Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

Leopoldo Sebastin M. Gmez1

1 Poder Judicial del Neuqun, Stgo. del Estero 64, Neuqun, CP 8300, Argentina sebastian.gomez@jusneuquen.gov.ar

Abstract. El peritaje informtico requiere un desafo constante en investigacin y prcticas de laboratorio para poder lograr un buen desempeo durante una actuacin profesional. Estar a la vanguardia en este campo implica un conocimiento profundo de tecnologas y tcnicas de informtica forense. En el Poder Judicial del Neuqun se ha consolidado un laboratorio de investigacin informtica especializado en el manejo de evidencia digital. Se presentan los resultados obtenidos en informtica pericial, mediante el uso de tecnologa forense, virtualizacin de infraestructuras, tcnicas periciales y estadsticas para inspeccin de evidencia digital. Ms all de las complejidades asociadas al manejo de tecnologa, resulta conveniente para los operadores judiciales y para el perito conocer los tiempos mnimos que requieren algunas tareas forenses. Para ello, se han desarrollado los primeros estimadores de esfuerzo para la mejora de proceso pericial y consecuentemente la calidad del servicio.

1 Introduccin
Es de rigor introducir el contexto en el que se desarrollan a pleno las actividades propias del peritaje informtico: la justicia penal. Durante la investigacin de actividades delictivas, habitualmente se plantea un conjunto de objetivos o medidas tendientes a esclarecer un presunto ilcito. Esta modalidad de trabajo permite definir tres capas de abstraccin a partir del caso judicial. El nivel superior, que mantiene la visin del caso en forma integral, es el marco de trabajo en el que se mueven los profesionales del derecho (jueces, fiscales, defensores, abogados, etc.). En el segundo nivel se establece la interaccin entre los profesionales de diversas disciplinas. En ste mbito se plantean los objetivos requerimientos periciales o informes tcnicos- sobre los cuales actan profesionales informticos, contadores, mdicos forenses, etc. Finalmente, el ltimo nivel es el que pertenece en forma exclusiva a los expertos en la disciplina a la que pertenezca la actividad forense solicitada como objetivo para la investigacin. Desde la informtica pericial y relacionando a los sujetos (perito informtico, operadores jurdicos) con el objeto (expediente judicial) pueden establecerse una serie de actividades y productos que permiten mejorar sustancialmente el resultado, la prueba pericial, conforme la Tabla 1.

2 Leopoldo Sebastin M. Gmez

Perito Informtico Guas de Procedimientos Catlogo de Servicios

Operadores Jurdicos

Expediente Judicial

Requerimientos periciales ms precisos Exposicin metodolgica de la actividad pericial Casustica Mejor anlisis de la actividad delictiva Medios probatorios contundentes Investigacin de tecnologas Prcticas en laboratorio Desarrollo de estimadores y mtricas Automatizacin y paralelizacin de actividades periciales

Tabla 1. Interrelacin Perito - Operador Jurdico Expediente Judicial

Nota: expresa Mejora en calidad de servicio.

Haciendo un anlisis retrospectivo de la actividad pericial informtica desarrollada en el mbito de la Justicia provincial, durante el ao 2005 y 2006 se lograron los primeros objetivos de calidad a travs de la elaboracin de una gua de procedimiento para el secuestro de tecnologa informtica, produccin de dictmenes con un enfoque sistmico en la descripcin de actividades periciales, y publicaciones en la materia. En el mbito de la provincia del Neuqun, actualmente no es factible ofrecer un catlogo de servicios de informtica pericial, ya que para ello debe existir un consenso a nivel institucional para poder incorporar estas formalidades. La mayor parte de los operadores judiciales no tiene los conocimientos bsicos de informtica pericial que son necesarios para enmarcar sus requerimientos dentro de una taxonoma nica de servicios de informtica forense. Es de esperar que a futuro pueda formalizarse un conjunto mnimo y consensuado de servicios y luego hacer crecer esta lista cuando se detecten otras necesidades jurisdiccionales. Sera de gran utilidad poder contar con una adecuacin de la legislacin penal vigente para incorporar a los delitos informticos, ya que esto obligara a actualizar los conocimientos en la materia. Hasta tanto esto suceda, se contina fortaleciendo el vnculo con los profesionales del Derecho, mediante la evacuacin de consultas previo a la elaboracin de los puntos de pericia con el objeto de aumentar la precisin del requerimiento judicial. Durante el ao 2007 se ha hecho nfasis en los aspectos propios a la actividad del perito informtico que conducen a la mejora del proceso forense, a saber: investigacin de tecnologas, prcticas de laboratorios, desarrollo de estimadores y mtricas, automatizacin y ejecucin paralela de actividades periciales.

