Es curioso y a la vez gracioso encontrar a supuestos expertos del área forense indicar que pueden recuperar datos de discos duros o dispositivos de almacenamiento cuando inclusive hayan sido sobrescritos, esto no es broma, y ocurrió en un evento llamado “The Computer Forensics Show”.

Las técnicas de reuperación de datos o data recovery, como algunos lo conocen, comprenden recuperaciones desde la óptica física, como desde la óptica lógica. Muchas veces, nos hemos encontrado con discos duros magnéticos de platos con sonidos extraños, y sin embargo, los seguimos utilizando sin hacer un respaldo de los datos allí contenidos y es cuando el mismo ya no es reconocido que decimos “¿por qué no hice un respaldo?”. Sin embargo, no todo está perdido, hay muchas formas y posibilidades de que nuestros datos vuelvan a cobrar vida a pesar de que nuestro disco duro no sea reconocido por nuestro sistema operativo.

Lo ideal en este momento es contar con algún conjunto de dispositivos a los que podamos conectar nuestro disco y nos indique un diagnóstico de por qué nuestro disco no está respondiendo, algunos de estos dispositivos son los DeepSpar, este conjunto de herramientas examinan el disco, e inclusive reparan algunas fallas de firmware, e inclusive algunos fallos electrónicos de casi cualquier disco duro.

Si no contamos con un dispositivo como el PC-3000 de DeepSpar, tendremos que confiar en nuestro instinto e ir haciendo pruebas de ensayo y error, o utilizar la utilidad MHDD que es una utilidad gratuita para diagnósticos de discos duros a bajo nivel. Antes de aperturar un disco duro físicamente, intentemos por todos los medios lógicos de recuperar los datos. Para ello, lo primero que podemos hacer es intentar conectar el disco duro en diferentes sistemas operativos, Windows y Linux básicamente, luego intentar crear una imagen lógica del mismo, que no es más que una copia bit a bit del dispositivo –hay que tomar en cuenta que un disco de X GB producirá una imagen de X GB-, la herramienta universal para hacer esto es dd o su evolución dcfldd, aunque hay muchas otras que también pueden servir, como es el caso de FTK Imager, entre otras. Si esto tampoco funciona podemos intentar hacer una imagen de forma inversa, con Media Tools Pro, por ejemplo.

Si esta recuperación lógica no surte efecto, podemos presumir que algún componente de hardware del disco duro se haya dañado. En este caso, debemos identificar cuál es y posiblemente aplicar un “transplante”. Por ejemplo, si identificamos que un disco duro tiene su placa de circuitos visible y vemos algún componente quemado pudiéramos intentar reemplazar este componente utilizando Chip Quick por ejemplo, o simplemente reemplazando la placa completa. En este punto, hay que tener suma precaución porque es posible que dos discos duros del mismo fabricante, modelo, e inclusive de la misma capacidad tengan placas diferentes, esto producto de la globalización de la manufactura, ya que un fabricante puede tener plantas de producción en varios países, por ejemplo.

Si no hay visualmente un componente afectado, procederemos a aperturar el disco con sumo cuidado y procurando tomar fotografías periódicamente de nuestro procedimiento a fin de no perder detalles al respecto para poder luego ensamblar el mismo con detenimiento. Más detalles de qué hacer una vez que tenemos el disco abierto en una próxima entrega.

Por: Francisco Pecorella

Enfoque Seguro

Para suplantar la identidad de sus víctimas, los criminales consiguen información de diversas maneras:

-    Revisando la basura de edificios o conjuntos residenciales en busca de facturas, cuentas u otros documentos.

-    Oyendo las conversaciones que una víctima sostiene a través de su celular, en sitios públicos, en las que pueda revelar su número de tarjeta de crédito o viendo sobre su hombro cuando ingresa esa información en su computador.

-    Copiando las tarjetas débito o crédito en cajeros o en sitios abiertos al público (como tiendas o restaurantes) usando los viejos skimmers.

-    Usando técnicas de phishing para que sus víctimas voluntariamente entreguen su propia información.

-    Modificando la dirección de correspondencia de las víctimas.

-    Mediante el robo de carteras que puedan contener documentos con información de identificación de víctimas.

-    Consiguiendo información de las víctimas a través de los bancos o instituciones del sector financiero.

-    Usando documentación desechada relativa a créditos preaprobados, que no haya sido destruida.

En 1998 fue promulgada en Estados Unidos la Ley de Disuasión de la Asunción y el Robo de Identidad (Identity Theft and Assumption Deterrence Act), que, en términos colombianos, tipificó la conducta de “con conocimiento, transferir o utilizar en una forma no autorizada por la ley, un medio de identificación de otra persona con la intención de cometer, o ayudar o auxiliar en, cualquier actividad ilegal que constituya una violación de la ley federal o un delito según la ley de un estado o una ley local”. Definió como sanción una pena privativa de la libertad de 15 años, multa y confiscación de todos los bienes usados para cometer el delito.

Las violaciones de esta ley son investigadas por agencias federales de investigación como el U.S. Secret Service, el FBI y el U.S. Postal Inspection Service; son procesadas judicialmente por el Departamento de Justicia.

