10-05-2007, 16:32:49
Bueno, por fin puedo ser útil.
Da la casualidad de que yo soy "perito informático". Para ser exacto soy consultor de seguridad de la información, y una de mis atribuciones es realizar el análisis post mórtem - peritaje de sistemas informáticos tras incidentes de seguridad.
La información que da el autor de ese artículo es incompleta y sesgada. Y es que, según el formato del sistema de archivos y según el sistema operativo, esa información que dice el puede existir o no. A grandes rasgos, en los sistemas operativos modernos los sistemas de archivos mantienen, además de los archivos en su estructura jerárquica, una serie de meta-datos. Y si, pueden existir la fecha de creación, de última modificación y de último acceso. Pero se olvida de comentar que el sistema de archivos, en este caso, puede ser tanto un sistema NTFS (suponiendo que sea Windows) como ISO9660 (el sistema de archivos de los CDs).
y he aquí el error de este señor:
"Según dijo la perito, ella trabajó con unos CD que contenían el volcado del disco duro."
Nótese "El volcado del disco duro", no "la imagen del disco duro". Hay una diferencia muy importante entre ambos conceptos. Un volcado del disco duro supone hacer algo tan sencillo como señalar los archivos con el ratón, arrastrarlos a una carpeta y copiarlos. Una imagen del disco duro, por otro lado, significa copiar, bit a bit, una reproduccion exacta de los contenidos del disco duro; es decir, no solo los archivos, sino la estructura interna en que se encuentran, datos que no pertenecen a ningun archivo, espacio temporal en disco ... todo. Si se analiza esa imagen, si tenemos la seguridad de que las fechas de creación de los archivos son las que contenía el disco duro.
"Pues resulta que hay un "pequeño" problema. La fecha de algunos archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron. Preguntada la perita por este detalle, responde que puede responder a la fecha de recuperación del archivo, y no a la de creación. Pero resulta que hay otros ficheros con otras fechas anteriores al 3 de Abril."
Peeero, ¿que pasaría si la fecha de creación del archivo que alguien te pasa en un pendrive está en el futuro? Pues que su bonito "problema" no existe. La fecha de creación se mantiene al copiar de un ordenador a otro, así que la fecha que debería evaluarse no es la de creación, sino la de último acceso. Buen intento, ¿siguiente pregunta?
"Un CD con ficheros supuestamente descargados de Internet es, sencillamente, inaceptable como prueba. Y presentar unos ficheros con la fecha modificada es equivalente a encontrar las huellas dactilares del policía en el arma del crimen."
Confunde este señor sus deseos con la realidad, porque depende del caso la atención que se deba poner en un dato como las fechas de los archivos. No es lo mismo una auditoría de un crimen informático que esto. Aquí no se juzga si una persona accedió desde su ordenador en la fecha indicada cometiendo una intrusión en un sistema informático ajeno, sino los contenidos de dichos archivos, que demuestran la ideología de los acusados.
Que ganas tenía de decir algo constructivo
Saludos,
jopi
Da la casualidad de que yo soy "perito informático". Para ser exacto soy consultor de seguridad de la información, y una de mis atribuciones es realizar el análisis post mórtem - peritaje de sistemas informáticos tras incidentes de seguridad.
La información que da el autor de ese artículo es incompleta y sesgada. Y es que, según el formato del sistema de archivos y según el sistema operativo, esa información que dice el puede existir o no. A grandes rasgos, en los sistemas operativos modernos los sistemas de archivos mantienen, además de los archivos en su estructura jerárquica, una serie de meta-datos. Y si, pueden existir la fecha de creación, de última modificación y de último acceso. Pero se olvida de comentar que el sistema de archivos, en este caso, puede ser tanto un sistema NTFS (suponiendo que sea Windows) como ISO9660 (el sistema de archivos de los CDs).
y he aquí el error de este señor:
"Según dijo la perito, ella trabajó con unos CD que contenían el volcado del disco duro."
Nótese "El volcado del disco duro", no "la imagen del disco duro". Hay una diferencia muy importante entre ambos conceptos. Un volcado del disco duro supone hacer algo tan sencillo como señalar los archivos con el ratón, arrastrarlos a una carpeta y copiarlos. Una imagen del disco duro, por otro lado, significa copiar, bit a bit, una reproduccion exacta de los contenidos del disco duro; es decir, no solo los archivos, sino la estructura interna en que se encuentran, datos que no pertenecen a ningun archivo, espacio temporal en disco ... todo. Si se analiza esa imagen, si tenemos la seguridad de que las fechas de creación de los archivos son las que contenía el disco duro.
"Pues resulta que hay un "pequeño" problema. La fecha de algunos archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron. Preguntada la perita por este detalle, responde que puede responder a la fecha de recuperación del archivo, y no a la de creación. Pero resulta que hay otros ficheros con otras fechas anteriores al 3 de Abril."
Peeero, ¿que pasaría si la fecha de creación del archivo que alguien te pasa en un pendrive está en el futuro? Pues que su bonito "problema" no existe. La fecha de creación se mantiene al copiar de un ordenador a otro, así que la fecha que debería evaluarse no es la de creación, sino la de último acceso. Buen intento, ¿siguiente pregunta?
"Un CD con ficheros supuestamente descargados de Internet es, sencillamente, inaceptable como prueba. Y presentar unos ficheros con la fecha modificada es equivalente a encontrar las huellas dactilares del policía en el arma del crimen."
Confunde este señor sus deseos con la realidad, porque depende del caso la atención que se deba poner en un dato como las fechas de los archivos. No es lo mismo una auditoría de un crimen informático que esto. Aquí no se juzga si una persona accedió desde su ordenador en la fecha indicada cometiendo una intrusión en un sistema informático ajeno, sino los contenidos de dichos archivos, que demuestran la ideología de los acusados.
Que ganas tenía de decir algo constructivo
Saludos,
jopi