Área de investigación en sistemas informáticos

20 de julio de 2017 Autor: Antonio Salmerón

 
[Áreas; Figura ac3]: Área de investigación en sistemas informáticos.

El objetivo de los módulos de esta área es introducirse en los conocimientos prácticos más habituales en el ejercicio profesional de la informática forense que abarca las arquitecturas informáticas, la representación, almacenamiento y ocultación de datos, los sistemas de ficheros, las protecciones, los documentos digitales y los formatos multimedia, los sistemas operativos de tipo Microsoft Windows, los de tipo UNIX y Linux, etc.

Bluetooth: Dispositivo y especificación para la transmisión de datos y voz entre diferentes dispositivos digitales por radiofrecuencia en la banda de los 2,4 GHz. El bluetooth disminuye el número de cables y conectores, facilita la comunicación entre dispositivos fijos y móviles e incluso permite crear una pequeña red inalámbrica. | Plural: Bluetooths | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Conceptos fundamentales de informática

12 de abril de 2017 Autor: Antonio Salmerón

 

Los peritos e informáticos forenses han de comprender lo que sucede en los sistemas informáticos y no sólo limitarse a emplear las herramientas forenses. A veces, esta falta de comprensión y la aplicación no sopesada de herramientas pueden conducir a no observar pruebas digitales o a realizar interpretaciones erróneas. Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

Disco óptico: Disco que emplea tecnología láser para la grabación y lectura de la información. El soporte es un disco de aluminio recubierto de plástico y la grabación, que es destructiva, consiste en realizar pequeños agujeros con un haz de láser sobre su superficie. Su velocidad de acceso es menor que la de los discos magnéticos. Inicialmente eran discos sólo de lectura, porque los agujeros eran permanentes, pero actualmente se diseñan para 3 tipos de grabación: a) solo lectura, por ejemplo CD o CD-ROM, b) grabable, posibilidad de escribir una sola vez, por ejemplo, el CD-R y c) regrabable, por ejemplo, el CD-RW. | Inglés: Optical disc | Plural: Discos ópticos | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Documentos y almacenamiento multimedia

12 de abril de 2017 Autor: Antonio Salmerón

 

Los contenidos, fotografías, audios y vídeos, con sus formatos y posibles metadatos son una fuente de pruebas digitales para el perito y para el informático forense. El volumen de información digital que se registra en multimedia crece aceleradamente, muchos de los sucesos privados y públicos pueden ser grabados rápidamente por las cámaras de móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo, por esto, el objetivo de este módulo es conocer estos formatos y practicar con ellos como posibles pruebas digitales.

Dithering: Proceso de imágenes utilizado para crear y visualizar más colores o niveles de gris que los que originalmente se disponía en la paleta de un gráfico o imagen. Para la creación de estos nuevos colores se utilizan los previamente existentes pero modificando las proporciones de sus componentes en imágenes a color y la proporción de blanco y negro en imágenes con niveles de gris. | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Sistema operativo Windows de Microsoft

12 de abril de 2017 Autor: Antonio Salmerón

 

Por la popularidad de Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en muchos de sus casos y, a su vez, es para los que más herramientas forenses se han desarrollado. El objetivo de este módulo es conocer las técnicas y herramientas para la recogida y el examen de pruebas digitales en equipos con el sistema operativo Windows de Microsoft y, también, la recuperación de datos, los ficheros de log y registros, el análisis de la actividad en internet y de algunas aplicaciones típicas de Windows.

Compatible IBM PC: Computador compatible y similar al IBM PC o a sus sucesores desarrollado por fabricantes diferentes a IBM. También se les denominó clones o clónicos porque copiaban casi exactamente las características de la arquitectura de IBM PC. | Inglés: IBM PC compatible | Plural: Compatibles IBM PC | Alias: Clon; Clónico | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Sistemas operativos UNIX y Linux

12 de abril de 2017 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX, tanto comerciales y como de software libre, por ejemplo, Linux y todas sus versiones. Ambos, UNIX y Linux, están detrás de muchos lanzamientos tecnológicos como, por ejemplo, el Mac OS X de Apple y el Android de Google, a su vez, muchos sitios Web financieros y comerciales se ejecutan en servidores UNIX o Linux e, incluso, muchas de las herramientas de informática forense para otros sistemas operativos se basan en Linux. Por ello, el conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo.

