El arma puede llegar a ser un comando, una ejecución, y el cuerpo puede llegar a ser un archivo o una conducta”

Tu smartphone: escena del crimen

http://heraldo.mx/ 20/03/2016

Discos duros, servidores y la memoria interna de teléfonos son las escenas de crimen en las que debe intervenir un forense digital como Andrés Velázquez, director y fundador de Mattica, el primer laboratorio forense digital de México.

“El arma puede llegar a ser un comando, una ejecución, y el cuerpo puede llegar a ser un archivo o una conducta”, detalló Velázquez.

Precisamente, para ensamblar las piezas del rompecabezas, los forenses analizan los 2 millones de archivos que, en promedio tiene el disco duro de una computadora.

Esto les permite descifrar si un sospechoso extrajo o envió por correo un documento confidencial y revelar si se llevaron a cabo fraudes, robos de información o ataques con malware.

Velázquez, con 15 años de experiencia en esta disciplina, tiene a 7 personas a su cargo, quienes lo mantienen informado sobre el progreso de las pesquisas.

“Es como Dr. House, sí hago algunas investigaciones, pero yo estoy haciendo ‘N’ número de cosas”, detalló Velázquez.
“Lo que sucede con el equipo, muchas veces, es que me platican del caso y yo tengo como una idea, saco síntomas, digo ‘hagan eso’ y váyanme diciendo por dónde va el caso”.

Trabajar como forense digital no es barato: equipar un laboratorio tiene un costo de, al menos, un millón de pesos, destacó Velázquez, mientras que un investigador principiante puede ganar 25 mil pesos mensuales.

Cada día se identifican, en promedio, 200 mil nuevas amenazas digitales, de acuerdo con cifras de la firma de seguridad digital Panda Security.

Por ello, además de los casos que recibe, el forense debe estar dispuesto a realizar, constantemente, investigaciones propias para mantenerse actualizado.

“Es como aquel joven o niño que les gusta hacer rompecabezas y están ahí, duro y dale, hasta que logran hacer el rompecabezas”, explicó el investigador.

“Siempre hay cosas que están cambiando; siempre hay que estar investigando”.

Read more...

Ciencia Forense: examina, identifica, preserva, recupera, analiza y presenta medios digitales con el objeto de suministrar datos y opiniones de la información

Buscando la evidencia: La Electronica forense ofrece información crítica
http://www.times-standard.com/ 03/06/2013

Como la tecnología de la información se expande en todos los rincones de nuestras vidas, la corte del Condado de Humboldt y los funcionarios encargados de hacer cumplir la ley de acuerdo en que los forenses electrónicos ha crecido a desempeñar un papel fundamental en las causas penales.

"Al final del día, desde el fraude hasta asesinatos de cultivo de marihuana, lo que sea, ahora información forense informático es clave para resolver el caso y para probar el caso", dijo el fiscal del condado de Humboldt Paul Gallegos."Resolvemos y probar los casos de abuso de niños regularmente fuera de las cajas de ordenadores. No puedo decir cuántos casos de pandillas involucran teléfonos celulares, las fotos ".

El objetivo de la ciencia forense electrónica es examinar los medios digitales con el objetivo de identificar, preservar, recuperar, analizar y presentar datos y opiniones acerca de la información, dijo el alguacil del condado de Humboldt Subdirección Anthony Lagarda.

"Tenemos investigaciones que van desde la pornografía infantil con el fraude de ID de la falsificación a robo de identidad", dijo. "Básicamente, si ese equipo está siendo utilizado como una herramienta en cualquier delito, es evidencia. Buscamos evidencia de que de ninguna manera está involucrado en el delito cometido. Es realmente diferente de búsqueda de huellas dactilares en una ventana de alguien que entró en una casa.

"Veo a los dispositivos electrónicos tan importante, si no a veces más importante, ya que va más y entrevistar al testigo", dijo Lagarda.

El análisis forense es que consume tiempo, ya que es una labor intensiva, cada caso ofrece retos únicos, muchos

más dispositivos vienen en que los investigadores tienen tiempo para examinar y expertos trabajan en varios casos a la vez, según los funcionarios.

Es información en bruto que muchas veces no ha sido manipulado, dijo Martin Morris, un investigador de la Oficina del Fiscal del Condado de Humboldt.