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

2 Tecnologas forenses
Mantener un laboratorio pericial actualizado requiere contar con los recursos financieros mnimos para adquirir la tecnologa especfica. Las tareas de investigacin de nuevas tecnologas como parte de la rutina diaria del perito informtico permiten tomar mejores decisiones en la seleccin de productos especficos para las labores que sean requeridas. Los tpicos sobre los cuales un perito informtico debe intentar incorporar tecnologa son: Proteccin contra escritura: asegurar la integridad de la informacin es una condicin sine qua non que el perito informtico debe cumplir durante el peritaje informtico para poder sostener el dictamen y garantizar que los resultados que arroje la labor pericial puedan ser verificados por cualquiera de las partes que intervienen en el proceso. La garanta de integridad forma parte de los atributos de todo software forense, sin embargo existen casos en que puede ser necesario incorporar dispositivos de hardware adicionales para proteger a la evidencia original, en especial cuando no es posible trabajar con una imagen forense. Duplicacin automtica de evidencia digital: es importante contar con hardware forense que permita duplicar dispositivos de almacenamiento de informacin digital en forma autnoma, es decir, sin necesidad de utilizar una o varias computadoras conectadas (ej. Disk Jockey 1). Esta tecnologa permite aumentar la capacidad de trabajo del perito pudiendo realizar adquisiciones de evidencia digital en paralelo, a la vez que facilita en algunas situaciones poder hacer esta tarea en el momento del secuestro, siempre a criterio del perito. Debe quedar en claro que si la adquisicin se realiza durante un allanamiento, se debern comparar y corroborar la coincidencia de valores hash e incorporar al acta de allanamiento y ante testigos el valor hash que se obtenga como resultado de la duplicacin. Virtualizacin de dispositivos: actualmente es posible utilizar una mquinas virtuales (ej. LiveView 2) para analizar imgenes de dispositivos o directamente el dispositivo fsico original. Es importante destacar que por razones de integridad de la evidencia, todas las escrituras que intenten realizarse sobre el dispositivo analizado se hacen en un archivo separado. Estas herramientas se encargan de resolver cualquier posible conflicto de arranque al utilizarse un hardware distinto del original. Telefona celular: el auge de esta tecnologa hace necesario la incorporacin de hardware y software para recuperar agendas, mensajes, archivos de voz e imgenes. Si bien una suite de elementos de conectividad junto al software especfico (ej. Device Seizure.3) simplifica las actividades periciales, fundamentalmente en la generacin de reportes, se deben verificar minuciosamente los resultados obtenidos ya que esta tecnologa forense todava est en una incipiente evolucin [1]. El perito informtico debe tener entrenamiento previo a la labor pericial con este tipo de dispositivos para poder realizar una correcta actuacin profesional. La problemtica en este mbito est dada por la diversidad de equipos, conectores y drivers.
1 2

http://www.diskology.com/ http://liveview.sourceforge.net/ 3 http://www.paraben-forensics.com/