Configuración: 1) Conjunto de los elementos que componen un sistema informático. 2) Establecimiento de las características del hardware y software para su correcto funcionamiento, su optimización, su seguridad o para que funcione de acuerdo con un uso específico. 3) Modo de conexión de las distintas unidades de una red, por ejemplo, en anillo, estrella, etc. | Plural: Configuraciones | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Sistemas operativos de Apple

12 de abril de 2017 Autor: Antonio Salmerón

 

Dentro de la informática forense los sistemas de Apple suelen recibir menos atención que otros sistemas operativos y que otras clases de hardware, porque son menos frecuentes y con menos usuarios. Sin embargo, no pueden ser ignorados porque los delincuentes los utilizan, porque su estructura interna que da soporte a su sencillo y cómodo interfaz gráfico, si bien es ideal para el usuario, no facilita sin embargo su examen forense y porque actualmente se están vendiendo muchas unidades de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio y esta venta tiene una tendencia al alza. Por ello, este módulo está dedicado a su estudio.

Interfaz de usuario: Frontera, hardware o software, a través de la cual se establece el diálogo hombre-máquina. El objetivo final de una interfaz de usuario es facilitar la comunicación de los usuarios con un computador, a través de dispositivos interactivos. Gracias a la aparición de dispositivos de entrada/salida como las pantallas de alta resolución y el ratón se evolucionó de los interfaces de usuario de texto y cursores a los interfaces gráficos. Es una de las áreas de la informática que más influencia tiene en el uso de los computadores en la vida diaria, de aquí que para el diseño de una buena interfaz de usuario la informática necesite apoyarse en ciencias como la psicología o la ergonomía. Una buena interfaz debe: a) Mostrar claramente al usuario todas las posibles acciones que puede realizar y todas las prestaciones del sistema o de la aplicación, en inglés esta característica suele expresarse con las siglas WYSIWYG, what you see is what you get, obtienes lo que ves, b) debe conducir al usuario a través de la aplicación, eliminando todo lo que, siendo innecesario, pueda ser causa de distracción y c) en la medida de lo posible, debe anticiparse a los errores del usuario disponiendo de mecanismos eficaces de recuperación si surgen errores. En el diseño de una interfaz de usuario suelen distinguirse 3 niveles: a) un nivel abstracto en el que se albergan las funciones de alto nivel que realiza el sistema y los conceptos que maneja, b) estas entidades abstractas deben situarse en un nivel de comunicación en el que se definen cómo se representan en el terminal y cuál debe ser el lenguaje interactivo que el usuario debe aprender para manipular los objetos del sistema y c) finalmente un nivel de aplicación en el que se definen los algoritmos y los procedimientos necesarios para soportar los requerimientos del usuario y las operaciones del sistema. Para ello, los elementos que más comúnmente se utilizan en la construcción de una interfaz de usuario son ventanas, menús, iconos, barras de scroll, etc. La extensión del uso de pantallas táctiles, micrófonos, cámaras de vídeo, sensores inerciales, etc. está introduciendo nuevos cambios en el concepto de interfaz de usuario e influyendo en el aumentado del número de usuarios de los dispositivos digitales. | Inglés: Graphical user interface; Human computer interface; User interface | Plural: Interfaces de usuario | Alias: Interfaz gráfico de usuario | Bibliografía: Salmerón, A.; et ál.; 1996

Conceptos fundamentales de informática

7 de febrero de 2017 Autor: Antonio Salmerón

 

El informático forense y el perito han de comprender lo que realmente está sucediendo dentro de los sistemas informáticos y no sólo han de limitarse a emplear software sofisticado para recuperar ficheros eliminados, realizar análisis avanzados del contenido de los discos duros, examinar la actividad en internet, etc. A veces, la falta de comprensión sobre cómo funcionan los computadores y la aplicación automática y no sopesada de herramientas sofisticadas pueden conducir a no observar pruebas digitales evidentes o a realizar de ellas interpretaciones erróneas.

Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

[Sistema Operativo; Figura iso] Interacción el usuario, las aplicaciones, el sistema operativo y el hardware.