"Con una computadora portátil, usted está en busca de datos específicos en ello", dijo Morris. "Podría ser que es un proceso de un solo día. Dependiendo de qué tipo de datos, puede cambiar de un día a un proceso de cinco días. Si usted tiene problemas que podría ser un proceso de tres semanas.

"El caso más pequeño puede convertirse en una auténtica pesadilla en muchos casos", agregó."También puede ir muy bien. Realmente sólo depende ".

Los investigadores están trabajando para proveer a la oficina del sheriff con el análisis forense de la electrónica incautados después de una orden de cateo en una residencia de Eureka, en relación con el Colegio de la amenaza de bomba secoyas, dijo el teniente Steve Knight.

El campus fue cerrado en abril después de que se encontró una amenaza de bomba en una página falsa de Facebook creado por el nombre del estudiante. Nada fuera de lo común se encontró cuando el personal y la policía llevó a cabo una búsqueda exhaustiva del campus.

Varias personas de interés han sido entrevistados, pero no se han hecho arrestos en la investigación en curso, de acuerdo con las autoridades.

Típicamente, múltiples dispositivos necesitan ser examinados en cada caso. Morris dijo que está trabajando en un caso que tiene dos ordenadores portátiles y cinco unidades de almacenamiento. En otro, son tres computadoras portátiles y tres discos duros externos. Muchas veces, los teléfonos celulares están implicados también.

"Es un trabajo clínico muy repetitiva, pero todo hay que hacer", dijo Morris.

Al examinar los ordenadores portátiles, los investigadores primero inspeccionarlos, tome una fotografía de la situación y eliminar las unidades de disco duro para realizar una copia duplicada. El duplicado se utiliza para buscar, revisar y extraer la información necesaria.

"Si sospecho que estoy tratando con un disco duro que contiene pornografía infantil, entonces voy a querer revisar las imágenes en el disco duro para determinar si el disco duro contiene pornografía infantil", dijo Morris. "Si se trata de un correo electrónico específico que estoy buscando en un caso, si creo que un correo electrónico puede romper un caso abierto, entonces voy a mirar específicamente para los correos electrónicos."

Para el análisis de la información, los expertos utilizan una variedad de software de ordenador, como EnCase Forensic, Cellebrite - un programa que puede analizar móviles, tablets y dispositivos GPS - y el software que impide que un equipo sea capaz de escribir datos en el disco duro.

"Yo no quiero contaminar una unidad con cualquier cosa en mi equipo", dijo Morris.

Los expertos son capaces de verificar que una copia original de la unidad, o uno que no se altera - llamó un hash - se obtienen cuando el hash recibido antes de copiar el disco duro y el hash adquiridos después de la unidad de disco duro ha sido copiado partido, dijo Lagarda.

"Literalmente, cualquier cambio en absoluto en esa unidad, la más minúscula, el hash será completamente diferente", agregó Lagarda.

Los expertos tienen que estar en la cima de la tecnología para vencer a los criminales.

"Yo diría que en estos días, si usted no tiene la informática forense, que es algo así como estar en el bosque perdidos sin fuego", dijo Gallegos. "Es posible vivir, es posible salir adelante, pero va a ser subóptima en el mejor. Hay crímenes sofisticados con criminales sofisticados ".

Autor: Lorna Rodríguez lrodriguez@times-standard.com .

Read more...

CURSO DE HERRAMIENTAS PARA TRABAJOS CON ARCHIVOS DIGITALES

Digital Forensics de Archiveros # saa12
http://www.cmswire.com/ 08/08/2012
La Sociedad de Archivistas Americanos (SAA) la reunión anual de 2012, Beyond Borders, comenzó el lunes, 6 de agosto en San Diego con fuertes sesiones previas a la conferencia. Asistí a Digital Forensics de Archiveros (DFA), un curso sobre herramientas y servicios específicos que los archiveros deben utilizar para su trabajo con archivos digitales .

Este es uno de los muchos cursos ofrecidos por AEA en su Digital Especialista en Archivos (DAS), Programa de Certificación .

Entiendo que si la nueva asociación entre la policía y la empresa de archivos parezca inusual. Sin embargo, tener en cuenta: análisis forense digital ha establecido principios, tecnologías y métodos para la extracción de los datos y los metadatos asociados que se asemeja mucho a los depósitos de archivos de buenas prácticas.