4 Leopoldo Sebastin M. Gmez

3 Tcnicas periciales
Habitualmente cuando se realiza un procedimiento judicial para el secuestro de tecnologa informtica en alguna empresa o institucin de cierta magnitud, los administradores de sistemas pueden consultar si es necesario que brinden la clave de administrador o bien si deben crear una cuenta de usuario con una contrasea predeterminada sobre las computadora a secuestrar para que el perito pueda accederla e inspeccionarla a travs del sistema operativo. Por lo general, no se debe permitir ninguna accin sobre los equipos informticos, ya un perito informtico no requiere contraseas a nivel de sistema operativo porque utiliza herramientas forenses que trabajan directamente sobre la informacin digital almacenada en las estructuras de datos (llamadas sistemas de archivos), o de ser necesario extrae datos en forma directa sobre el dispositivo informtico para luego procesarlos y poder interpretarlos. An as, es importante destacar que una inspeccin desde la perspectiva del usuario puede contribuir a dilucidar el modus operandi del sospechoso. Particularmente, puede ser de gran utilidad acceder a aplicaciones especficas instaladas el propietario de una computadora con el objeto de extraer informacin que slo pueda ser procesada por estos programas. Una de las tcnicas a utilizar consiste en la virtualizacin de la evidencia digital para obtener un entorno de trabajo idntico al real, con el objeto de contar con la operatividad de las aplicaciones que hayan sido instaladas en el sistema operativo. Si es procedente realizar una inspeccin de la evidencia digital desde la perspectiva del usuario, puede ser necesario ingresar alguna contrasea para acceder al sistema operativo. Si no se cuenta con esta informacin, deber intentarse utilizar algn mecanismo de descifrado provisto por aplicaciones especficas. Para estos menesteres, facilita la labor del perito informtico mantenerse actualizado en tcnicas criptogrficas y el estado del arte en materia de seguridad informtica, ya que puede requerirse la aplicacin de estos conocimientos en algn momento del proceso judicial. Un mtodo que ha tenido xito en el descifrado de contraseas son las tablas Rainbow, ya que logran un buen rendimiento reduciendo los tiempos de cmputo mediante el uso de un gran espacio de memoria. Asimismo, estn disponibles varias aplicaciones informticas como Ophcrack 4 que las utilizan. A modo de sntesis, una tabla Rainbow [2] se construye mediante una serie de funciones de reduccin (Ri) y la funcin hash (H) que se utiliz para cifrar la contrasea original (debe conocerse cul es el algoritmo de cifrado). Las funciones Ri mapean un valor hash a una posible contrasea del espacio de bsqueda (compuesto por un conjunto de caracteres predeterminado, e intentando localizar contraseas de una determinada longitud). Se utiliza el esquema representado en la Figura 1 para una rpida comprensin del mecanismo de descifrado de contraseas. Partiendo de posibles contraseas como valores iniciales (representado con valores 0, 2, 4) y mediante una serie de repeticiones alternadas entre la funcin H y las Ri se obtienen sucesiones de posibles contraseas. Se recuerda que todas las sucesiones deben tener el mismo nmero de elementos).

http://ophcrack.sourceforge.net/

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

Usando funcin de reduccin diferente para cada elemento en la sucesin de contraseas, se evita que cuando ocurra una colisin y se fusionen, es decir que tengan coincidencia en los elementos posteriores, ya que la colisin no ocurre en la misma posicin en cada sucesin (puede corroborarse con la doble ocurrencia del elemento 3). La mejora implementada evita tener que generar y recorrer desde el inicio todas las sucesiones que hayan colisionado y sean idnticas a partir de un elemento para poder encontrar en cul estaba realmente contenida la contrasea. Para el descifrado se debe localizar el valor hash en la tabla Rainbow (en la Figura 1 se ejemplifica con el valor h8). A partir de all, se recorre la sucesin sobre la que se localiz en forma circular hacia adelante mediante las funciones Ri y H hasta encontrar el elemento anterior al valor hash suministrado, es decir la contrasea (en el ejemplo, ser el valor 8).