Dentro de este módulo se estudian los siguientes temas:

  • La arquitectura de los computadores y sus principios de funcionamiento incluyendo un elemento fundamental desde el punto de vista del perito y del informático forense como es el sistema operativo.
  • La representación de los datos en el computador y los diferentes sistemas de representación de datos.
  • El almacenamiento de los datos y, también, la ocultación de datos dentro del computador.
  • Los sistemas de gestión de ficheros y la ubicación y organización de los ficheros dentro de ellos.
  • Finalmente, las protecciones con usuarios y contraseñas y una primera aproximación al cifrado.

Software: Conjunto de programas utilizados por un computador. Se aplica tanto a los elementos más básicos de la programación, como las rutinas, funciones, etc. como a otros programas de distinta finalidad: sistemas operativos, sistemas de gestión de bases de datos, compiladores, programas de edición, etc. | Bibliografía: Salmerón, A.; et ál.; 1996

Documentos y almacenamiento multimedia

7 de febrero de 2017 Autor: Antonio Salmerón

 
[Multimedia; Figura pkl]: Laboratorio de pruebas fotográficas y pruebas digitales multimedia de la policía de Kansas City.

Los documentos digitales, con formatos como PDF, Word, OpenOffice, ePUB, etc. y los de almacenamiento multimedia para

  • imágenes y fotografías, formatos PNG, JPEG, GIF, BMP, TIFF, etc.,
  • audio, formatos MP3, WAV, AIFF, etc. y
  • vídeo, formatos MP4, AVI, MOV, etc.

y tanto con su contenido digital como con todos los posibles metadatos que los describen como por ejemplo para imágenes y fotografías:

  • marca y modelo del dispositivo,
  • orientación y posición,
  • autor,
  • fechas y horas de toma, digitalización, de edición, etc.
  • resolución y unidades,
  • dimensión ancho y alto,
  • longitud, latitud, altura,
  • zoom,
  • flash, apertura, fuente de luz,
  • clase del mapa de colores,
  • tiempo de exposición,
  • etc.,

pueden representar una fuente de pruebas digitales para el informático forense y perito. El objetivo de este módulo es conocer estos formatos, sus metadatos y realizar experiencias prácticas con ellos.

[Multimedia; Figura vca]: Visualización de las gráficas de los 2 canales de un fichero de audio digital.

El volumen de información digital que se registra con formatos multimedia crece de forma acelerada, se dice que la cantidad de información registrada a nivel mundial se duplica cada 2 años y los formatos digitales multimedia contribuyen a ello. Baste pensar que tanto sucesos privados, como aún más los sucesos en público, aunque sean intrascendentes:

  • desde una caída aparatosa al coger el autobús
  • a una pelea de pre-adolescentes en una excursión del instituto,

pueden ser grabados inmediatamente por las cámaras de los móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo.

Documento electrónico: En general, cualquier documento almacenado en un soporte digital. En relación a la seguridad informática, se denominan así a los documentos que ofrecen cierto nivel de garantía de contenido, origen, firma, fecha de creación, titular, etc. por ejemplo, mediante técnicas de cifrado o firma digital. | Inglés: Electronic document | Plural: Documentos electrónicos

Sistema operativo Windows de Microsoft

7 de febrero de 2017 Autor: Antonio Salmerón

 
[Microsoft; Figura gbw]: [Gates; B.] fundador de Microsoft en 2005, entonces también Presidente y Chief Software Architect de la compañía.

Por la popularidad mundial de Microsoft Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en la mayoría de sus casos. Como consecuencia de su amplia difusión es el sistema operativo para el que más variedad de herramientas de informática forense se han desarrollado, tanto de las comerciales como de las de software libre. Por otro lado, es un sistema operativo que está al alcance de la mayoría de los interesados, por lo que es muy adecuado para la realización de prácticas. Por todo ello el objetivo de este módulo es familiarizarse y conocer:

  • Los tipos de sistemas de ficheros de los sistemas operativos de la clase Windows de Microsoft.
  • Las herramientas y las técnicas para la recogida y el examen de pruebas digitales en computadores con Windows.
  • La recuperación de datos.
  • Los ficheros de log y registros.
  • El análisis de la actividad en internet.
  • Finalmente el estudio, desde la perspectiva de la informática forense de algunas aplicaciones típicas de Windows, como sistemas de gestión de bases de datos, si bien es tal su variedad que es imposible intentar abarcarlas todas.