En otras palabras, esta clase no es para los débiles de corazón.

Ingrese a nuestro héroe, el instructor el Dr. Cal Lee, profesor asociado de la Universidad de Carolina del Norte en Chapel Hill. Antes de la clase, se distribuyeron dos documentos ilustrativos:

Digital Forensics y de origen digital de contenido en las colecciones del patrimonio cultural por Matthew G. Kirschenbaum, Richard Ovenden y Redwine Gabriela con la ayuda de la investigación de Rachel Donahue, y
La extensión de sus propias arquitecturas repositorio digital para apoyar la preservación y el acceso de imagen de disco, escrita en colaboración con Kam Woods y Simson Garfinkel

que diligentemente leer. Obligación se convirtió en el placer como el primer tratado se desarrolló, sin embargo, en 109 páginas es un poco de un tomo. En diez páginas el segundo artículo se resume la primera (vamos a escuchar a la brevedad!). Recomiendo a los dos.
Motivación y Alcance

El Dr. Lee abrió su comentario con una reflexión sobre la motivación. "Los archivistas son a menudo responsables de la adquisición o ayudar a otros materiales de acceso a los medios de almacenamiento extraíbles", dijo. "A menudo la información no se suministra ni describe como uno esperaría. Profesionales de la información debe extraer toda la información útil se encuentra en el medio, evitando la alteración accidental de datos o metadatos. "

Él definió forense digital como "el proceso de identificar, preservar, analizar y presentar evidencia digital de una manera que sea legalmente aceptable." La práctica implica múltiples métodos de descubrimiento de datos digitales y la recuperación de borrado, la información de archivos cifrados o dañados. Él presentó los puntos convincentes de por qué los archiveros deberían cuidar.
Dos corrientes de la actividad muestran una gran promesa para informar a las prácticas de los archiveros:
un puñado de proyectos innovadores de recogida de las instituciones que exploran la aplicación de la ciencia forense digital para la adquisición, y
los vendedores y los programas académicos que imparten formación forense digitales ".

Él habló con reverencia de varios proyectos de análisis forense digital: SULAIR de Stanford , la Biblioteca Bodleian futureArch y la Biblioteca Británica en Londres.
Antecedentes Técnicos

El Dr. Lee explicó que los objetos digitales son conjuntos de instrucciones para la interacción futura. "Los objetos digitales son inútiles si no se puede interactuar con ellos. Las interacciones dependen de numerosos componentes técnicos "Esbozó los siete niveles de representación.:

Nivel 7 : la agregación de los objetos. Un conjunto de objetos que forman una agregación que sea significativo encontrado como una entidad.
Nivel 6 : objeto o paquete. Un objeto compuesto de varios archivos, cada uno de los cuales también se podrían encontrar como archivos individuales.
Nivel 5 : en aplicación de la representación. Como hizo y se encontró dentro de una aplicación específica.
Nivel 4 : archivo a través de sistema de archivos. Los archivos encontrados en conjunto discreto de elementos asociados con las rutas y nombres de archivo.
Nivel 3 : archivo como "prima" de bits. Bitstream encontrado como una serie continua de valores binarios.
Nivel 2 : sub-estructura de archivos de datos. Discreto "pedazo" de datos que forma parte de un archivo más grande.
Nivel 1 : flujo de bits a través de E / S del equipo. Una serie de 1s y 0s que se accede desde los medios de almacenamiento con la entrada / salida de hardware y software.
Nivel 0 : flujo de bits en un medio físico. Un conjunto de propiedades físicas del medio de almacenamiento que se interpretan como cadenas de bits en el nivel 1.

Citó ejemplos de interacción de cada nivel. "Archiveros temen tres factores que complican más", dijo el Dr. Lee. ". Medio fracaso / bit rot, la obsolescencia y la volatilidad" Él puso en marcha en un panorama detallado de dónde y cómo una información de la computadora las tiendas: la jerarquía de la memoria del ordenador, sectores, grupos, disco magnético, la estructura del disco duro, almacenamiento en caché de configuración / registro archivos y los discos de estado sólido, cada vez más popular así como las áreas diseñadas para almacenar datos temporales.

Read more...