A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.
WikiSTC compendio de información de seguridad
2 respuestas
Archivo de la categoría: Criminalística
Entrevista a Kevin Mitnick
Mercè Molist es uno de los mejores periodistas tecnológicos del mundo (en masculino neutro). Posiblemente la mejor periodista tecnológica sobre temas de seguridad en español y catalán. Yo siempre disfruto de sus artículos. De todos. Y estoy pendiente de los medios en los que publica para ver cuando sale un artículo suyo.
Recientemente ha publicado su entrevista a Kevin Mitnick, el famoso hacker (básicamente experto en ingeniería social) al que ayudó a detener Tsutomu Shimomura. Mitnick fué detenido en 1995 y salió en libertad en enero del 2000 a través de un acuerdo con el gobierno estadounidense, en el que se contemplaba que durante tres años no podía acercarse a ningún equipo electrónico (ordenadores, teléfonos, etc.). La historia se ha recogido de forma novelada en el libro «Takedown» de John Markoff con Shimomura, y ha sido llevada a la pantalla grande en una película sin excesivo éxito. La versión de Mitnick se recogió en The Fugitive Game: Online with Kevin Mitnick de Jonathan Littman. Takedown se ha publicado en español, pero el traductor no tenía excesivos conocimientos técnicos y mucha jerga está mal traducida, por lo que los más frikis deberían leerlos en inglés.
Mercè ha realizado una interesante entrevista a Kevin Mitnick que referencia en su blog y que recoge en su página personal.
Enhorabuena por la entrevista.
Ley de Benford – Newcomb
La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.
En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.
Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.
De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.
Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.
Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:
1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %; 7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %
Blogs relacionados con las evidencias electrónicas
Estos días estoy recopilando una lista de Blogs relacionados con las Evidencias Electrónicas, las Evidencias Digitales, la Informática Forense, la Computación Forense, las Peritaciones Informáticas, las Pruebas Digitales, …
(seguramente podría dedicar un post en este blog a discutir los diferentes términos que se pueden aplicar a disciplinas tan conexas).
He pedido ayuda a los amigos participantes en la lista de correo del Foro de las Evidencias Electrónicas para elaborar la relación de blogs, y de momento he recogido este pequeño elenco:
Además, aunque de temática muy amplia, el Blog de Enrique Dans, también toca a veces temas de seguridad y de capacidad probatoria de hechos en los que se ha utilizado la informática.
Yo, por mi parte, ya había ido encontrando algunos blogs de temática conexa:
Los sitios webs de abogados con marcado tono personal también me valdrían para este listado:
Y otros en los que se utilizan lenguas que me gustaría conocer:
- Forensic Blog (en alemán)
Como pienso ir actualizando este post en concreto, voy a crear un mecanismo de control de versiones:
- V1.0 (10 de julio de 2006) Versión inicial de las listas
Computación Forense: La pericia del perito informático
Son tan escasos los artículos dedicados a este tema especializado en medios generalistas, que es de agradecer la nota en la contraportada de Computing del 10 de mayo de 2006, firmado por Marga Verdú.
Peritajes electrónicos (Computer Forensics)
Aunque el proceso que describe el periodista no es ortogonal y está muy simplificado, es una primera aproximación para no expertos.
Se describe en http://www.elpais.es/articulo.html?d_date=&xref=20060119elpcibpor_4&type=Tes&anchor=elpcibpor
Estos son los pasos que se indican
- Toma de contacto. Conversación con los relacionados en el caso, con el objetivo de tener una idea clara de lo que ha ocurrido y planear la investigación. En este caso se sospechaba de un empleado que había accedido a una máquina de otro empleado para sustraer un documento.
- Copia del disco duro. Acompañado del representante de los trabajadores y de los directores, se requisa el ordenador del sospechoso para, delante de todos, realizar una copia íntegra, bit a bit, del disco duro. Esta copia servirá para la investigación, y el ordenador requisado será guardado para su custodia en la caja fuerte de la empresa. Si se dispone de otros medios de almacenamiento externo, como CD o discos USB, se requisan también para su posterior análisis.
- Análisis del disco duro. Se buscan indicios de virus, troyanos o gusanos, así como herramientas de ataque, con la idea de realizar una foto del ordenador y saber para qué se usa realmente, así como el nivel del usuario. A continuación se localiza y analiza la información que ha sido borrada. Seguidamente, se realiza una escala temporal lo más exacta y detallada posible. Es decir, conociendo aproximadamente la fecha del suceso, se reconstruye el escenario segundo a segundo: acceso a ficheros, creación o borrado de ficheros, ejecución de comandos, accesos a páginas de Internet, etcétera. Como se trata de un robo de información confidencial, se busca en todo el disco, tanto en archivos existentes, como en archivos borrados y espacio no utilizado.
- Análisis de logs. Revisión y análisis de todos los logs o huellas de actividad, de la máquina y de todos los elementos relacionados, tales como cortafuegos, IDS, impresoras y servidores.
