etc. y
  • vídeo, formatos MP4, AVI, MOV, etc.

y tanto con su contenido digital como con todos los posibles metadatos que los describen como por ejemplo para imágenes y fotografías:

  • marca y modelo del dispositivo,
  • orientación y posición,
  • autor,
  • fechas y horas de toma, digitalización, de edición, etc.
  • resolución y unidades,
  • dimensión ancho y alto,
  • longitud, latitud, altura,
  • zoom,
  • flash, apertura, fuente de luz,
  • clase del mapa de colores,
  • tiempo de exposición,
  • etc.,

pueden representar una fuente de pruebas digitales para el informático forense y perito. El objetivo de este módulo es conocer estos formatos, sus metadatos y realizar experiencias prácticas con ellos.

[Multimedia; Figura vca]: Visualización de las gráficas de los 2 canales de un fichero de audio digital.

El volumen de información digital que se registra con formatos multimedia crece de forma acelerada, se dice que la cantidad de información registrada a nivel mundial se duplica cada 2 años y los formatos digitales multimedia contribuyen a ello. Baste pensar que tanto sucesos privados, como aún más los sucesos en público, aunque sean intrascendentes:

  • desde una caída aparatosa al coger el autobús
  • a una pelea de pre-adolescentes en una excursión del instituto,

pueden ser grabados inmediatamente por las cámaras de los móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo.

JPEG: Formato utilizado para almacenar en un fichero, especialmente, imágenes naturales y del mundo real. La información dentro de estos ficheros se almacena de forma comprimida utilizando algoritmos basados en fractales, este tipo de algoritmos no reproducen exactamente el original, algoritmos con pérdidas de información, ello hace que siendo un formato muy adecuado para imágenes realistas no lo sea tanto para dibujos o gráficos de datos. Usualmente estos ficheros tienen la extensión jpg o jpeg. Son muy utilizados junto con los formatos GIF y PNG para ser insertados dentro de páginas de web. JPEG corresponde a las siglas de Joint Photographic Experts Group, reunión de grupo de expertos en fotografía. | Inglés: Joint Photographic Experts Group, JPG | Bibliografía: Salmerón, A.; et ál.; 1996

Sistema operativo Windows de Microsoft

7 de febrero de 2017 Autor: Antonio Salmerón

 
[Microsoft; Figura gbw]: [Gates; B.] fundador de Microsoft en 2005, entonces también Presidente y Chief Software Architect de la compañía.

Por la popularidad mundial de Microsoft Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en la mayoría de sus casos. Como consecuencia de su amplia difusión es el sistema operativo para el que más variedad de herramientas de informática forense se han desarrollado, tanto de las comerciales como de las de software libre. Por otro lado, es un sistema operativo que está al alcance de la mayoría de los interesados, por lo que es muy adecuado para la realización de prácticas. Por todo ello el objetivo de este módulo es familiarizarse y conocer:

  • Los tipos de sistemas de ficheros de los sistemas operativos de la clase Windows de Microsoft.
  • Las herramientas y las técnicas para la recogida y el examen de pruebas digitales en computadores con Windows.
  • La recuperación de datos.
  • Los ficheros de log y registros.
  • El análisis de la actividad en internet.
  • Finalmente el estudio, desde la perspectiva de la informática forense de algunas aplicaciones típicas de Windows, como sistemas de gestión de bases de datos, si bien es tal su variedad que es imposible intentar abarcarlas todas.

Service pack: Su objetivo es mantener actualizadas las versiones de programas o productos, corrigiendo problemas y ampliando su funcionalidad. Un service pack puede incluir controladores, herramientas y nuevas mejoras desarrolladas en un mismo paquete. La filosofía es que cada nuevo service pack contenga todas las soluciones incluidas en los anteriores, de forma que basta con la instalación del último para poner al día el programa o el producto.

Sistemas operativos UNIX y Linux

7 de febrero de 2017 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX:

  • tanto sistemas comerciales, por ejemplo, Solaris de Sun Microsystems, HP-UX de Hewlett Packard, AIX de IBM e Irix de Silicon Graphics,
  • como sistemas de software libre, por ejemplo, OpenBSD, FreeBSD y, por supuesto, las múltiples versiones de Linux.

Actualmente, tanto UNIX como Linux están detrás de muchos lanzamientos tecnológicos y comerciales, por ejemplo:

  • los actuales sistemas Macintosh de Apple utilizan un sistema operativo basado en UNIX, el denominado Mac OS X, y
  • el sistema operativo móvil Android, desarrollado por Google, también está basado en Linux.
[UNIX Linux; Figura his]: Evolución histórica del sistema operativo Unix.

Adicionalmente:

  • muchos sitios Web, incluidos los financieros y los de comercio electrónico, se ejecutan sobre servidores con sistemas operativos UNIX o Linux y
  • muchas de las herramientas para el análisis y el examen de informática forense de dispositivos digitales, que originalmente estaban bajo el control otros sistemas operativos, se basan en Linux.

Por todo ello, el estudio, conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo, incluyendo su sistema de ficheros, las herramientas de informática forense, la recuperación de datos, los ficheros de log y de registro de la actividad tanto en el sistema operativo como en internet.