Figura 1. Esquema de funcionamiento de una tabla Rainbow

Segn el creador de las tablas Rainbow, ellas tienen un punto dbil en el descifrado de contraseas cuando se ha utilizado en el cifrado de la clave el llamado salt, una cadena aleatoria que se agrega a la contrasea antes de convertirla a un valor hash (es decir que: hash = contrasea + salt). En general esta tcnica de proteccin es utilizada por varios sistemas operativos UNIX y Linux. La componente aleatoria multiplica el nmero de tablas que se requieren para realizar la bsqueda por la cantidad de valores posibles que pueda representar el salt. Sin embargo, existen sistemas operativos como MS-Windows, aplicaciones web, sistemas de manejo de base de datos y routers que no utilizan esta tcnica de defensa y son fcilmente vulnerables. Afortunadamente para el perito informtico, la mayor parte de la casustica ocurre sobre equipamiento con sistema operativo MS-Windows. El ndice de xito en el descifrado de contraseas mediante tablas Rainbow es del 99,9% para claves que contengan nmeros y letras, sean todas maysculas o minsculas, es decir, la gran mayora de claves poco seguras que cualquier persona puede utilizar. La integracin de tecnologas con las tcnicas expuestas precedentemente permite construir un circuito de trabajo forense a fin de dar un enfoque sistmico a la inspeccin de evidencia digital desde la perspectiva del usuario, conforme la Figura 2.

6 Leopoldo Sebastin M. Gmez

EVIDENCIA DIGITAL ORIGINAL

NO

SE PUEDE DUPLICAR ?

SI

UTILIZAR UN WRITE-BLOCKER

OBTENER UNA IMAGEN DEL DISPOSITIVO

NO

ES BOOTEABLE ?

SI

PROCEDER CON HERRAMIENTAS FORENSES CONVENCONALES (NO SE REQUIERE CONTRASEA)

NO

ES VIRTUALIZABLE ?

SI

NO

SE DISPONE DEL HARDWARE ORIGINAL ?

SI

BOOTEAR CON HERRAMIENTA DE VIRTUALIZACIN

SI

HAY CONFLICTOS CON HARDWARE SUSTITUTO ?

NO

BOOTEAR CON LA IMAGEN (EXISTIRN MODIFICACIONES POR LO QUE LUEGO DEBE HACERSE OTRA ADQUISICIN)

SI ES POSIBLE INTENTAR BOOTEAR CON LA IMAGEN SOBRE UN HARDWARE SUSTITUTO

SI

EL SISTEMA OPERATIVO O APLICACIN TIENE CLAVE ?

NO

UTILIZAR UNA HERRAMIENTA PARA DESCIFRADO (EJ. TABLAS RAINBOW )

NO

SE LOGR DESCIFRAR LA CONTRASEA ?

SI

REALIZAR LA INSPECCION FORENSE

Figura 2. Workflow para la inspeccin de evidencia digital

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

4 Estimadores
En muchas situaciones ocurre que por razones de urgencia o falta de planificacin del procedimiento judicial para el secuestro de tecnologa informtica, la totalidad de los elementos enviados al laboratorio exceden la posibilidad de que puedan ser analizados exhaustivamente en plazos razonables, ya sea por la carencia de recursos tcnicos, humanos o simplemente por criterio profesional en funcin de la carga de trabajo existente. En estos casos es procedente estimar el tamao de la muestra que se utilizar para el peritaje. Al igual que en otras labores cientficas se deben aplicar herramientas de estadstica, siendo muy utilizada la frmula representada en la Figura 3 para calcular el tamao de una muestra para una poblacin finita.