- Cadena de custodia. Una vez que hemos obtenido las pruebas, es fundamental documentarlas y mantener lo que se denomina cadena de custodia, que garantiza el origen de las pruebas, imprescindible si hay juicio.
- Presentación de resultados.
- Acciones legales si fuera necesario.
En mi opinión, hay 2 grandes pasos:
- Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
- Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial
Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.
Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.
El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.
Interceptación legal de las Telecomunicaciones
Ya es legal interceptar las telecomunicaciones.
El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. (publicado en el BOE núm. 102, de 29-04-2005, pp. 14545-14588) establece en su sección terecera el régimen de interceptación de las telecomunicaciones.
Sorprende el poco eco que ha tenido la publicación de esta norma (incluyo en forma de comentario toda la sección referida a la interceptación de las telecomunicaciones)
Edmond Locard
En el «post» anterior quería poner un link al pionero criminalista Locard en la Wikipedia, y como no lo he visto, me he entretenido un poco en armar su semblanza, que no me resisto a transcribir a continuación.
Edmond Locard nació en Francia (1877-1966). Es uno de los pioneros de la ciencia Criminalística.Doctor en medicina y Licenciado en derecho. Trabajó como ayudante de otro pionero forense Alexandre Lacassagne y estudioso de Alfonso Bertillon. Fue director del gabinete de la policía de Lyon y uno de los principales pioneros de la Investigación Policial con Técnicas Científicas, denominada Criminalística. Escribió tratados de Criminalística y Poroscopia.
Fundó el Laboratorio de Criminalística de Lyon en 1910. Es autor de «Traité de Criminalistique», tratado en 7 tomos y una verdadra referencia de criminalítica, en el que afirmaba que «escribir la historia de la identificación es escribir la historia de la criminología». También es suya la frase «los restos microscópicos que cubren nuestra ropa y nuestros cuerpos son testigos mudos, seguros y fieles, de nuestros movimientos y de nuestros encuentros.»
Las técnicas del Dr. Locard dmostraron su utilidad con el Servicio Secreto Francés durante la I Guerra Mundial, ya que era capaz de «conocer, tras examinar las manchas de los uniformes de los prisioneros y de los soldados, los lugares por los que habían pasado».
Locard tenía su criterio sobre personajes del imaginario literario como Sherlock Holmes o Dupin: «Lo admirable en Sherlock Holmes es ese perfecto conocimiento de todo lo que se necesita haber estudiado para descubrir criminales; en lo cual es considerablemente superior a los policías de Edgar Allan Poe y de Émile Gaboriau. Sherlock no es más inteligente que Dupin, pero conoce mejor su oficio. En una época en que ningún especialista había escrito ningún tratado, su cerebro contiene la primera síntesis de la técnica policiaca»
Expertos criminalistas han señalado recientemente que el llamado «Principio de intercambio de Locard», referido como tal en gran parte de la literatura criminalística y reconocido como uno de los más importantes de esta ciencia, no había sido formulado como tal por el propio Locard en su monumental obra.
Aunque sí que es cierto que Locard hizo la observación «Il est impossible au malfaiteur d’agir avec l’intensit que suppose l’action criminelle sans laisser des traces de son passage» , es decir «es imposible que un criminal actúe, especialmente en la tensión de la acción criminal, sin dejar rastros de su presencia» en la primera oración en el capítulo 3 (rastros) en «Manuel de Technique Policière», París: Payot, 1923.
La primera referencia encontrada del principio del intercambio de Locard aparece en la obra de Reginald Morrish, «The Police and Crime-Detection Today», London: Oxford University Press, 1940, 72. El principio del intercambio de Locard fue reiterado por L.C. Nickolls, en 1956, atribuyéndolo a Locard (1928), y confirmándolo como principio esencial aplicable al trabajo de los microscopistas forenses de todo el mundo.
Este principio se suele expresar así: «siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto»
El principio de intercambio de Locard ha permitido obtener indicios relevantes desde huellas en el barro o sus restos en neumáticos y calzado, hasta la huellas dactilares o restos en las uñas.
En el ámbito electrónico, el principio se aplica respecto a la convicción de que cualquier interacción con un ordenador afecta a su funcionamiento, su uso de la memoria e incluso lo que se escribe en el disco duro, de forma que un experto pueda encontrar trazas de la interacción, e inclusive detalles que permiten reconstruir los hecho e identificar a sus autores.
(Otro pionero, Alfonso Bertillon, nació en Paris en 1853. Fue medico y antropólogo. Creó en 1880 el Sistema Antropométrico. Se basaba en la medición de los huesos del cuerpo humano y sus relieves, y, en particular las medidas de brazos, piernas, cuerpo y varias partes de la cabeza como sistema de identificación. En 1907 lo complementa con el Portrait Parlé, o Retrato Hablado. Son los mismos principios que han llevado a certeza de la identificación de personas por la huella dactilar o la huella plantar. Falleció en 1914)
Todo es electrónico 