MS-DOS: Sistema operativo monoproceso para computadores personales. Fue muy difundido y para él se desarrollaron muchas aplicaciones como procesadores de textos, hojas de cálculo, etc. Inicialmente, funciona con los microprocesadores de INTEL 8086, 8088, 286, 386, 486 y PENTIUM. | Inglés: Disk Operating System, DOS | Bibliografía: Salmerón, A.; et ál.; 1996

Sistemas operativos UNIX y Linux

7 de febrero de 2017 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX:

  • tanto sistemas comerciales, por ejemplo, Solaris de Sun Microsystems, HP-UX de Hewlett Packard, AIX de IBM e Irix de Silicon Graphics,
  • como sistemas de software libre, por ejemplo, OpenBSD, FreeBSD y, por supuesto, las múltiples versiones de Linux.

Actualmente, tanto UNIX como Linux están detrás de muchos lanzamientos tecnológicos y comerciales, por ejemplo:

  • los actuales sistemas Macintosh de Apple utilizan un sistema operativo basado en UNIX, el denominado Mac OS X, y
  • el sistema operativo móvil Android, desarrollado por Google, también está basado en Linux.
[UNIX Linux; Figura his]: Evolución histórica del sistema operativo Unix.

Adicionalmente:

  • muchos sitios Web, incluidos los financieros y los de comercio electrónico, se ejecutan sobre servidores con sistemas operativos UNIX o Linux y
  • muchas de las herramientas para el análisis y el examen de informática forense de dispositivos digitales, que originalmente estaban bajo el control otros sistemas operativos, se basan en Linux.

Por todo ello, el estudio, conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo, incluyendo su sistema de ficheros, las herramientas de informática forense, la recuperación de datos, los ficheros de log y de registro de la actividad tanto en el sistema operativo como en internet.

Forense: Adjetivo que indica de los tribunales, de la administración de justicia o relacionado con ellos. El término proviene del adjetivo latino forensis, con el significado de perteneciente o relativo al foro. En la Antigua Roma, una imputación por crimen suponía presentar el caso ante un grupo de personas notables en el foro. Tanto la persona que se la acusaba por haber cometido el crimen como el denunciante tenían que explicar su versión de los hechos. La argumentación, las pruebas y el comportamiento de cada persona determinaban el veredicto que emitían del caso. | Inglés: Forensic | Plural: Forenses

Sistemas operativos de Apple

8 de febrero de 2017 Autor: Antonio Salmerón

 

Apple Inc. es una multinacional estadounidense con sede en Cupertino, California, que diseña y fabrica equipos digitales y software:

  • Entre sus productos más conocidos están: los Macintosh clásicos, cuyo lanzamiento inicial fue en 1984, la línea iMac, computadores que desde 1998 se caracterizan por integrar su CPU dentro de su monitor, los computadores MacBook, que son portátiles, diseñados para usuarios básicos, lanzados en 2006 para reemplazando al iBook y al PowerBook en la transición de Apple hacía la tecnología de Intel, los iPods que, desde 2001, son la línea de reproductores portátiles de audio digital, fundamentalmente para música, los iPhones, familia de teléfonos inteligentes, multimedia, con conexión a Internet y pantalla táctil y los iPads, que son dispositivos electrónicos de tipo tableta, su 1ª generación se anunció en 2010 y su 2ª generación en 2011, siendo la última presentación de Steve Jobs.
  • Entre su software destaca: los sistemas operativos Mac OS X y el iOS, iTunes, como explorador de contenido multimedia, iLife, para creatividad, Final Cut Studio, para la edición de vídeo, Logic Pro para edición de audio, iWork, para productividad, Safari, como navegador web, Mac App Store y App Store, iTunes Store que, probablemente, son las mayores tiendas de contenidos digitales del mundo con programas, música, vídeos, libros, etc. iCloud e iTunes Match, que a pesar de ser servicios en la nube, forman parte del software que ofrece y distribuye Apple, etc.