Figura 3. Clculo del tamao de una muestra para una poblacin finita

N es el total de la poblacin. En informtica forense pueden ser dispositivos de almacenamiento de informacin digital. Usualmente se aplica a CDs, DVDs y diskettes. En el caso de ser elementos de diferente capacidad de almacenamiento, deber calcularse el tamao de la muestra para cada uno de los agrupamientos. = 1.96 es el valor habitualmente utilizado en el laboratorio pericial informtico para tener un margen de seguridad del 95% en los resultados de la labor pericial que se realice sobre la muestra. p = proporcin esperada (en nuestros caso ser 50% = 0,5 dado que se plantea la misma probabilidad de xito que de fracaso en la localizacin de evidencia digital; con ello se maximiza el tamao de la muestra); q = 1 p (por lo expuesto anteriormente tambin ser del 50%, o sea 0,5) d = precisin (en el laboratorio pericial informtico generalmente se permite un 5% en el error de muestreo). Casos prcticos: 1) Se deseaba identificar si un conjunto de DVDs que contenan material videogrfico eran originales o estaban en infraccin a la Ley de Propiedad Intelectual (Ley 11.723). Cuando se procedi al secuestro de los elementos no se contaba con especialistas para identificar el material apcrifo a secuestrar y la cantidad era cuantiosa. Se envi el material al laboratorio pericial donde se deba cotejar si el material era fraguado siguiendo criterios establecidos por el IFPI 5, un organismo internacional de lucha contra la piratera. En esta situacin puede aplicarse la tcnica estadstica descripta. 2) Se requera la localizacin de determinada informacin digital, sin embargo durante el allanamiento se realiz un secuestro masivo de dispositivos de almacenamiento (diskettes, CDs, DVDs); una vez ingresados al laboratorio se estim a simple vista que algunos de ellos no eran relevantes a la causa o simplemente no contenan informacin por ser nuevos. En este
5

http://www.ifpi.org

8 Leopoldo Sebastin M. Gmez

caso puede reducirse el espacio de bsqueda tomando una muestra cuyo tamao ser obtenido mediante el estimador estadstico, con los parmetros que sean ms adecuados. Continuando con los productos obtenidos mediante tareas de investigacin con el fin de mejorar la calidad del servicio, se han generado estimadores del tiempo que demandar la realizacin de una imagen forense a partir de un dispositivo de almacenamiento de evidencia digital. Es importante mencionar que se ha restringido la construccin de estimadores de tiempos a la tcnica de adquisicin ms frecuentemente utilizada, que consiste en conectar el dispositivo original y el de duplicacin en una computadora, y realizar la imagen a travs de un software forense. Existen muchas variables no consideradas que pueden afectar a las estimaciones, principalmente la velocidad de los dispositivos, la velocidad del canal de datos, el retardo provocado por diferentes algoritmos de compresin, y el tiempo de hashing que usualmente se realiza en paralelo. En nuestro caso, las observaciones provienen de adquisiciones sobre discos rgidos de 7.200 rpm P-ATA, utilizando dos canales de datos separados, y el software EnCase Forensic 6.
Adquisiciones sin Compresin
9:36:00 8:24:00 7:12:00 6:00:00 4:48:00 Tie mpo 3:36:00 2:24:00 1:12:00 0:00:00 0 50 100 150 Datos Reales R.N.A. Tendenc ia Lineal y = 0,0032x - 0,0365 R2 = 0,9424

Ta ma o (G b)

Figura 4. Prediccin con R.N.A. vs. Tendencia Lineal

Para ello, se utilizaron tcnicas estadsticas de regresin, as como tambin una red de neuronas artificiales (R.N.A.) de tipo perceptrn multicapa entrenada con el algoritmo de retropropagacin del error. Una R.N.A. tiene la habilidad de aprender de a travs de ejemplos y de esta forma puede generalizar, es decir, producir estimaciones razonables para valores de entradas no proporcionados durante su entrenamiento. Dentro de estos modelos de computacin numrica, un perceptrn multicapa entrenado con el algoritmo de retropropagacin del error podra ser visto

http://www.guidancesoftware.com

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

como un vehculo prctico para realizar un mapeo de entradas-salidas no lineal de cualquier naturaleza [3]. Para el anlisis que se pretende exponer, interesa analizar la correlacin entre tres variables, a saber: <Tamao:(Gb); Compresin (Si/No); Tiempo(hh:mm:ss)>. La variable Compresin es utilizada como un clasificador de los datos que componen la muestra utilizada para construir el estimador. En la Figura 4 puede visualizarse que la regresin lineal produce un resultado aceptable para adquisiciones sin compresin, ya que existe una fuerte correlacin lineal entre la variable independiente y la dependiente. En este caso, no se justifica intentar mejorar la estimacin mediante otros modelos, ya que es sencillo poder aplicar la funcin de estimacin indicada para obtener predicciones de tiempos de adquisicin para dispositivos de almacenamiento de evidencia digital con tamaos mayores.
Adquisiciones con Compresin
14:24:00 12:00:00 9:36:00 7:12:00 Tie mpo 4:48:00 y = 0,1136Ln(x) - 0,1673 2:24:00 0:00:00 0 50 100 150 R2 = 0,4282