Adicionalmente, existe toda una estructura legal, de los órdenes federal y estatal, que está directamente relacionada con este delito. A nivel federal están:

-    En cuanto al historial de crédito de las personas: el Fair Credit Reporting Act define procedimientos para corregir errores en el historial de crédito y obliga a que el mismo solamente sea entregado cuando quien lo solicite tenga fines legítimos de negocios.

-    En cuanto al uso de tarjetas de crédito: el Fair Credit Billing Act, que define procedimientos para corregir errores de facturación en las cuentas de las tarjetas de crédito. Limita, también, la responsabilidad de los usuarios por deudas correspondientes a usos fraudulentos de sus tarjetas.

-    El Fair Debt Collection Practices Act: prohibe a los acreedores usar técnicas de cobro que sean injustas o engañosas, cuando envían las deudas a su favor a las oficinas de cobro de cartera vencida.

-    El Electronic Fund Transfer Act: protege a los consumidores en todas las transacciones en las que usen tarjetas de crédito o débito. Limita la responsabilidad de los consumidores frente a transferencias de fondos no autorizadas.

-    El Driver’s Protection Act y el Family Educational Rights and Privacy Act que ponen límites a la divulgación de información personal contenida en registros de departamentos estatales de vehículos y de instituciones y registros educativos guardados por agencias que reciban fondos federales, respectivamente.

-    El Gramm-Leach-Bliley Act y el Health Information Portability and Accountability Act, que protegen la información personal de los consumidores que es guardada por instituciones financieras y por algunas entidades de salud que realizan determinadas clases de transacciones financieras y administrativas en línea.

A nivel estatal, se encuentra el siguiente panorama:

-    47 estados han promulgado leyes que obligan a las centrales de reporte de crédito a implementar la medida conocida como credit freeze, que consiste en que nadie puede acceder al historial de crédito de quien haya solicitado la protección; el consumidor que goce de ella podrá levantarla temporalmente mediante el uso de una clave para así poder adelantar sus negocios de manera legítima.

-    Algunos estados han promulgado leyes que obligan a las centrales de reporte de crédito a, ante la solicitud de un consumidor, bloquear información inexacta del reporte de crédito que sea resultado de robo de identidad, generalmente 30 días después de su recepción de toda la documentación correspondiente.

-    También existen regulaciones estatales que prohíben la revelación del número de Social Security de las personas, por ejemplo mediante su publicación o impresión en carnets educativos o identificaciones de empleado.

El robo de identidad se presenta frecuentemente en concurso con otros delitos, como el fraude en la identificación, el fraude con tarjeta de crédito, el fraude mediante el uso de un computador, el fraude relacionado con el correo, el fraude electrónico o el fraude a institución financiera.

Las víctimas de robo o fraude de identidad deben denunciar la ocurrencia del hecho que los ha afectado ante la Federal Trade Comission, que es la entidad que defiende a los consumidores, o ante el FBI o el U.S. Secret Service. También, si la víctima cree que su dirección de correspondencia ha sido modificada, debe comunicarse con su oficina local del Postal Inspection Service; si la víctima cree que su número de Social Security está siendo usado fraudulentamente, debe contactar a la Social Security Administration; y, debe contactar al IRS, si cree que están usando su identificación para cometer violaciones de impuestos. Y, obviamente, la víctima debe contactar a las centrales de crédito americanas (Equifax, Experian y Trans Union), para reportar el fraude, pedir copia del reporte de crédito, controvertir la información incluida en él o para excluirse de listas de consumidores con créditos preaprobados.

Con información de: Federal Trade Commision, Department of Justice, Social Security Administration y Identity Theft Resource Center.

Por: Carlos Alvarez

Enfoque Seguro

Hoy día la gestión de la seguridad en las redes telemáticas dentro de organizaciones es compleja y difícil de manejar debido a la gran cantidad de registros de eventos (logs) que los administradores de seguridad deben procesar.

Estos eventos generados por servidores, estaciones de trabajo, Firewalls, IDS/IPS, Routers, etc., necesitan ser procesados e interpretados por los responsables de la seguridad para prevenir ataques a la plataforma tecnológica, cosa que en la mayoría de los casos es cuesta arriba por no contar con la cantidad necesaria de recursos humanos y las herramientas que permitan normalizar y correlacionar esas cantidades de eventos.

Es aquí donde entra en juego el proyecto OSSIM (Open Source Security Imformation Management). Este proyecto lleva más de 6 años en desarrollo por parte de la empresa Alienvault (Publicado en sourceforge.net el 18/08/2003) y como lo definen en su sitio Web (www.alienvault.com), “OSSIM es una distribución de productos open source integrados para construir una infraestructura de monitorización de seguridad.”

El objetivo principal de este proyecto es ofrecer a la comunidad un marco de trabajo centralizado para mejorar las capacidades de detección y monitoreo de eventos de seguridad relacionados con la plataforma tecnológica de la organización.