Apple fue fundada el 1 de abril de 1976 por Steve Jobs, Steve Wozniak y Ronald Wayne, este último abandonó pronto la compañía y en 1977 se les unió con capital y experiencia Armas Clifford, Mike, Markkula Jr. Desde un garaje, esta empresa evolucionó para ser, en 2012, la empresa más grande del mundo por capitalización bursátil.

[Apple, sji]: Steve Jobs, fundador de Apple, abrazando un iMac en 1998.

Dentro de la informática forense y para el examen de pruebas digitales, los sistemas de Apple reciben menos atención que otros sistemas operativos como Windows de Microsoft o UNIX y Linux, probablemente porque:

  • en muchos países son menos frecuentes como, por ejemplo, sucede particularmente en España,
  • se tiene la idea de que son más difíciles de encontrar en el mercado, a pesar de estar empezado a llegar a mucho más público y
  • también hay menos usuarios y profesionales familiarizados con ellos, si bien los que los conocen hablan con pasión de ellos.

Sin embargo, tanto el hardware de Apple como sus sistemas operativos no pueden ser ignorados por dos razones:

  • porque los delincuentes los utilizan y
  • porque su sencillo y cómodo interfaz gráfico si bien es ideal para el usuario, no facilita sin embargo su examen forense.

Por ello, si hay algo actualmente claro es que los informáticos forenses y los peritos tienen que dedicar más atención a los sistemas operativos de Apple, fundamentalmente porque se están vendiendo muchas unidades, y con una tendencia al alza, de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio.

[Apple, im1]: Apple iMAC 21,5 MC508E/A.

La aparición de nuevo sistema operativo de Mac basado en UNIX, el denominado OS X, ha atraído, además de los usuarios tradicionales, a nuevos usuarios más técnicos que valoran la potencia de UNIX y la comodidad del interfaz gráfico de usuario clásico del Mac.

Aunque el examen forense de los sistemas de Mac se puede realizar con las herramientas de informática forense habituales, es mucho más eficaz examinar estos sistemas usando un sistema de Mac configurado especialmente con instrumentos nativos de Mac.

Este módulo proporciona una breve introducción al examen forense los sistemas operativos de Mac:

  • siguiendo a [Casey, E.; 2011] y
  • se puede encontrar una cobertura más a fondo de este módulo en [Casey, E.; 2009; Capítulo 7] desarrollado por Anthony Kokocinski que también incluye una sección detallada sobre las aplicaciones más comunes de Mac como Safari, iCal, Mail, etc.

Como se verá, dentro de este módulo, a pesar de su apariencia amigable los sistemas Apple Mac con muy complejos y poderosos y la recuperación manual de ficheros borrados es difícil debido a la intrincada estructura del fichero Catálogo.

Se pueden utilizar herramientas existentes para realizar exámenes básicos de pruebas digitales, incluyendo el visionado de la estructura de ficheros y la recuperación de datos borrados. Por ello, actualmente, hay necesidad de más herramientas de examen de las pruebas digitales y de más investigación acerca de los sistemas Mac. Como en otros sistemas, las aplicaciones para Internet pueden mantener registros de actividades y con la aparición de Mac OS X, MobikeMe y más aun con iCloud, que permite el almacenamiento en la nube, estos sistemas contienen cada vez más datos relacionados por la red.

Informática: Ciencia que estudia y técnicas que permiten el procesamiento automático de la información mediante máquinas denominadas computadores. Comprende materias como: la arquitectura de computadores, las técnicas de computación, la programación, los lenguajes de programación y sus compiladores e intérpretes, los sistemas operativos, las bases de datos, la ingeniería del software y la ingeniería del conocimiento, la comunicación entre computadores y las redes de computadores, etc. En DRAE; 2001 se la define como el conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores. Aunque con algunos antecedentes históricos, se considera que la informática se inicia a principios de los años 40 y ha tenido un rápido desarrollo en las últimas décadas y un gran impacto en la sociedad y en la mayoría de las actividades humanas. | Inglés: Computer science | Plural: Informáticas | Bibliografía: Salmerón, A.; et ál.; 1996 ; DRAE; 2001; Voz, "Informática"