Informatica Forense

La evidencia digital – Base para el perito informático

Guido Rosales 26/07/2021

SIN EVIDENCIA DIGITAL, EL PERITO INFORMÁTICO PUEDE ESTAR SOBRANDO

La base para emitir desarrollar una pericia en informática forense es sin duda la evidencia digital.

DELITOS IMPUTADOS

En la legislación boliviana tenemos ciertos delitos considerados "Informáticos" como por ejemplo la manipulación (art. 363bis).

El que con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días.

Entonces si este delito versa sobre el procesamiento o transferencia de datos informáticos, se debe demostrar tal extremo mediante el análisis de la EVIDENCIA DIGITAL.

El resto de medio probatorios como TESTIMONIAL y DOCUMENTAL le permitirían a un perito tener un análisis del contexto para establecer cual hubiera sido el procesamiento correcto. PERO no puede fundamentar su opción únicamente en estos medios de prueba sin el análisis de EVIDENCIA DIGITAL.

El perito debe extremar esfuerzos para obtener la evidencia digital base para su análisis y testimonio profesional. Por supuesto que sus canales deben ser las partes proponentes y sus vías legales. Sí por algún motivo esta no es habida, entonces debe abstenerse de emitir opinión y sobre todo DICTAMEN

El PERITO INFORMÁTICO EXISTE POR CUANTO HAY ASPECTOS INFORMÁTICOS A ANALIZAR Y EVIDENCIA DIGITAL A INTERPRETAR

Como en otras ramas de la criminalística, considerando la física, química, biología por ejemplo se genera un tipo de evidencia que debe ser analizado e interpretado por un especialista en el campo para esclarecer la ocurrencia de un hecho. Responder a preguntas del cómo, cuando, quien básicamente.De similar manera la Pericia Informática EXISTE por cuanto tenemos evidencia digital que acompaña generalmente un proceso físico o también digital. Entonces el especialista en este campo debe valorar con mayor relevancia la EVIDENCIA DIGITAL. Si bien debe leer documentación, eventualmente escuchar testimonios, su principal foco seguirá siendo la parte digital.No es un especialista en documentología para concluir a partir de la revisión de un formulario, o realizar entrevistas y jugar a ser un psicólogo forense, por ejemplo.También deberá tomar en cuenta que requiere subespecialización si decide interpretar el mundo analógico contenido en un soporte digital como la Voz o imagen.ZAPATERO A TUS ZAPATOS

SI EL ABOGADO DESCONOCE DE EVIDENCIA DIGITAL SUS OTROS MEDIOS SOBRAN

Es también cierto que las personas nos sentimos cómodas con lo que conocemos. Resulta que muchos abogados en la función que tiene ya sea como defensores, acusadores o juzgadores, eluden hablar de la evidencia digital y utilizan los medios testimoniales y documentales para el análisis de un hecho informático.

Pero, si el único delito imputado es MANIPULACIÓN INFORMÁTICA, como pueden juzgar sin analizar?. Ojo que no dar cabida a su amplio análisis es menoscabar los derechos de alguna de las partes. Así como desconocer la ley no nos exime de su cumplimiento, debe ser obligación para los profesionales del área legal EXCUSARSE si la materia a tratar no es de su especialidad.

O en su defecto contar con CONSULTORES TÉCNICOS.

NO PUEDES SER ESPECIALISTA CON UNAS HORAS DE LECTURA

Resulta por demás extraño que al Perito se le cuestione todos sus estudios cuando el abogado pretende ser un especialista con a veces y siendo optimistas, algunas horas de lectura, dado que muchos utilizan preguntas de manual de interrogatorio.

El abogado no utiliza la figura del Consultor Técnico demostrando su ego profesional de no ahondar su especialidad por ejemplo penal en TIPOS DE DELITOS.

NECESITAMOS ABOGADOS SUBESPECIALIZADOS, DEFENSORES, MINISTERIO PÚBLICO, ACUSADORES Y SOBRE TODO JUECES.