Datos Reales R.N.A. Tendenc ia Logartmic a

Ta ma o (G b)

Figura 5. Prediccin con R.N.A. vs. Tendencia Logartmica

Para adquisiciones con compresin -visualizadas en la Figura 5- se comprob que la regresin logartmica lograba explicar mejor la correlacin entre la variable independiente y la dependiente, pero an as, puede observarse que el alto grado de dispersin no permite obtener una alta precisin con el estimador. En este caso, es viable utilizar un modelo neuronal para tratar de predecir los tiempos de las adquisiciones. Una ventaja adicional de las redes neuronales sobre los modelos estadsticos, es que admiten como variables de entrada conjuntos mixtos de variables cuantitativas y cualitativas [4]. En nuestro experimento, la implementacin de la R.N.A. incluy la variable cualitativa Compresin (Si/No), permitiendo analizar ambos casos sobre el mismo modelo predictivo. En cuanto a los tiempos de cmputo del estudio realizado, se puede afirmar que no fueron excesivamente costosos comparados con la inmediatez en el resultado que proporciona una regresin logartmica. Una vez entrenada la R.N.A. se pueden obtener estimaciones de tiempo de manera similar al estimador estadstico, suministrando como parmetro de entrada

10 Leopoldo Sebastin M. Gmez

el tamao de la evidencia que debe ser adquirida. Sin dejar de lado la posibilidad que brindan las redes neuronales, las funciones de estimacin ofrecidas devuelven en forma directa valores normalizados que, una vez convertidos a formato hh:mm:ss, permiten predecir el tiempo que demandar la adquisicin para un tamao de evidencia digital determinado.
Comparativa de Estimadores Estadsticos
14:24:00 12:00:00 9:36:00 Tie mpo 7:12:00 4:48:00 2:24:00 0:00:00 0 50 100 Ta ma o (G b) 150 200 Lineal (Sin Compresion) Logartmic a (Con Compresion)

Figura 6. Anlisis de costo/beneficio

Una nota adicional obtenida de la comparacin directa de los estimadores estadsticos que puede observarse en al Figura 6, es el anlisis de costo-beneficio a la hora de optar por realizar una adquisicin con tcnicas de compresin para reducir el tamao de la imagen forense. Ms all de saber que la regresin logartmica no logra estimar eficientemente los tiempos de adquisicin con compresin, en el caso de estudio no siempre se han obtenido mejores resultados que en las adquisiciones sin compresin. Esto puede deberse a que el software forense de adquisicin no realiza una transferencia directa de datos entre ambos dispositivos, ya que paralelamente realiza el clculo del valor hash de la imagen forense. Otra posibilidad es que existan casos en que por el tipo de datos que contenga la evidencia digital, el algoritmo de compresin se vea beneficiado y consecuentemente no incremente significativamente el tiempo de adquisicin. De todo lo aqu expuesto, se concluye que actualmente es conveniente realizar adquisiciones sin compresin en aquellos casos en que el tamao de la evidencia digital sea pequeo, no se requiera optimizar el espacio de almacenamiento o bien se cuente con hardware forense especfico como ya ha sido expuesto precedentemente- para realizar esta tarea en forma autnoma con mejor performance respecto a los tiempos ya estimados.