Control de configuración: Proceso de evaluación y aprobación de una configuración o de una cambio de configuración. | Bibliografía: Salmerón, A.; et ál.; 1996

Sistemas operativos de Apple

8 de febrero de 2017 Autor: Antonio Salmerón

 

Apple Inc. es una multinacional estadounidense con sede en Cupertino, California, que diseña y fabrica equipos digitales y software:

  • Entre sus productos más conocidos están: los Macintosh clásicos, cuyo lanzamiento inicial fue en 1984, la línea iMac, computadores que desde 1998 se caracterizan por integrar su CPU dentro de su monitor, los computadores MacBook, que son portátiles, diseñados para usuarios básicos, lanzados en 2006 para reemplazando al iBook y al PowerBook en la transición de Apple hacía la tecnología de Intel, los iPods que, desde 2001, son la línea de reproductores portátiles de audio digital, fundamentalmente para música, los iPhones, familia de teléfonos inteligentes, multimedia, con conexión a Internet y pantalla táctil y los iPads, que son dispositivos electrónicos de tipo tableta, su 1ª generación se anunció en 2010 y su 2ª generación en 2011, siendo la última presentación de Steve Jobs.
  • Entre su software destaca: los sistemas operativos Mac OS X y el iOS, iTunes, como explorador de contenido multimedia, iLife, para creatividad, Final Cut Studio, para la edición de vídeo, Logic Pro para edición de audio, iWork, para productividad, Safari, como navegador web, Mac App Store y App Store, iTunes Store que, probablemente, son las mayores tiendas de contenidos digitales del mundo con programas, música, vídeos, libros, etc. iCloud e iTunes Match, que a pesar de ser servicios en la nube, forman parte del software que ofrece y distribuye Apple, etc.

Apple fue fundada el 1 de abril de 1976 por Steve Jobs, Steve Wozniak y Ronald Wayne, este último abandonó pronto la compañía y en 1977 se les unió con capital y experiencia Armas Clifford, Mike, Markkula Jr. Desde un garaje, esta empresa evolucionó para ser, en 2012, la empresa más grande del mundo por capitalización bursátil.

[Apple, sji]: Steve Jobs, fundador de Apple, abrazando un iMac en 1998.

Dentro de la informática forense y para el examen de pruebas digitales, los sistemas de Apple reciben menos atención que otros sistemas operativos como Windows de Microsoft o UNIX y Linux, probablemente porque:

  • en muchos países son menos frecuentes como, por ejemplo, sucede particularmente en España,
  • se tiene la idea de que son más difíciles de encontrar en el mercado, a pesar de estar empezado a llegar a mucho más público y
  • también hay menos usuarios y profesionales familiarizados con ellos, si bien los que los conocen hablan con pasión de ellos.

Sin embargo, tanto el hardware de Apple como sus sistemas operativos no pueden ser ignorados por dos razones:

  • porque los delincuentes los utilizan y
  • porque su sencillo y cómodo interfaz gráfico si bien es ideal para el usuario, no facilita sin embargo su examen forense.

Por ello, si hay algo actualmente claro es que los informáticos forenses y los peritos tienen que dedicar más atención a los sistemas operativos de Apple, fundamentalmente porque se están vendiendo muchas unidades, y con una tendencia al alza, de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio.

[Apple, im1]: Apple iMAC 21,5 MC508E/A.

La aparición de nuevo sistema operativo de Mac basado en UNIX, el denominado OS X, ha atraído, además de los usuarios tradicionales, a nuevos usuarios más técnicos que valoran la potencia de UNIX y la comodidad del interfaz gráfico de usuario clásico del Mac.

Aunque el examen forense de los sistemas de Mac se puede realizar con las herramientas de informática forense habituales, es mucho más eficaz examinar estos sistemas usando un sistema de Mac configurado especialmente con instrumentos nativos de Mac.

Este módulo proporciona una breve introducción al examen forense los sistemas operativos de Mac:

  • siguiendo a [Casey, E.; 2011] y
  • se puede encontrar una cobertura más a fondo de este módulo en [Casey, E.; 2009; Capítulo 7] desarrollado por Anthony Kokocinski que también incluye una sección detallada sobre las aplicaciones más comunes de Mac como Safari, iCal, Mail, etc.

Como se verá, dentro de este módulo, a pesar de su apariencia amigable los sistemas Apple Mac con muy complejos y poderosos y la recuperación manual de ficheros borrados es difícil debido a la intrincada estructura del fichero Catálogo.

Se pueden utilizar herramientas existentes para realizar exámenes básicos de pruebas digitales, incluyendo el visionado de la estructura de ficheros y la recuperación de datos borrados. Por ello, actualmente, hay necesidad de más herramientas de examen de las pruebas digitales y de más investigación acerca de los sistemas Mac. Como en otros sistemas, las aplicaciones para Internet pueden mantener registros de actividades y con la aparición de Mac OS X, MobikeMe y más aun con iCloud, que permite el almacenamiento en la nube, estos sistemas contienen cada vez más datos relacionados por la red.

Usuario: Toda personas que utiliza un sistema informático, incluyendo usuarios finales, usuarios básicos y avanzados e incluso el propio administrador de un sistema es su usuario. | Inglés: User | Plural: Usuarios