ENCASE FORENSIC – V20.3

Guido Rosales 10/08/2020

En días recientes, Opentext ha liberado una actualización de su popular herramienta para la investigación forense de evidencia digital, ENCASE FORENSIC, ahora en la versión 20.3

Sin duda le tengo un cariño especial a ENCASE, son mas de 10 años con esta herramienta

Que podemos ver hasta ahora:
1️⃣ Vemos con mucho agrado que mantiene ese motor de EnScripts (c++ y java) para poder personalizar la herramienta. Ahora hay mas recursos libres para poder adaptar a las necesidades. Código fuente disponible en muchos sitios. Quizá de versiones anteriores, pero sigue sirviendo para reciclar.

2️⃣Los pathways resultaron muy útiles al momento de preconfigurar tareas según el tipo de casos. Se puede aprovechar de mejor manera el trabajo en equipo.

3️⃣La integración con módulos para móviles alivia la tarea de requerir mas herramientas. Hace bastantes cosas con la misma licencia.

4️⃣El manejo de hashes ha sido ampliado a mas opciones ademas de la típica dupla Md5 y Sha1, ahora tiene mas posibilidades.

5️⃣El soporte técnico mas eficiente. el entorno de soporte mas prolijo. Responden de manera mas clara y en menor tiempo.

6️⃣El área comercial y financiera lo propio. Hubo un momento que sus políticas de venta eran muy asfixiantes. Pero parece que su estrategia ha cambiado.

7️⃣Sin duda estaremos explorando mucho mas las nuevas facilidades como el manejo de hashes NSLR. Su integración con herramientas de cyberseguridad y los scripts disponibles.

8️⃣ Su indexacion de archivos sigue siendo muy útil

9️⃣ La facilidad de instalación destacable. Next, next.

🔟 La gestión de licencias de igual manera.

Que trae la version 20.3?

La nueva versión tiene importantes actualizaciones que sin duda representan tiempo de análisis y procesamiento. Al final mucho del trabajo se resume a la disponibilidad de tiempo para dedicar a la interpretación del caso y su relación con la evidencia digital. La herramienta es un facilitador, pero si nos brinda buenos resultados en la variable tiempo, eso es muy relevante.

Analizar los datos del archivo de imagen

Puede analizar los datos del archivo de imagen intercambiable (Exif) en EnCase Forensic al procesar su evidencia seleccionando la opción del analizador Exif en el cuadro de diálogo Opciones del procesador EnCase. Los datos Exif se agrega a los atributos de archivo para imágenes JPG.

Vista dinámica de tablas

Ahora puede seleccionar dinámicamente atributos de archivo desde el panel Ver y agregar y eliminar como columnas en el panel Tabla. Las columnas agregadas al panel Tabla se pueden ordenar y filtrar. Los atributos agregados pueden ser eliminados individualmente o todos a la vez

Trabajo con G-SUITE

EnCase Forensic ahora puede recopilar correo electrónico y elementos relacionados de Google G Suite.
• Todos los mensajes de correo electrónico, incluida la basura (reciclados)
• Calendario de eventos
• Etiquetas
• Adjuntos de correo electrónico
• Archivos adjuntos de calendario

Soporte de compresión RAR 5

EnCase Forensic ahora puede identificar y montar el contenido de contenedores comprimidos RAR5 cuando se activa procesamiento de archivos compuestos en un caso. Al igual que con otros algoritmos de compresión compatibles, puede también montar manualmente el contenido de los contenedores comprimidos RAR5 utilizando la estructura de archivo Ver como una función EnCase Forensic.

Adquisición de móviles

Se ha agregado compatibilidad con dispositivos iOS con jailbreak de checkra1n.
• Se agregó la adquisición de dispositivos con iPadOS para brindar soporte.
• Soporte de adquisición lógica de dispositivos iOS inscritos en MDM.
• Se ha resuelto el problema con la adquisición de iPhones con jailbreak con iOS 13.x. Los datos eliminados son
recuperado durante la adquisición de estos iPhones.
• Se ha resuelto el problema potencial con la adquisición lógica del iPhone XS Max.
• Se ha agregado la nueva opción Cellebrite UFED Data al Asistente de importación. Permite importar casos Cellebrite de dispositivos iOS.
• La importación de informes XML de Cellebrite se ha trasladado a las opciones de datos UFED de Cellebrite.
• Se ha resuelto el problema potencial con propiedades ausentes en la copia de seguridad del iPhone importada.