4 Automatizacin y ejecucin paralela de actividades forenses

La ltima propuesta en el marco de actividades descripto para mejorar la calidad de servicio pericial, introduce la necesidad de abordar alternativas de automatizacin y ejecucin paralela de tareas forenses. Mediante la actualizacin permanente de

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

11

conocimientos tecnolgicos y una prctica intensiva de laboratorio para garantizar un uso eficiente de las herramientas forenses, las posibilidades de cometer errores tcnicos se reduce de manera significativa. Sin embargo, durante la investigacin de actividades delictivas con alta tecnologa, el perito debe enfrentarse a uno de los mayores desafos que conlleva su actividad: el elevado tiempo que demanda el peritaje en funcin del tamao de la evidencia digital. Existen numerosos ejemplos de actividades susceptibles de ser realizadas en paralelo mediante incorporacin de tecnologa, destacndose: a) preservacin de evidencia digital (adquisiciones simultneas de dispositivos), b) bsquedas de patrones (cadenas de texto, imgenes a travs de hashing), c) descifrado de contraseas. El primer caso ya ha sido analizado, determinando que la automatizacin y ejecucin paralela de actividades durante la preservacin de la evidencia digital puede lograrse mediante dispositivos autnomos de duplicacin automtica, o bien a travs de un conjunto de computadoras que realicen dicha tarea en forma simultnea sobre diferentes dispositivos de almacenamiento de evidencia digital. La segunda posibilidad ocurre frecuentemente en la casustica, al plantearse la necesidad de localizar determinadas cadenas de texto o imgenes sobre un conjunto de dispositivos de almacenamiento de evidencia digital. Diversas herramientas forenses integran mecanismos que permiten reducir el espacio de bsqueda descartando aquellos elementos que pertenezcan a un conjunto predefinido de buenos conocidos (ej. archivos del sistema operativo), o bien un preprocesamiento de la evidencia digital para generar ndices y acelerar las bsquedas. Por otra parte, mediante comandos especficos ejecutados sobre el sistema operativo o utilizando un entorno integrado de trabajo forense es viable realizar un conjunto de tareas en paralelo sobre la evidencia digital, pero deber considerarse la disminucin de performance que puede resultar durante el acceso simultneo a dispositivos de almacenamiento. En estos casos, la distribucin de la evidencia digital en una infraestructura de datos adecuada (ej. RAID 5) puede contribuir a lograr el rendimiento esperado. Avanzando un poco ms en complejidad tecnolgica, es posible aumentar la velocidad de procesamiento mediante una arquitectura de cluster en la que se divide el espacio de bsqueda [5]. Distribuyendo la evidencia digital entre los nodos que componen la arquitectura, se han realizado experimentos exitosos sobre bsquedas de cadenas de texto con mejoras sustanciales en los tiempos de procesamiento. El ltimo ejemplo para la ejecucin de actividades periciales en paralelo representa un interesante desafo para los investigadores forenses. En este contexto, interesa descifrar una contrasea desconocida para poder realizar una inspeccin de la evidencia digital desde la perspectiva del usuario. En estos casos, pueden utilizarse mecanismos de clustering o de computacin distribuida 7 para aumentar la capacidad de cmputo y as disminuir los tiempos de descifrado. Este tipo de tecnologa puede ser de utilidad para el perito informtico, pero salvo excepciones que incursionan en este campo (ej. Distributed Network Attack.8), todava no existen suficientes herramientas forenses de este tipo en el mercado, por lo que se requiere un gran
7 8

http://www.distributed.net/ http://www.accessdata.com/

12 Leopoldo Sebastin M. Gmez

esfuerzo de investigacin para integrar arquitecturas de computacin distribuida con algoritmos especficos de descifrado por fuerza bruta o ataques con diccionario. Es de esperar en un futuro cercano se pueda utilizar este tipo de tecnologa en otras tareas forenses que requieran elevados tiempos de procesamiento.