Entre los productos que conforman los pilares base de esta solución están el SNORT, uno se los mejores IDS/IPS de software libre en la actualidad, el NTOP, que permite monitorear las conexiones de nuestra red en tiempo real, NAGIOS, que permite ver la disponibilidad de nuestros equipos tanto servidores como dispositivos de red, OPENVAS, escáner de vulnerabilidades, entre otros, aparte de  una gran cantidad de agentes y plugins para la recolección de eventos, compatibles con plataformas como Windows, Linux/Unix, AIX, HP-UX, Sun y cualquier dispositivo que genere y envíe logs.

Uno de los secretos del éxito en la implementación de está herramienta, la versatilidad que tiene sus componentes (framework<-server<-agentes<-plugins) para realizar los procesos de recolección, normalización, análisis, correlación, priorización y valoración de riegos que nos permiten reducir tanto los falsos-positivos como el tiempo de respuesta a incidentes de seguridad tanto externos como internos.

Para mayor información pueden visitar la página de Alienvault (http://www.alienvault.com/community.php?section=WhatisES#introduccion) y disfrutar de esta herramienta de código abierto que hace la vida mas fácil a los administradores de seguridad.

Próximamente entrevista con uno de los creadores del OSSIM: Dominique Karg

Por: Ronald Romero

Enfoque Seguro

En lugar de archivadores o cajas hoy están los discos duros de los computadores de escritorio, de los portátiles, de los servidores corporativos de documentos, de los servidores de email, cintas de backup, otras formas de backup guardadas incluso fuera de las instalaciones, blackberries, computadores de terceros o proveedores de servicios, el buffer memory de las impresoras y de los faxes, en fin.

De acuerdo con la Conference of Chief Justices (1), esto implica serias diferencias en cuanto al grado, al tipo y a los costos:

Diferencias en cuanto al grado:

Veamos estas equivalencias (2):

• Un diskette, de 1.44 megabytes de memoria, equivale a 720 páginas escritas a máquina.
• Un CD-ROM, de 650 megabytes, equivale a 325,000 páginas escritas a máquina.
• Un gigabyte es el equivalente de 500,000 páginas escritas a máquina.
• Respecto de las grandes redes corporativas que almacenan información medida en terabytes (1’000,000 de megabytes); cada terabyte equivale a 500 millones de páginas escritas a máquina.
• Un documento compartido entre empleados de una misma empresa, que realicen comentarios sobre el mismo, puede resultar en unas mil copias o versiones diferentes de ese documento. Cada copia puede parecer idéntica al original.
• Una empresa de 100 empleados genera alrededor de 625,000 mensajes de correo electrónico al año.

Diferencias en cuanto al tipo:

Una diferencia importante en el digital discovery y el tradicional discovery de documentos en papel (no existe una traducción exacta del término discovery, que puede ser entendido como la obtención de la prueba) radica en que las transacciones digitales suelen no resultar en la creación de un documento digital cuya existencia permanezca. Solamente existen bases de datos correlacionadas: al imprimir un pasaje electrónico y cambiar la pantalla, el e-ticket desaparece.

Adicionalmente, los documentos electrónicos contienen información que no existe cuando éstos están en soporte físico (hard copy); me refiero a la “metadata”, a la “system data” y a la “deleted data”. Los metadatos son información sobre el archivo que los contiene; es decir, fecha y hora de creación del archivo, qué usuario lo creo, historia del archivo, etc.; la “system data” está compuesta por archivos relativos al uso de la máquina, como registros de acceso o salida (logins o logouts) o los documentos que fueron impresos; y la “deleted data”, que, contrario a su nombre no ha sido borrada, sino simplemente se ha dado permiso a la máquina para que escriba en el espacio físico que ocupa esa información en la unidad de memoria.

Diferencias en cuanto al costo:

En un caso de cierta importancia, el costo de recuperar la información contenida en 93 backup tapes alcanzó 6.2 millones de dólares, sin incluir los honorarios de abogado correspondientes a la revisión para determinar la importancia de cada uno de los archivos encontrados u objeciones a la obligación de aportarlos como prueba dentro del proceso.

_______________

Estas diferencias implican necesariamente la existencia de nuevos principios, nuevas reglas, nuevos estándares, nuevas obligaciones y nuevos derechos, que deben ser conocidos por los demandantes y la defensa y, ojalá, también por los jueces. Aunque la práctica judicial en Colombia está bastante más atrás, y aún deben resolverse necesidades básicas de los juzgados, vale la pena plantear el tema para ir generando, si no discusión, al menos inquietudes.

En la próxima entrega me referiré a la responsabilidad de los abogados, frente a sus clientes, en este nuevo escenario en el que la producción de evidencia digital puede ser excesivamente costosa.

Carlos S. Álvarez

carlosalvarezc@gmail.com

(1) Guidelines for State Trial Courts Regarding Discovery of Electronically-Stored Information.

(2) Committee on Rules of Practice and Procedures of the Judicial Conference of the United States, Report of the Civil Rules Advisory Committee, p.3 (Washington, DC: August 3, 2004). También: Presentation on Electronic Discovery by Ken Withers, former Senior Judicial Education Attorney at the Federal Judicial Center, to the National Workshop for United States Magistrate Judges on June 12, 2002.