Y muchos otros aditivos de mejora y CORRECCIÓN.

Puede referirse al sisito oficial de Openteext para conocer con mas detalle estos cambios. O consultar con Yanapti SRL sobre esta poderosa herramienta.

Algunas noticias relacionadas:

Investigación forense: Ghiro para el análisis de imágenes

Guido Rosales 28/07/2020

Está desarrollado por Alessandro Tanasi Jekil y Marco Buoncristiano Burlone. Es una herramienta totalmente automatizada diseñada para ejecutar análisis forenses sobre una cantidad masiva de imágenes, solo usando una aplicación web fácil de usar y elegante.

Características de Ghiro

Podemos controlar todas las funciones de Ghiro a través de la interfaz web. Podemos cargar una imagen o un montón de imágenes para obtener una visión general rápida y profunda del análisis de imágenes. Podemos agrupar imágenes en casos y buscar cualquier tipo de datos de análisis.

Las principales características de Ghiro.

Extracción de metadatos: los metadatos se dividen en varias categorías según el estándar de donde provienen; los metadatos de las imágenes se extraen y clasifican. EX-EXIF, IPTC, XMP.
Localización GPS: está incrustado en los metadatos de la imagen, a veces hay un geoetiquetado, un poco de datos GPS que proporcionan la longitud y latitud del lugar donde se tomó la foto, se lee y se muestra la posición en el mapa.
Información MIME: El tipo MIME de imagen detectado para conocer el tipo de imagen con el que estamos tratando, tanto en forma contactada como extendida.
ELA: ELA significa Análisis de nivel de error. Identifica áreas dentro de una imagen que están en diferentes niveles de compresión. La imagen completa debería estar aproximadamente al mismo nivel si se detecta una diferencia, entonces probablemente indica una modificación digital.
Extracción de miniaturas: las miniaturas y los datos relacionados con ellas se extraen de los metadatos de la imagen y se almacenan para su revisión.
Consistencia de las miniaturas: a veces, cuando se edita una foto, se edita la imagen original, pero la miniatura no muestra diferencias entre las miniaturas y las imágenes.
Motor de firma: tienen más de 120 firmas que proporcionan evidencia sobre los datos más críticos para resaltar los puntos focales y las exposiciones comunes.
Hash Matching: supongamos que estamos buscando una imagen y que solo tenemos el valor hash. Podemos proporcionar una lista de hashes y se informan todas las coincidencias de imágenes.

Tipos de imagenes soportadas

Windows bitmap .bmp
Raw Canon .cr2
Raw Canon .crw
Encapsulated PostScript .eps
Graphics Interchange Format .gif
JPEG File Interchange Format .jpg or .jpeg
Raw Minolta .mrw
Raw Olympus .orf
Portable Network Graphics .png
Raw Photoshop .psd
Raw Fujifilm .raf
Raw Panasonic .rw2
Raw TARGA .tga
Tagged Image File Format .tiff

Arquitectura

The web interface: to interact with all features, this is the component used by users to work with Ghiro
The processor deamon: it fetches waiting tasks from the queue, process and analyze images
The relation database: it stores relational data, you can choose between MySQL, PostgreSQL and SQLite3
The MongoDB database: it stores analysis data

Descargar

Ghiro se puede descargar desde el sitio web oficial, donde se distribuyen las versiones estables y empaquetadas. El paquete estable está disponible en formato .zip y .tar.gz. El paquete anterior se recomienda encarecidamente para todos los usuarios. Algunas personas necesitan mantenerse actualizadas con los cambios de Ghiro, pueden descargar (git clone) desde nuestra página oficial de GitHub. Hay dos versiones diferentes disponibles.

sitio Oficial: https://www.getghiro.org/