5 Conclusiones
El trabajo expuesto demuestra la factibilidad de obtener calidad en la prueba pericial informtica, definiendo un conjunto de actividades y productos que benefician la interrelacin entre el perito, los operadores jurdicos y el expediente judicial. La determinacin de las reas claves a desarrollar, junto a los recursos humanos, tcnicos y financieros necesarios permite la mejora del proceso asociado a la informtica pericial, asegura la disponibilidad dentro del mbito judicial de un laboratorio de investigacin informtica capaz de actuar en causas judiciales con alto nivel de complejidad en materia de tecnologa. Siguiendo el lineamiento propuesto, como parte de las tareas investigacin de tecnologas, se ha presentado un conjunto de herramientas forenses esenciales para la labor de un perito informtico. Como producto de las prcticas de laboratorio, luego de introducir uno de los mtodos de mayor xito en el descifrado de contraseas, se ha presentado una novedosa tcnica para la inspeccin de evidencia digital desde la perspectiva del usuario, la cual resulta necesaria para proveer al perito de una vista complementaria a la que habitualmente utiliza para sus labores. A fin de manifestar la necesidad de contar con herramientas de estimacin, se expusieron ejemplos extrados de la casustica en los que el aporte de la estadstica resulta de gran utilidad para reducir el espacio de anlisis. En ciertos casos en que la evidencia digital est fragmentada en una gran cantidad de dispositivos de almacenamiento y es inabordable por razones recursos, tiempo o lugar. Poder obtener el tamao necesario de la muestra a analizar, permite al perito informtico poder realizar sus labores en un tiempo aceptable y manifestar sus conclusiones en el dictamen pericial sin perder rigor cientfico. Una de las tareas comnmente desarrollada en el mbito pericial es la realizacin de imgenes forenses de dispositivos de almacenamiento de evidencia digital. Los estimadores ofrecidos como producto de la investigacin desarrollada en el laboratorio de investigacin informtica aseguran al profesional informtico poder definir cotas mnimas respecto al tiempo que demandar esta tarea, as como tambin sirven de ayuda para la toma de decisiones. Finalmente, se han presentado diversas tareas que pueden ser ejecutadas en paralelo para acelerar los tiempos de respuesta en el peritaje. La incorporacin de tecnologa ayuda a reducir el tiempo de una tarea casi inevitable en el mbito de la informtica forense: la adquisicin y preservacin de evidencia digital. Asimismo, y profundizando en este tema, se han identificado otras tareas ms complejas, como el descifrado de contraseas, que requieren de la integracin de tecnologa especfica. El panorama ofrecido resulta imprescindible para todo profesional informtico que realice pericias informticas, as como tambin para aquellos operadores jurdicos que

Tecnologas, tcnicas y estimadores de informtica pericial para investigaciones judiciales

13

tengan inters en comprender las actividades asociadas a esta labor. El esfuerzo que demanda poder incursionar en esta temtica cientfica permitir a los profesionales del Derecho conocer los recursos tcnicos y servicios que pueden obtenerse del peritaje informtico, mejorar la comprensin sobre el tiempo y esfuerzo que demandan actividades forenses especficas, y elaborar requerimientos periciales ms precisos para garantizar resultados contundentes sobre la prueba ofrecida.

Referencias
1. Williamson, P., Appeldorn, P., Cheam B. and McDonald, M., (2006), Forensic Analysis of the Contents of Nokia Mobile Phones, Proceedings of the 4th Australian Digital Forensics Conference, ISBN 0-7298-0624-3. 2. Oechslin, P., (2003), Making a Faster Cryptanalytic Time-Memory Trade-Off, Advances in Cryptology - CRYPTO 2003, 23rd Annual International Cryptology Conference, Proceedings of the Lecture Notes in Computer Science, vol. 2729, Springer-Verlag, ISBN 3-540-40674-3. 3. Haykin, S., (1999), Neural Networks: a comprehensive foundation, 2nd. Ed., Prentice-Hall, ISBN 0-13-273350-1. 4. Pitarque, A., Roy J.F. and Ruiz J.C., (1998), Neural Networks vs. Statistical Models: Simulations carried out on classification and prediction tasks, International Journal of Methodology and Experimental Psychology, pp. 387-400, ISSN 15768597. 5. Vassil, R. and Golden, R., (2004), Breaking the Performance Wall: The Case for Distributed Digital Forensics, Proceedings of the 2004 Digital Forensics Research Workshop.